Payment Card Industry (PCI) Data Security Standard (DSS)Payment Card Industry (PCI) Data Security Standard (DSS)

PCI DSS – ÜberblickPCI DSS overview

Der Payment Card Industry (PCI) Data Security Standards (DSS) ist ein globaler Informationssicherheitsstandard, der Betrug durch verstärkte Kontrolle von Kreditkartendaten verhindern soll.The Payment Card Industry (PCI) Data Security Standards (DSS) is a global information security standard designed to prevent fraud through increased control of credit card data. Unternehmen aller Größen müssen den PCI-DSS-Standards folgen, wenn sie Zahlungskarten der fünf wichtigsten Kreditkartenmarken akzeptieren – Visa, MasterCard, American Express, Discover und das Japan Credit Bureau (JCB).Organizations of all sizes must follow PCI DSS standards if they accept payment cards from the five major credit card brands — Visa, MasterCard, American Express, Discover, and the Japan Credit Bureau (JCB). Compliance mit den PCI DSS-Standards ist für jedes Unternehmen erforderlich, das Daten von Zahlungen und Karteninhabern speichert, verarbeitet oder überträgt.Compliance with PCI DSS is required for any organization that stores, processes, or transmits payment and cardholder data.

Microsoft und PCI DSSMicrosoft and PCI DSS

Microsoft hat eine jährliche PCI-DSS-Bewertung mit einem anerkannten Qualified Security Assessor (QSA) durchgeführt.Microsoft completed an annual PCI DSS assessment using an approved Qualified Security Assessor (QSA). Die Prüfer überprüften Microsoft Azure-, Microsoft OneDrive for Business- und Microsoft SharePoint Online-Umgebungen, in denen die Infrastruktur, die Entwicklung, der Betrieb, die Verwaltung, der Support und die In-Scope-Services überprüft wurden.The auditors reviewed Microsoft Azure, Microsoft OneDrive for Business, and Microsoft SharePoint Online environments, which include validating the infrastructure, development, operations, management, support, and in-scope services. Der PCI-DSS legt vier Compliance-Ebenen fest, die auf dem Transaktionsvolumen basieren.The PCI DSS designates four levels of compliance based on transaction volume. Azure, OneDrive for Business und SharePoint Online sind gemäß PCI DSS Version 3.2 auf Service Provider Level 1 als konform zertifiziert (das höchste Transaktionsvolumen – mehr als 6 Millionen pro Jahr).Azure, OneDrive for Business, and SharePoint Online are certified as compliant under PCI DSS version 3.2 at Service Provider Level 1 (the highest volume of transactions — more than 6 million a year).

Die Bewertung führt zu einer Attestation of Compliance (AoC), die den Kunden zur Verfügung steht, und einem vom QSA herausgegebenen Bericht über die Konformität (RoC).The assessment results in an Attestation of Compliance (AoC), which is available to customers and Report on Compliance (RoC) issued by the QSA. Die effektive Frist für die Einhaltung beginnt mit dem Bestehen des Audits und dem Erhalt der AoC vom Assessor und endet ein Jahr ab dem Datum der Unterzeichnung der AoC.The effective period for compliance begins upon passing the audit and receiving the AoC from the assessor and ends one year from the date the AoC is signed.

Kunden, die eine Umgebung für Karteninhaber oder einen Kartenverarbeitungsdienst entwickeln möchten, können diese Zertifizierung in vielen der zugrunde liegenden Bereiche verwenden, wodurch sich der Aufwand und die Kosten für die Erlangung einer eigenen PCI-DSS-Zertifizierung verringern.Customers who want to develop a cardholder environment or card processing service can use these validations in many of the underlying portions, thereby reducing the associated effort and costs of getting their own PCI DSS certification.

Es ist wichtig zu verstehen, dass der PCI-DSS-Kompatibilitätsstatus für Azure, OneDrive for Business und SharePoint Online nicht automatisch in eine PCI-DSS-Zertifizierung für die Dienste übersetzt wird, die Kunden auf diesen Plattformen erstellen oder hosten.It is important to understand that PCI DSS compliance status for Azure, OneDrive for Business, and SharePoint Online not automatically translate to PCI DSS certification for the services that customers build or host on these platforms. Kunden sind dafür verantwortlich, dass sie die Compliance mit den PCI-DSS-Anforderungen erfüllen.Customers are responsible for ensuring that they achieve compliance with PCI DSS requirements.

