Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Présentation du PCI DSS
Le DSS (Payment Card Industry) Data Security Standard (DSS) est une norme mondiale de sécurité des informations conçue pour prévenir la fraude grâce à un contrôle accru des données de carte de crédit. Les organisations de toutes tailles doivent respecter les normes PCI DSS si elles acceptent les cartes de paiement des cinq principales marques de crédit carte : Visa, MasterCard, American Express, Discover et le Japan Credit Bureau (JCB). La conformité avec la norme PCI DSS est requise pour toute organisation qui stocke, traite ou transmet un paiement et les données du titulaire de la carte.
Microsoft et la norme PCI DSS
Microsoft effectue une évaluation pci DSS annuelle à l’aide d’un évaluateur de sécurité qualifié (QSA) approuvé. Les auditeurs examinent les environnements Microsoft Azure, Microsoft OneDrive Entreprise, Microsoft Office SharePoint Online et Microsoft Azure Communication Service. Cette révision inclut la validation de l’infrastructure, du développement, des opérations, de la gestion, du support et des services dans l’étendue. La norme PCI DSS désigne quatre niveaux de conformité basés sur un volume de transaction. Azure, OneDrive Entreprise, SharePoint Online et Azure Communication Service sont certifiés conformes à la norme PCI DSS version 4.0.1 au niveau de fournisseur de services 1 (le volume le plus élevé de transactions, plus de 6 millions par an).
L’évaluation aboutit à une attestation de conformité (AoC), qui est disponible pour les clients, et à un rapport sur la conformité (RoC) émis par la QSA. La période effective pour les conformités commence lorsque l’audit est réussi et que l’évaluateur fournit l’AoC et se termine un an à compter de la date de signature de l’AoC.
Les clients qui souhaitent développer un environnement de titulaires de carte ou carte service de traitement peuvent utiliser ces validations dans de nombreuses parties sous-jacentes, ce qui réduit les efforts et les coûts associés à l’obtention de leur propre certification PCI DSS.
Il est important de comprendre que les status de conformité PCI DSS pour Azure, OneDrive Entreprise, SharePoint Online et Azure Communication Service ne se traduisent pas automatiquement en certification PCI DSS pour les services que les clients créent ou hébergent sur ces plateformes. Les clients sont responsables de s’assurer de se conformer aux exigences PCI DSS.
Plateformes et services cloud microsoft dans l’étendue
- Azure et Azure Government
- Intune
- Microsoft Defender for Cloud Apps
- Microsoft Defender pour point de terminaison
- Microsoft Graph
- Office 365 (OneDrive, SharePoint et Azure Communication Service)
- Le Service Cloud PowerApps, en tant que service autonome, ou inclus dans un plan ou une suite Office 365 ou encore Dynamics 365
- Power Automate : en tant que service autonome, ou inclus dans un plan ou une suite Office 365 ou encore Dynamics 365
- Service Cloud Power BI en tant que service autonome, ou inclus dans un plan ou une suite Office 365
Azure, Dynamics 365, et PCI DSS
Pour plus d’informations sur la conformité à Azure, Dynamics 365 et d’autres services en ligne, consultez l’offre PCI DSS d’Azure .
Office 365 et PCI DSS
Office 365 environnements
Microsoft Office 365 est une plateforme cloud hyperscale mutualisée et une expérience intégrée d’applications et de services disponibles pour les clients de plusieurs régions du monde. La plupart des services Office 365 permettent aux clients de spécifier la région où se trouvent leurs données client. Microsoft peut répliquer des données client vers d’autres régions au sein de la même zone géographique (par exemple, les États-Unis) pour la résilience des données, mais Microsoft ne répliquera pas les données client en dehors de la zone géographique choisie.
Cette section couvre les environnements Office 365 suivants :
- Logiciel client (client): logiciel client commercial en cours d’exécution sur les appareils clients.
- Office 365 (commercial) : service cloud Office 365 public commercial disponible dans le monde entier.
- Cloud de la communauté du secteur public Office 365 (GCC) : le Service cloud Office 365 GCC est disponible pour le gouvernement fédéral, d’état, local et tribaux des États-Unis, et pour les sous-traitants qui détiennent ou traitent des données pour le compte du gouvernement des États-Unis.
