PCI DSS 概觀
支付卡產業 (PCI) 資料安全Standard (DSS) 是一項全球資訊安全標準,旨在透過加強對信用卡資料的控制來防止詐欺行為。 任何規模的組織若接受五大信用卡品牌的支付卡:Visa、MasterCard、American Express、Discover,以及日本信用局 (JCB) ,都必須遵守PCI DSS標準。 任何儲存、處理或傳輸付款和持卡人資料的組織皆需符合 PCI DSS 規範。
Microsoft 和 PCI DSS
Microsoft 透過 QSA) 認可 (合格安全評估員完成年度 PCI DSS 評估。 稽核員會檢視 Microsoft Azure、Microsoft 商務用 OneDrive、Microsoft Office SharePoint Online 以及 Microsoft Azure 通訊服務環境。 此審查包括驗證基礎設施、開發、營運、管理、支援及範圍內服務。 PCI DSS 根據交易量指定 4 個合規性等級。 Azure、商務用 OneDrive、SharePoint Online 及 Azure 通訊服務均依據 PCI DSS 4.0.1 版服務提供者第一級認證合規, () 年交易量超過 600 萬筆。
評估結果會產生合規證明書 (AoC) ,並提供給客戶,並由 QSA 發布合規報告 (RoC) 。 合規的有效期間自審計通過且評估員提供AoC開始,至AoC簽署日起一年結束。
想要開發持卡人環境或卡片處理服務的客戶,可以在許多底層部分使用這些驗證,減少取得 PCI DSS 認證所需的工作與成本。
重要的是要了解,Azure、商務用 OneDrive、SharePoint Online 和 Azure 通訊服務的 PCI DSS 合規狀態,並不自動轉換成客戶在這些平台上建置或托管服務的 PCI DSS 認證。 客戶需負責確保符合 PCI DSS 要求。
Microsoft 範圍內的雲端平台與服務
- Azure 和 Azure Government
- Intune
- Microsoft 雲端 App 安全性
- 適用於端點的 Microsoft Defender
- Microsoft Graph
- Office 365 (OneDrive、SharePoint 與 Azure 通訊服務)
- PPowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
- 電源自動化 (可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中)
- Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中
Azure、Dynamics 365 和 PCI DSS
如需 Azure、Dynamics 365 及其他線上服務合規性的詳細資訊,請參閱 Azure PCI DSS 供應項目。
Office 365 和 PCI DSS
Office 365 環境
Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。
本節涵蓋以下 Office 365 環境:
- 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
- Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
- Office 365 政府社群雲端 (GCC):Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
- Office 365 政府社群雲端 - High (GCC High):Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
- Office 365 DoD (DoD):Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。
使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態和 Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。
您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。
Office 365 適用性和範圍內服務
使用下表判斷 Office 365 服務和訂閱的適用性:
| 適用性 | 範圍內服務 |
|---|---|
| 商業 | Azure 通訊服務、商務用 OneDrive, SharePoint Online |
Office 365 稽核、報告和認證
常見問題集
為什麼 AoC (合規認證封面) 寫著「2024 年 8 月」?
封面上的2024年8月日期是AoC範本發布的時間。 評估日期請參閱第2節。
PA DSS 和 PCI DSS 之間的關聯是什麼?
支付應用資料安全Standard (PA DSS) 是一套符合 PCI DSS 的要求。 它取代了 Visa 的付款應用最佳實務,並整合了其他主要發卡機構的合規要求。 PA DSS 協助軟體發行商開發應用程式,將持卡人付款資料儲存、處理或傳輸,作為卡片授權或結算流程的一部分。 零售商必須使用 PA DSS 認證應用程式以有效地達到其 PCI DSS 合規性。 PA DSS 不適用於 Azure。
什麼是收單行?Azure 使用收單行嗎?
收單行是處理支付卡交易的銀行或其他實體。 Azure 不提供支付卡處理服務,因此不使用收單機構。
PCI DSS 適用於哪些組織和商家?
PCI DSS 適用於任何接受、傳輸或儲存持卡人資料的公司,無論規模或交易次數。 也就是說,如果任何客戶使用信用卡或轉帳卡付款給某公司,便適用 PCI DSS 要求。 系統會根據 12 個月內的總交易量,以四個層級中的其中一個層級驗證公司。 第 1 級適用於每年處理超過 600 萬筆交易的公司;第 2 級適用於 100 萬至 600 萬筆交易;第 3 級適用於 20,000 至 1 百萬筆交易;而第 4 級則適用於少於 20,000 筆交易。
[商務用 OneDrive] 和 [SharePoint Online] 的適用範圍為何?
目前,只有上傳到 商務用 OneDrive 和 SharePoint Online 的檔案與文件符合 PCI DSS。
使用 Microsoft Purview 合規管理工具來評估您的風險
Microsoft Purview 合規管理工具 是 Microsoft Purview 入口網站 中的一項功能,幫助您了解組織的合規狀況並採取措施降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估。