In-Scope-Cloud-Dienste von MicrosoftMicrosoft in-scope cloud services

  • Azure und Azure GovernmentAzure and Azure Government
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Flow Cloud-Dienst entweder als eigenständiger Dienst oder als Bestandteil eines Plans oder einer Suite von Office 365 oder Dynamics 365Flow cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Microsoft GraphMicrosoft Graph
  • IntuneIntune
  • Microsoft Defender Advanced Threat ProtectionMicrosoft Defender Advanced Threat Protection
  • PowerApps-Clouddienst als eigenständiger Dienst oder in einem firmenspezifischen Office 365- oder Dynamics 365-Plan oder einer -Anwendungssuite enthaltenPowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Power BI-Clouddienst entweder als eigenständiger Dienst oder als Bestandteil eines Office 365-Plans oder -SuitePower BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
  • OneDrive for Business und SharePoint Online (nur Vereinigte Staaten)OneDrive for Business and SharePoint Online (United States only)

Audit, Berichte und ZertifikateAudit, reports, and certificates

Führen Sie Ihre PCI-DSS-Lösung in Azure ausGet your PCI DSS solution running on Azure

PCI-DSS-Lösung mit dem PCI-DSS-Blueprint von Azure Security and Compliance noch schneller in der Cloud erstellen und bereitstellen.Build and deploy your PCI DSS solution in the cloud even faster with the Azure Security and Compliance PCI DSS Blueprint. Erhalten Sie Referenzarchitekturen, Anleitungen zur Bereitstellung, steuern Sie Implementierungszuordnungen, automatisierte Skripts und vieles mehr.Get reference architectures, deployment guidance, control implementation mappings, automated scripts and more. Beginnen Sie mit der Verwendung des Azure PCI DSS Blueprint.Start using the Azure PCI DSS Blueprint.

Häufig gestellte FragenFrequently asked questions

Warum steht auf dem Deckblatt der Attestation of Compliance (AoC) „Juni 2018“?Why does the Attestation of Compliance (AoC) cover page say 'June 2018'?

Das Datum Juni 2018 auf dem Deckblatt ist der Zeitpunkt, an dem die AoC-Vorlage veröffentlicht wurde.The June 2018 date on the cover page is when the AoC template was published. Das Datum der Bescheinigung können Sie dem Abschnitt 2 entnehmen.Refer to Section 2 for the date of the assessment.

Warum gibt es zwei Azure Attestations of Compliance (AoCs)?Why are there multiple Azure Attestations of Compliance (AoCs)?

Das Azure AoC-Paket enthält AoCs für Azure Public, Deutschland und Government Cloud.The Azure AoC package has AoCs corresponding to Azure Public, Germany, and Government cloud. Kunden sollten den AoC verwenden, der ihrer Azure-Umgebung entspricht.Customers should use the AoC that corresponds with their Azure environment.

Welche Beziehung besteht zwischen PA DSS und PCI DSS?What is the relationship between the PA DSS and PCI DSS?

Der Payment Application Data Security Standard (PA DSS) enthält eine Reihe von Anforderungen, die mit dem PCI DSS übereinstimmen. Er ersetzt die Best Practices von Visa für Zahlungsanwendungen und konsolidiert die Compliance-Anforderungen der anderen primären Kartenaussteller.The Payment Application Data Security Standard (PA DSS) is a set of requirements that comply with the PCI DSS, and replaces Visa's Payment Application Best Practices, and consolidates the compliance requirements of the other primary card issuers. Der PA DSS unterstützt Softwareanbieter bei der Entwicklung von Anwendungen von Drittanbietern, die im Rahmen eines Kartenautorisierungs- oder Abrechnungsprozesses Zahlungsdaten von Karteninhabern speichern, verarbeiten oder übertragen.The PA DSS helps software vendors develop third-party applications that store, process, or transmit cardholder payment data as part of a card authorization or settlement process. Einzelhändler müssen nach PA DSS zertifizierte Anwendungen verwenden, um Compliance mit PCI DSS wirksam zu erreichen.Retailers must use PA DSS certified applications to efficiently achieve their PCI DSS compliance. Der PA DSS gilt nicht für Azure.The PA DSS does not apply to Azure.

Was ist ein Acquirer und setzt Azure einen solchen ein?What is an acquirer and does Azure use one?

Ein Acquirer ist eine Bank oder ein anderes Unternehmen, das Zahlungskartentransaktionen abwickelt.An acquirer is a bank or other entity that processes payment card transactions. Azure bietet die Verarbeitung von Zahlungskarten nicht als Dienst an und setzt daher keinen Acquirer ein.Azure does not offer payment card processing as a service and thus does not use an acquirer.

Für welche Organisationen und Händler gilt der PCI DSS-Standard?To what organizations and merchants does the PCI DSS apply?

