Payment Card Industry (PCI) Data Security Standard (DSS)Payment Card Industry (PCI) Data Security Standard (DSS)

Panoramica PCI DSSPCI DSS overview

Il Payment Card Industry (PCI) Data Security Standards (DSS) è uno standard di sicurezza delle informazioni globale progettato per prevenire le frodi attraverso un maggiore controllo dei dati delle carte di credito.The Payment Card Industry (PCI) Data Security Standards (DSS) is a global information security standard designed to prevent fraud through increased control of credit card data. Tutte le organizzazioni, indipendentemente dalle loro dimensioni, devono aderire agli standard PCI DSS se accettano le carte di pagamento dei cinque principali istituti ovvero Visa, MasterCard, American Express, Discover e Japan Credit Bureau (JCB).Organizations of all sizes must follow PCI DSS standards if they accept payment cards from the five major credit card brands — Visa, MasterCard, American Express, Discover, and the Japan Credit Bureau (JCB). L'adozione dello standard PCI DSS è obbligatoria per tutte le organizzazioni che archiviano, elaborano o trasmettono dati di pagamento e dei titolari di carte di credito.Compliance with PCI DSS is required for any organization that stores, processes, or transmits payment and cardholder data.

Microsoft e PCI DSSMicrosoft and PCI DSS

Microsoft ha incaricato un Qualified Security Assessor (QSA) approvato di condurre una valutazione PCI DSS annuale.Microsoft completed an annual PCI DSS assessment using an approved Qualified Security Assessor (QSA). I revisori hanno valutato gli ambienti Microsoft Azure, Microsoft OneDrive for Business e Microsoft SharePoint Online comprese le infrastrutture, l’ambiente di sviluppo e operativo, la gestione, il supporto e i servizi applicabili.The auditors reviewed Microsoft Azure, Microsoft OneDrive for Business, and Microsoft SharePoint Online environments, which include validating the infrastructure, development, operations, management, support, and in-scope services. Lo standard PCI DSS definisce quattro livelli di conformità secondo il volume di transazioni.The PCI DSS designates four levels of compliance based on transaction volume. Azure, OneDrive for Business e SharePoint Online hanno ottenuto la certificazione di conformità a PCI DSS versione 3.2 al livello 1 dei provider di servizi (il volume più alto di transazioni, ovvero oltre 6 milioni all'anno).Azure, OneDrive for Business, and SharePoint Online are certified as compliant under PCI DSS version 3.2 at Service Provider Level 1 (the highest volume of transactions — more than 6 million a year).

I risultati della valutazione sono riportati in un Attestato di conformità (AoC, Attestation on Compliance), consultabile dai clienti, e in un Report di conformità (RoC, Report on Compliance) rilasciati dal QSA.The assessment results in an Attestation of Compliance (AoC), which is available to customers and Report on Compliance (RoC) issued by the QSA. Il periodo di validità della conformità inizia dopo il superamento del controllo e dopo aver ricevuto l'AoC dal QSA e termina dopo un anno a partire dalla data della firma dell'Attestato di conformità.The effective period for compliance begins upon passing the audit and receiving the AoC from the assessor and ends one year from the date the AoC is signed.

I clienti che intendono sviluppare un ambiente per i titolari di carte di credito o un servizio di elaborazione carte possono sfruttare questi attestati anche per molte delle porzioni sottostanti e ridurre così le attività e i costi necessari per ottenere la loro certificazione PCI DSS.Customers who want to develop a cardholder environment or card processing service can use these validations in many of the underlying portions, thereby reducing the associated effort and costs of getting their own PCI DSS certification.

È importante capire che lo stato di conformità allo standard PCI DSS di Azure, OneDrive for Business e SharePoint Online non si traduce automaticamente in una certificazione PCI DSS per i servizi che i clienti creano o ospitano su queste piattaforme.It is important to understand that PCI DSS compliance status for Azure, OneDrive for Business, and SharePoint Online not automatically translate to PCI DSS certification for the services that customers build or host on these platforms. Il rispetto dei requisiti PCI DSS è responsabilità dei clienti.Customers are responsible for ensuring that they achieve compliance with PCI DSS requirements.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

