Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
PCI DSS – Überblick
Der Payment Card Industry (PCI) Data Security Standard (DSS) ist ein globaler Informationssicherheitsstandard, der durch eine erhöhte Kontrolle über Kredit- Karte Daten Betrug verhindern soll. Organisationen aller Größen müssen PCI-DSS-Standards befolgen, wenn sie Zahlungskarten von den fünf wichtigsten Kredit-Karte-Marken akzeptieren: Visa, MasterCard, American Express, Discover und das Japan Credit Bureau (JCB). Compliance mit den PCI DSS-Standards ist für jedes Unternehmen erforderlich, das Daten von Zahlungen und Karteninhabern speichert, verarbeitet oder überträgt.
Microsoft und PCI DSS
Microsoft schließt eine jährliche PCI-DSS-Bewertung mit einem genehmigten qualifizierten Sicherheitsassesor (Qualified Security Assessor, QSA) ab. Die Prüfer überprüfen Die Umgebungen microsoft Azure, Microsoft OneDrive for Business, Microsoft Office SharePoint Online und Microsoft Azure Communication Service. Diese Überprüfung umfasst die Überprüfung der Infrastruktur, Der Entwicklung, des Betriebs, der Verwaltung, des Supports und der bereichsbezogenen Dienste. Der PCI-DSS legt vier Compliance-Ebenen fest, die auf dem Transaktionsvolumen basieren. Azure, OneDrive for Business, SharePoint Online und Azure Communication Service sind gemäß PCI-DSS-Version 4.0.1 auf Dienstanbieterebene 1 (das höchste Transaktionsvolumen, mehr als 6 Millionen pro Jahr) als konform zertifiziert.
Die Bewertung führt zu einem Nachweis der Konformität (Attestation of Compliance, AoC), der kundenseitig zur Verfügung steht, und zu einem Vom QSA ausgestellten Report on Compliance (RoC). Der effektive Zeitraum für Compliances beginnt, wenn die Prüfung erfolgreich ist und der Bewerter den AoC bereitstellt, und endet ein Jahr ab dem Datum, an dem die AoC unterzeichnet wird.
Kunden, die eine Karteninhaberumgebung oder einen Karte-Verarbeitungsdienst entwickeln möchten, können diese Validierungen in vielen der zugrunde liegenden Teile verwenden, um den damit verbundenen Aufwand und die Kosten für den Erhalt ihrer eigenen PCI-DSS-Zertifizierung zu reduzieren.
Es ist wichtig zu verstehen, dass die PCI-DSS-Compliance-status für Azure, OneDrive for Business, SharePoint Online und Azure Communication Service nicht automatisch in die PCI-DSS-Zertifizierung für die Dienste übersetzt wird, die Kunden auf diesen Plattformen erstellen oder hosten. Kunden sind dafür verantwortlich, dass sie die Compliance mit den PCI-DSS-Anforderungen erfüllen.
In-Scope-Cloudplattformen und -Dienste von Microsoft
- Azure und Azure Government
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender für Endpunkt
- Microsoft Graph
- Office 365 (OneDrive, SharePoint und Azure Communication Service)
- PowerApps-Clouddienst als eigenständigen Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
- Power Automate (entweder als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. einer -Anwendungssuite enthalten)
- Power BI-Clouddienst entweder als eigenständiger Dienst oder enthalten in einem Office 365-Plan oder -Suite
Azure, Dynamics 365 und PCI-DSS
Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure PCI-DSS-Angebot.
Office 365 und PCI-DSS
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Azure Communication Service, OneDrive for Business, SharePoint Online |
Office 365-Audit, -Berichte und -Zertifikate
Häufig gestellte Fragen
Warum steht auf der Deckseite des Nachweises der Konformität (AoC) "August 2024"?
Das Datum august 2024 auf dem Deckblatt ist der Zeitpunkt, an dem die AoC-Vorlage veröffentlicht wurde. Die Termine der Bewertung finden Sie in Abschnitt 2.
Welche Beziehung besteht zwischen PA DSS und PCI DSS?
Die Payment Application Data Security Standard (PA DSS) ist eine Reihe von Anforderungen, die dem PCI-DSS entsprechen. Es ersetzt die best Practices für die Zahlungsanwendung von Visa und konsolidiert die Complianceanforderungen der anderen primären Karte Aussteller. Die PA DSS unterstützt Softwarehersteller bei der Entwicklung von Anwendungen, die Zahlungsdaten von Karteninhabern im Rahmen eines Karte Autorisierungs- oder Abrechnungsprozesses speichern, verarbeiten oder übertragen. Einzelhändler müssen nach PA DSS zertifizierte Anwendungen verwenden, um Compliance mit PCI DSS wirksam zu erreichen. Pa DSS gilt nicht für Azure.
Was ist ein Acquirer und setzt Azure einen solchen ein?
Ein Acquirer ist eine Bank oder ein anderes Unternehmen, das Zahlungskartentransaktionen abwickelt. Azure bietet keine Zahlungs- Karte Verarbeitung als Dienst an und verwendet daher keinen Acquirer.
Für welche Organisationen und Händler gilt der PCI DSS-Standard?
PCI DSS gilt für jedes Unternehmen, unabhängig von der Größe oder Anzahl der Transaktionen, das Karteninhaberdaten akzeptiert, überträgt oder speichert. Das heißt, wenn ein Kunde jemals ein Unternehmen mit einer Kredit- oder Debitkarte bezahlt, gelten die PCI-DSS-Anforderungen. Unternehmen werden auf einer von vier Ebenen basierend auf dem Gesamttransaktionsvolumen über einen Zeitraum von 12 Monaten validiert. Level 1 ist für Unternehmen gedacht, die mehr als 6 Millionen Transaktionen pro Jahr abwickeln. Level 2 für 1 Million bis 6 Millionen Transaktionen; Level 3 gilt für 20.000 bis 1 Million Transaktionen und Level 4 für weniger als 20.000 Transaktionen.
Was ist in OneDrive for Business und SharePoint Online enthalten?
Derzeit sind nur Dateien und Dokumente, die in OneDrive for Business und SharePoint Online hochgeladen wurden, mit PCI-DSS kompatibel.
Verwenden von Microsoft Purview Compliance Manager zum Bewerten Ihres Risikos
Microsoft Purview Compliance Manager ist ein Feature im Microsoft Purview-Portal, mit dem Sie den Compliancestatus Ihrer organization verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.