Padrão de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI)

Visão geral do PCI DSS

O DSS (Padrão de Segurança de Dados) da PCI (Indústria de Cartões de Pagamento) é um padrão de segurança de informação global criado para prevenir fraudes por meio do maior controle de dados de cartões de crédito. Organizações de todos os tamanhos devem seguir os padrões PCI DSS se aceitarem cartões de pagamento das cinco principais marcas de cartão de crédito: Visa, MasterCard, American Express, Discover e Japan Credit Bureau (JCB). A conformidade com o PCI DSS é obrigatória para toda empresa que armazene, processe ou transmita dados de pagamento e do titular do cartão.

Microsoft e PCI DSS

A Microsoft completou uma avaliação anual de PCI DSS por um avaliador qualificado de segurança (Qualified Security Assessor - QSA). Os auditores avaliaram os ambientes do Microsoft Azure, do Microsoft OneDrive for Business e do Microsoft SharePoint Online, que inclui validar a infraestrutura, desenvolvimento, operações, gerenciamento, suporte e serviços dentro do escopo. O PCI DSS especifica quatro níveis de conformidade de acordo com o volume de transações. Azure, OneDrive for Business e Microsoft Office SharePoint Online são certificados como compatíveis com PCI DSS versão 3.2 no Provedor de Serviços Nível 1 (o maior volume de transações, mais de 6 milhões por ano).

A avaliação resulta em um Certificado de Conformidade (Attestation of Compliance - AoC), que está disponível para clientes e um Relatório sobre Conformidade (Report on Compliance - RoC) emitidos pelo QSA. O período de vigência da conformidade tem início no momento da aprovação na auditoria e recebimento do AoC do avaliador e termina um ano após a data de assinatura do AoC.

Os clientes que desejam desenvolver um ambiente do titular do cartão ou um serviço de processamento de cartões podem utilizar essas validações em muitas das partes subjacentes, reduzindo assim o trabalho e os custos associados à obtenção de sua própria certificação PCI DSS.

É importante entender que o status de conformidade do Azure, do OneDrive for Business e do SharePoint Online com o PCI DSS não se converte automaticamente na certificação PCI DSS para os serviços que os clientes desenvolvam ou hospedem nessas plataformas. Os clientes são responsáveis por garantir sua conformidade com os requisitos do PCI DSS.

Plataformas e serviços de nuvem da Microsoft no escopo

  • Azure e Azure Governamental
  • Intune
  • Microsoft Cloud App Security
  • Microsoft Defender para Ponto de Extremidade
  • Microsoft Graph
  • Office 365
  • OneDrive for Business e SharePoint Online (somente nos Estados Unidos)
  • Serviço de nuvem do PowerApps como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365 ou Dynamics 365
  • Power Automate (como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365 ou Dynamics 365)
  • Serviço de nuvem do Power BI como um serviço autônomo ou incluído em um plano ou pacote com a marca Office 365

Azure, Dynamics 365 e PCI DSS

Para obter mais informações sobre o Azure, o Dynamics 365 e outros serviços online, consulte a Oferta do Azure PCI DSS.

Office 365 e PCI DSS

Nuvem do Office 365

O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.

Essa seção aborda os seguintes ambientes em nuvem do Office 365:

  • Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
  • Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
  • Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
  • Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
  • Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.

Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.

Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.

Aplicabilidade do Office 365 e serviços no escopo

Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:

Aplicabilidade Serviços no escopo
Comercial OneDrive for Business (Estados Unidos), SharePoint Online (Estados Unidos)

Auditoria, relatórios e certificados do Office 365

Perguntas frequentes

Por que a página de rosto do Atestado de Conformidade (AoC) mostra “Junho de 2018”?

A data de junho de 2018 na página de rosto é de quando o modelo de AoC foi publicado. Consulte a data da avaliação na Seção 2.

Qual é a relação entre PA DSS e PCI DSS?

O Padrão de Segurança de Dados em Aplicativos de Pagamento (Payment Application Data Security Standard - PA DSS) é um conjunto de requisitos que cumpre o PCI DSS e substitui as Práticas Recomendadas para Aplicativos de Pagamento da Visa (Visa’s Payment Application Best Practices) e consolida os requisitos de conformidade dos outros emissores de cartões principais. O PA DSS ajuda os fornecedores de software a desenvolver aplicativos de terceiros para armazenar, processar ou transmitir dados de pagamento do titular do cartão como parte do processo de autorização ou pagamento do cartão. Os varejistas precisam usar aplicativos com a certificação PA DSS para obter efetivamente a conformidade com o PCI DSS. O PA DSS não se aplica ao Azure.

O que é um adquirente? O Azure usa um?

Os adquirentes são bancos ou outras entidades que processam transações de cartões de pagamento. O Azure não oferece o serviço de processamento de cartões de pagamento e, portanto, não utiliza um adquirente.

A quais organizações e comerciantes o PCI DSS se aplica?

O PCI DSS se aplica a qualquer empresa, independentemente do tamanho ou do número de transações que aceite, transmita ou armazene dados de titulares de cartões. Ou seja, se qualquer cliente pagar uma empresa usando um cartão de crédito ou débito, os requisitos do PCI DSS se aplicarão. As empresas são validadas em um dos quatro níveis de acordo com o volume total de transações durante um período de 12 meses. O Level 1 engloba empresas que processam mais de 6 milhões de transações por ano; o Level 2, de 1 milhão a 6 milhões de transações; o Level 3, de 20.000 a 1 milhão de transações e o Level 4, para menos de 20.000 transações.

Há planos para que o OneDrive for Business e o SharePoint Online estejam em conformidade com o PCI DSS fora dos Estados Unidos?

Atualmente, o OneDrive for Business e o SharePoint Online estão em conformidade com o PCI DSS somente nos Estados Unidos (EUA). A Microsoft avaliará os requisitos e as linhas do tempo em outras regiões fora dos EUA e fornecerá atualizações quando e se outras regiões forem adicionadas ao roteiro.

O que está no escopo do OneDrive for Business e do Microsoft Office SharePoint Online?

Atualmente, apenas os arquivos e documentos carregados no OneDrive for Business e no SharePoint Online estarão em conformidade com o PCI DSS.

Use o Gerenciador de Conformidade da Microsoft para avaliar o risco

OGerenciador de Conformidade da Microsoft é um recurso no Centro de conformidade do Microsoft 365 para ajudá-lo a entender a postura de conformidade da sua organização e executar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade oferece um modelo premium para criar uma avaliação para essa regulamentação. Encontre o modelo na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.

Recursos