- Cloud de la communauté du secteur public Office 365 - Haut (GCC High): le Service cloud Office 365 GCC High est conçu conformément aux instructions des exigences de contrôle de sécurité de niveau 4 du Ministère de la défense (DoD) et prend en charge les informations fédérales et de défense strictement réglementées. Cet environnement est utilisé par les agences fédérales, la Base industrielle de défense (DIB) et les sous-traitants du secteur public.
- Office 365 DoD (DoD): le Service cloud Office 365 DoD est conçu conformément aux contrôles de niveau 5 des directives de sécurité et prend en charge des réglementations fédérales et de défense strictes. Cet environnement est destiné à une utilisation exclusive par le département de la Défense des États-Unis.
Utilisez cette section pour vous aider à respecter vos obligations de conformité entre les secteurs réglementés et les marchés mondiaux. Pour savoir quels services sont disponibles dans quelles régions, consultez l’articleInformations sur la disponibilité internationale etOù vos données client Microsoft 365 sont stockées. Pour plus d’informations sur l’environnement cloud Office 365 Secteur public, consultez l’article Environnement cloud pour le secteur public Office 365 .
Votre organisation est entièrement responsable de la conformité avec toutes les lois et réglementations applicables. Les informations fournies dans cette section ne constituent pas des conseils juridiques et vous devez consulter des conseillers juridiques pour toute question concernant la conformité réglementaire de votre organisation.
L’applicabilité d’Office 365 et des services dans l’étendue
Utilisez le tableau suivant pour déterminer l’applicabilité de vos services et abonnements Office 365 :
| l’applicabilité | Les Services dans l’étendue |
|---|---|
| Commerciale | Azure Communication Service, OneDrive Entreprise, SharePoint Online |
Audits, rapports et certificats d’Office 365
Foire aux questions
Pourquoi la page de couverture attestation de conformité (AoC) indique-t-elle « Août 2024 » ?
La date d’août 2024 sur la page de garde correspond à la date de publication du modèle AoC. Reportez-vous à la section 2 pour connaître les dates de l’évaluation.
Quelle est la relation entre PA DSS et PCI DSS ?
L’Standard de sécurité des données d’application de paiement (PA DSS) est un ensemble d’exigences conformes à la norme PCI DSS. Il remplace les meilleures pratiques relatives aux demandes de paiement de Visa et consolide les exigences de conformité des autres émetteurs de carte principaux. Le DSS PA aide les éditeurs de logiciels à développer des applications qui stockent, traitent ou transmettent les données de paiement des titulaires de carte dans le cadre d’un processus d’autorisation ou de règlement carte. Afin d’atteindre efficacement leur conformité PCI DSS, les détaillants doivent utiliser des applications certifiées PA DSS. La DSS PA ne s’applique pas à Azure.
Qu'est-ce qu'un acquéreur et Azure en utilise-t-il un ?
Un acquéreur est une banque ou autre entité qui traite des transactions de carte de paiement. Azure n’offre pas de paiement carte traitement en tant que service et n’utilise donc pas d’acquéreur.
À quelles organisations et à quels marchands la PCI DSS s'applique-t-elle ?
Cela s’applique à toute société, quelle que soit la taille ou le nombre des transactions, qui accepte, transmet ou stocke des données de détenteur de carte. Cela signifie que si un client vient à payer une société en utilisant une carte de débit ou de crédit, alors les exigences PCI DSS s’appliquent. Les sociétés sont validées à un des quatre niveaux basés sur le volume total de transactions sur une période de 12 mois. Le Niveau 1 s’adresse aux sociétés qui traitent plus de 6 millions de transactions par an, le Niveau 2 pour 1 à 6 millions de transactions et le Niveau 3 pour 20 000 à 1 million de transactions, enfin le Niveau 4 concerne un nombre de transactions inférieur à 20 000.
Quelle est l’étendue de OneDrive Entreprise et de SharePoint Online ?
Actuellement, seuls les fichiers et documents chargés vers OneDrive Entreprise et SharePoint Online sont conformes à la norme PCI DSS.
Utiliser le Gestionnaire de conformité Microsoft Purview pour évaluer vos risques
Le Gestionnaire de conformité Microsoft Purview est une fonctionnalité du portail Microsoft Purview qui vous permet de comprendre la posture de conformité de votre organization et de prendre des mesures pour réduire les risques. Le Gestionnaire de Conformité offre un modèle Premium pour la création d’une évaluation de ce règlement. Recherchez le modèle sur la page modèles d’évaluation dans le Gestionnaire de Conformité. Découvrez comment créer des évaluations dans le Gestionnaire de Conformité.