  • Azure e Azure per enti pubbliciAzure and Azure Government
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Servizio cloud Flow, indipendente o incluso in un piano o in una famiglia di prodotti Office 365 o Dynamics 365Flow cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Microsoft GraphMicrosoft Graph
  • IntuneIntune
  • Microsoft Defender Advanced Threat ProtectionMicrosoft Defender Advanced Threat Protection
  • Servizio cloud PowerApps come servizio autonomo o incluso in un piano o in una famiglia di prodotti con marchio Office 365 o Dynamics 365PowerApps cloud service either as a standalone service or as included in an Office 365 or Dynamics 365 branded plan or suite
  • Servizio cloud Power BI, autonomo o incluso in un piano o in una famiglia di prodotti Office 365Power BI cloud service either as a standalone service or as included in an Office 365 branded plan or suite
  • Ricerca in OneDrive for Business e SharePoint Online (solo Stati Uniti)OneDrive for Business and SharePoint Online (United States only)

Controlli, report e certificatiAudit, reports, and certificates

Creare una soluzione PCI DSS per AzureGet your PCI DSS solution running on Azure

Per creare e implementare una soluzione PCI DSS nel cloud in maniera ancora più rapida è possibile usare i progetti di sicurezza e conformità di Azure per PCI DSS.Build and deploy your PCI DSS solution in the cloud even faster with the Azure Security and Compliance PCI DSS Blueprint. Architettura di riferimento, guide per l'implementazione, mappe di controllo dell'implementazione, script automatizzati e molto altro.Get reference architectures, deployment guidance, control implementation mappings, automated scripts and more. Iniziare a usare il modello di progetto PCI DSS di Azure.Start using the Azure PCI DSS Blueprint.

Domande frequentiFrequently asked questions

Perché la data riportata sulla prima pagina dell'Attestato di conformità adeguamento (AoC) è ‘giugno 2018’?Why does the Attestation of Compliance (AoC) cover page say 'June 2018'?

La data giugno 2018 riportata sulla prima pagina dell’attestato si riferisce a quando il modello AoC è stato pubblicato.The June 2018 date on the cover page is when the AoC template was published. Fare riferimento alla Sezione 2 per la data della valutazione.Refer to Section 2 for the date of the assessment.

Perché ci sono vari Attestati di conformità di Azure?Why are there multiple Azure Attestations of Compliance (AoCs)?

Il pacchetto Attestati di conformità di Azure comprende gli attestati per il cloud di Azure Public, Azure Germania e Azure per gli enti pubblici.The Azure AoC package has AoCs corresponding to Azure Public, Germany, and Government cloud. I clienti dovrebbero usare l'attestato di conformità corrispondente al proprio ambiente Azure.Customers should use the AoC that corresponds with their Azure environment.

Qual è la relazione tra PA DSS e PCI DSS?What is the relationship between the PA DSS and PCI DSS?

Il Payment Application Data Security Standard (PA DSS) è un insieme di requisiti conformi a PCI DSS che sostituisce le Payment Application Best Practices di Visa e riunisce tutti i requisiti di conformità degli altri principali istituti emittenti delle carte.The Payment Application Data Security Standard (PA DSS) is a set of requirements that comply with the PCI DSS, and replaces Visa's Payment Application Best Practices, and consolidates the compliance requirements of the other primary card issuers. Il PA DSS aiuta i fornitori di software a sviluppare applicazioni di terze parti per archiviare, elaborare o trasmettere i dati di pagamento dei titolari delle carte per l’autorizzazione o il saldo di una transazione.The PA DSS helps software vendors develop third-party applications that store, process, or transmit cardholder payment data as part of a card authorization or settlement process. I venditori al dettaglio devono usare applicazioni certificate PA DSS per la conformità allo standard PCI DSS.Retailers must use PA DSS certified applications to efficiently achieve their PCI DSS compliance. PA DSS non si applica ad Azure.The PA DSS does not apply to Azure.

Cosa si intende per acquirente? Azure usa un acquirente?What is an acquirer and does Azure use one?

Un acquirente è una banca o un altro istituto finanziario che elabora le transazioni con carta di pagamento.An acquirer is a bank or other entity that processes payment card transactions. Azure non offre l'elaborazione delle carte di pagamento come servizio, pertanto non si serve di un acquirente.Azure does not offer payment card processing as a service and thus does not use an acquirer.

