Payment Card Industry (PCI) Data Security Standard (DSS)
PCI DSS – Überblick
Der Payment Card Industry (PCI) Data Security Standards (DSS) ist ein globaler Informationssicherheitsstandard, der Betrug durch verstärkte Kontrolle von Kreditkartendaten verhindern soll. Unternehmen aller Größen müssen die PCI DSS-Standards einhalten, wenn sie Zahlungskarten der fünf wichtigsten Kreditkartenmarken Visa, MasterCard, American Express, Discover und JCB (Japan Credit Bureau) akzeptieren. Compliance mit den PCI DSS-Standards ist für jedes Unternehmen erforderlich, das Daten von Zahlungen und Karteninhabern speichert, verarbeitet oder überträgt.
Microsoft und PCI DSS
Microsoft hat eine jährliche PCI-DSS-Bewertung mit einem anerkannten Qualified Security Assessor (QSA) durchgeführt. Die Prüfer überprüften Microsoft Azure-, Microsoft OneDrive for Business- und Microsoft SharePoint Online-Umgebungen, in denen die Infrastruktur, die Entwicklung, der Betrieb, die Verwaltung, der Support und die In-Scope-Services überprüft wurden. Der PCI-DSS legt vier Compliance-Ebenen fest, die auf dem Transaktionsvolumen basieren. Azure, OneDrive for Business und SharePoint Online sind gemäß PCI DSS Version 3.2 auf Dienstanbieter-Ebene 1 als konform zertifiziert (das höchste Transaktionsvolumen von mehr als 6 Millionen pro Jahr).
Die Bewertung führt zu einer Attestation of Compliance (AoC), die den Kunden zur Verfügung steht, und einem vom QSA herausgegebenen Bericht über die Konformität (RoC). Die effektive Frist für die Einhaltung beginnt mit dem Bestehen des Audits und dem Erhalt der AoC vom Assessor und endet ein Jahr ab dem Datum der Unterzeichnung der AoC.
Kunden, die eine Umgebung für Karteninhaber oder einen Kartenverarbeitungsdienst entwickeln möchten, können diese Zertifizierung in vielen der zugrunde liegenden Bereiche verwenden, wodurch sich der Aufwand und die Kosten für die Erlangung einer eigenen PCI-DSS-Zertifizierung verringern.
Es ist wichtig zu verstehen, dass der PCI-DSS-Kompatibilitätsstatus für Azure, OneDrive for Business und SharePoint Online nicht automatisch in eine PCI-DSS-Zertifizierung für die Dienste übersetzt wird, die Kunden auf diesen Plattformen erstellen oder hosten. Kunden sind dafür verantwortlich, dass sie die Compliance mit den PCI-DSS-Anforderungen erfüllen.
In Microsoft eingeschlossene Cloudplattformen und -Dienste
- Azure und Azure Government
- Intune
- Microsoft Cloud App Security
- Microsoft Defender für Endpunkt
- Microsoft Graph
- Office 365
- OneDrive for Business und SharePoint Online (nur in den Vereinigten Staaten)
- PowerApps-Clouddienst als eigenständigen Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan bzw. -Anwendungssuite enthalten
- Power Automate (entweder als eigenständiger Dienst oder in einem Office 365- oder Dynamics 365-Plan bzw. einer -Anwendungssuite enthalten)
- Power BI-Clouddienst entweder als eigenständiger Dienst oder enthalten in einem Office 365-Plan oder -Suite
Azure, Dynamics 365 und PCI-DSS
Weitere Informationen zur Compliance mit Azure, Dynamics 365 und anderen Onlinediensten finden Sie im Azure PCI-DSS-Angebot.
Office 365 und PCI-DSS
Office 365-Cloudumgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365-Cloudumgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365-Dienste und -Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | OneDrive for Business (Vereinigte Staaten), SharePoint Online (Vereinigte Staaten) |
Office 365-Audit, -Berichte und -Zertifikate
Häufig gestellte Fragen
Warum steht auf dem Deckblatt der Attestation of Compliance (AoC) „Juni 2018“?
Das Datum Juni 2018 auf dem Deckblatt ist der Zeitpunkt, an dem die AoC-Vorlage veröffentlicht wurde. Das Datum der Bescheinigung können Sie dem Abschnitt 2 entnehmen.
Welche Beziehung besteht zwischen PA DSS und PCI DSS?
Der Payment Application Data Security Standard (PA DSS) enthält eine Reihe von Anforderungen, die mit dem PCI DSS übereinstimmen. Er ersetzt die Best Practices von Visa für Zahlungsanwendungen und konsolidiert die Compliance-Anforderungen der anderen primären Kartenaussteller. Der PA DSS unterstützt Softwareanbieter bei der Entwicklung von Anwendungen von Drittanbietern, die im Rahmen eines Kartenautorisierungs- oder Abrechnungsprozesses Zahlungsdaten von Karteninhabern speichern, verarbeiten oder übertragen. Einzelhändler müssen nach PA DSS zertifizierte Anwendungen verwenden, um Compliance mit PCI DSS wirksam zu erreichen. Der PA DSS gilt nicht für Azure.
Was ist ein Acquirer und setzt Azure einen solchen ein?
Ein Acquirer ist eine Bank oder ein anderes Unternehmen, das Zahlungskartentransaktionen abwickelt. Azure bietet die Verarbeitung von Zahlungskarten nicht als Dienst an und setzt daher keinen Acquirer ein.
Für welche Organisationen und Händler gilt der PCI DSS-Standard?
PCI DSS gilt für jedes Unternehmen, unabhängig von der Größe oder Anzahl der Transaktionen, das Karteninhaberdaten akzeptiert, überträgt oder speichert. Das heißt, wenn ein Kunde jemals ein Unternehmen mit einer Kredit- oder Debitkarte bezahlt, gelten die PCI-DSS-Anforderungen. Unternehmen werden auf einer von vier Ebenen basierend auf dem Gesamttransaktionsvolumen über einen Zeitraum von 12 Monaten validiert. Level 1 ist für Unternehmen gedacht, die mehr als 6 Millionen Transaktionen pro Jahr abwickeln. Level 2 für 1 Million bis 6 Millionen Transaktionen; Level 3 gilt für 20.000 bis 1 Million Transaktionen und Level 4 für weniger als 20.000 Transaktionen.
Gibt es Pläne, damit OneDrive for Business und SharePoint Online außerhalb der Vereinigten Staaten PCI DSS-konform sind?
Derzeit ist OneDrive for Business und SharePoint Online nur in den Vereinigten Staaten PCI-DSS-kompatibel. Microsoft bewertet die Anforderungen und Zeitpläne für Regionen außerhalb der Vereinigten Staaten und stellt Updates bereit, wenn und wenn andere Regionen zur Roadmap hinzugefügt werden.
Was ist in OneDrive for Business und SharePoint Online enthalten?
Derzeit sind nur Dateien und Dokumente, die zu OneDrive for Business und SharePoint Online hochgeladen wurden, mit PCI DSS kompatibel.
Verwenden von Microsoft Compliance-Manager zur Einschätzung des Risikos
Microsoft Compliance Manager ist eine Funktion im Microsoft 365 Compliance Center, die Ihnen hilft, die Compliance-Position Ihres Unternehmens zu verstehen und Maßnahmen zu ergreifen, um Risiken zu reduzieren. Compliance Manager bietet eine Premiumvorlage für die Erstellung einer Bewertung für diese Verordnung. Suchen Sie die Vorlage auf der Seite Bewertungsvorlagen im Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.