PCI DSS gilt für jedes Unternehmen, unabhängig von der Größe oder Anzahl der Transaktionen, das Karteninhaberdaten akzeptiert, überträgt oder speichert.PCI DSS applies to any company, no matter the size, or number of transactions, that accepts, transmits, or stores cardholder data. Das heißt, wenn ein Kunde jemals ein Unternehmen mit einer Kredit- oder Debitkarte bezahlt, gelten die PCI-DSS-Anforderungen.That is, if any customer ever pays a company using a credit or debit card, then the PCI DSS requirements apply. Unternehmen werden auf einer von vier Ebenen basierend auf dem Gesamttransaktionsvolumen über einen Zeitraum von 12 Monaten validiert.Companies are validated at one of four levels based on the total transaction volume over a 12-month period. Level 1 ist für Unternehmen gedacht, die mehr als 6 Millionen Transaktionen pro Jahr abwickeln. Level 2 für 1 Million bis 6 Millionen Transaktionen; Level 3 gilt für 20.000 bis 1 Million Transaktionen und Level 4 für weniger als 20.000 Transaktionen.Level 1 is for companies that process over 6 million transactions a year; Level 2 for 1 million to 6 million transactions; Level 3 is for 20,000 to 1 million transactions; and Level 4 is for fewer than 20,000 transactions.

Wo beginne ich mit den PCI DSS-Compliance-Anstrengungen meiner Organisation für eine auf Azure bereitgestellte Lösung?Where do I begin my organization's PCI DSS compliance efforts for a solution deployed on Azure?

Die Informationen, die der PCI Security Standards Council zur Verfügung stellt, geben Aufschluss über die spezifischen Complianceanforderungen.The information that the PCI Security Standards Council makes available is a good place to learn about specific compliance requirements. Der Rat veröffentlicht den PCI DSS Quick Reference Guide für Händler und andere an der Verarbeitung von Zahlungskarten beteiligte Personen.The council publishes the PCI DSS Quick Reference Guide for merchants and others involved in payment card processing. In diesem Handbuch wird erläutert, wie der PCI-DSS zum Schutz einer Zahlungskartentransaktionsumgebung beitragen kann und wie er angewendet wird.The guide explains how the PCI DSS can help protect a payment card transaction environment and how to apply it.

Die Compliance umfasst mehrere Faktoren, einschließlich das Bewerten der Systeme und Prozesse, die nicht in Azure gehostet werden.Compliance involves several factors, including assessing the systems and processes not hosted on Azure. Die einzelnen Anforderungen hängen davon ab, welche Azure-Dienste verwendet werden und wie sie in der Lösung verwendet werden.Individual requirements vary based on which Azure services are used and how they are employed within the solution.

Gibt es Pläne, damit OneDrive for Business und SharePoint Online außerhalb der Vereinigten Staaten PCI DSS-konform sind?Are there plans for OneDrive for Business and SharePoint Online to be PCI DSS-compliant outside of the United States?

Derzeit ist OneDrive for Business und SharePoint Online nur in den Vereinigten Staaten PCI-DSS-kompatibel.Currently OneDrive for Business and SharePoint Online is PCI-DSS compliant only in the United States (US). Microsoft bewertet die Anforderungen und Zeitpläne für Regionen außerhalb der Vereinigten Staaten und stellt Updates bereit, wenn und wenn andere Regionen zur Roadmap hinzugefügt werden.Microsoft will evaluate the requirements and timelines for regions outside of US and provide updates when and if other regions are added to the roadmap.

Was ist in OneDrive for Business und SharePoint Online enthalten?What is in-scope for OneDrive for Business and SharePoint Online?

Derzeit werden nur Dateien und Dokumente, die zu OneDrive for Business und SharePoint Online hochgeladen wurden, mit PCI DSS beanstandet.Currently, only files and documents uploaded to OneDrive for Business and SharePoint Online will be complaint with PCI DSS.

Verwenden von Microsoft Compliance-Manager zur Einschätzung des RisikosUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance-Manager ist ein Feature im Microsoft 365 Compliance Center, das Ihnen dabei hilft, den Compliance-Status Ihrer Organisation zu ermitteln und Maßnahmen zur Senkung von Risiken zu ergreifen.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance-Manager bietet eine sehr hilfreiche Vorlage für die Erstellung einer Bewertung für diese Verordnung.Compliance Manager offers a premium template for building an assessment for this regulation. Die Vorlage finden Sie auf der Seite Bewertungsvorlagen in Compliance-Manager.Find the template in the assessment templates page in Compliance Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.Learn how to build assessments in Compliance Manager.

RessourcenResources