A quali organizzazioni ed esercenti si applica PCI DSS?To what organizations and merchants does the PCI DSS apply?

PCI DSS si applica a qualsiasi azienda, a prescindere dalle dimensioni o dal numero di transazioni elaborate, che accetta, trasmette o archivia i dati dei titolari di carte.PCI DSS applies to any company, no matter the size, or number of transactions, that accepts, transmits, or stores cardholder data. Ciò significa che se un cliente effettua un pagamento all'azienda usando una carta di credito o debito, si applicano i requisiti PCI DSS.That is, if any customer ever pays a company using a credit or debit card, then the PCI DSS requirements apply. Le aziende vengono valutate rispetto ai quattro livelli disponibili in base al volume di transazioni totale elaborate in un periodo di 12 mesi.Companies are validated at one of four levels based on the total transaction volume over a 12-month period. Il livello 1 è per le aziende che elaborano oltre 6 milioni di transazioni all'anno, il livello 2 da 1 milione a 6 milioni, il livello 3 da 20.000 a 1 milione e il livello 4 fino a 20.000 transazioni.Level 1 is for companies that process over 6 million transactions a year; Level 2 for 1 million to 6 million transactions; Level 3 is for 20,000 to 1 million transactions; and Level 4 is for fewer than 20,000 transactions.

Come inizio il processo di adeguamento a PCI DSS della mia organizzazione per una soluzione in un ambiente Azure?Where do I begin my organization's PCI DSS compliance efforts for a solution deployed on Azure?

Le pubblicazioni del PCI Security Standards Council offrono informazioni molto utili sui requisiti di conformità.The information that the PCI Security Standards Council makes available is a good place to learn about specific compliance requirements. L’organizzazione pubblica la PCI DSS Quick Reference Guide per gli esercenti e gli altri istituti che elaborano i pagamenti con le carte.The council publishes the PCI DSS Quick Reference Guide for merchants and others involved in payment card processing. La guida spiega come lo standard PCI DSS contribuisce a proteggere l'ambiente in cui avvengono le transazioni con carta di credito e come applicarlo.The guide explains how the PCI DSS can help protect a payment card transaction environment and how to apply it.

Il processo di adeguamento implica diversi elementi, tra cui la valutazione dei sistemi e dei processi non ospitati in Azure.Compliance involves several factors, including assessing the systems and processes not hosted on Azure. I singoli requisiti dipendono dai servizi di Azure usati e da come vengono impiegati nell'ambito della soluzione.Individual requirements vary based on which Azure services are used and how they are employed within the solution.

OneDrive for Business e SharePoint Online saranno conformi a PCI DSS al fuori degli Stati Uniti?Are there plans for OneDrive for Business and SharePoint Online to be PCI DSS-compliant outside of the United States?

Al momento, OneDrive for Business e SharePoint Online sono conformi a PCI DSS solo negli Stati Uniti.Currently OneDrive for Business and SharePoint Online is PCI-DSS compliant only in the United States (US). Microsoft valuterà i requisiti e le tempistiche per le altre aree geografiche e informerà i clienti se il processo di adozione di PCI DSS interesserà altre aree geografiche.Microsoft will evaluate the requirements and timelines for regions outside of US and provide updates when and if other regions are added to the roadmap.

Cosa includono OneDrive for Business e SharePoint Online?What is in-scope for OneDrive for Business and SharePoint Online?

Attualmente, solo i file e i documenti caricati su OneDrive for Business e SharePoint Online saranno conformi a PCI DSS.Currently, only files and documents uploaded to OneDrive for Business and SharePoint Online will be complaint with PCI DSS.

Usare Microsoft Compliance Manager per valutare i rischiUse Microsoft Compliance Manager to assess your risk

Microsoft Compliance Manager è una funzionalità nel Centro conformità Microsoft 365 utile per comprendere lo stato di conformità dell'organizzazione e intraprendere azioni per ridurre i rischi.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. Compliance Manager offre un modello premium per creare una valutazione per questa normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Individuare il modello nella pagina modelli di valutazioni in Compliance Manager.Find the template in the assessment templates page in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.Learn how to build assessments in Compliance Manager.

RisorseResources