支付卡行業 (PCI) 資料安全標準 (DSS)

PCI DSS 概觀

支付卡行業 (PCI) 資料安全標準 (DSS) 是一個全球資訊安全性標準,旨在透過進一步控制信用卡資料來防止詐欺行為。 任何規模的組織在接受來自五大信用卡品牌 (Visa、MasterCard、American Express、Discover 及 Japan Credit Bureau (JCB)) 的付款卡時,都必須遵循 PCI DSS 標準。 任何儲存、處理或傳輸付款和持卡人資料的組織皆需符合 PCI DSS 規範。

Microsoft 和 PCI DSS

Microsoft 已透過經核准的合格資安評估商 (QSA) 完成年度 PCI DSS 評估。 稽核員已檢閱 Microsoft Azure、Microsoft 商務用 OneDrive 和 Microsoft Office SharePoint Online 環境,包括驗證基礎結構、開發、作業、管理、支援和範圍內服務。 PCI DSS 根據交易量指定 4 個合規性等級。 Azure、商務用 OneDrive 和 SharePoint Online 通過服務提供者第 1 級 PCI DSS 3.2 版認證 (最高交易量,一年超過 600 萬)。

評估會提供合規性證明 (AoC) 供客戶使用,以及 QSA 發出的合規性報告 (RoC)。 合規性的有效期從通過審核及收到評估商提供的 AoC 開始,並在 AoC 簽署日一年後結束。

想要開發持卡人環境或支付卡處理服務的客戶可在許多基礎部分使用這些驗證,從而降低自行取得 PCI DSS 認證的相關工作量和成本。

請務必瞭解 Azure、商務用 OneDrive 和 SharePoint Online 的 PCI DSS 合規性狀態不會自動轉譯為客戶在這些平臺上建置或裝載之服務的 PCI DSS 認證。 客戶需負責確保符合 PCI DSS 要求。

Microsoft 範圍內雲端平台與服務

  • Azure 和 Azure Government
  • Intune
  • Microsoft 雲端 App 安全性
  • 適用於端點的 Microsoft Defender
  • Microsoft Graph
  • Office 365
  • 商務用 OneDrive 和 SharePoint Online (僅限美國)
  • PPowerApps 雲端服務可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中
  • 電源自動化 (可作為獨立服務或包含在 Office 365 或 Dynamics 365 品牌方案或套件中)
  • Power BI 雲端服務可作為獨立服務或包含在 Office 365 品牌方案或套件中

Azure、Dynamics 365 和 PCI DSS

如需 Azure、Dynamics 365 及其他線上服務合規性的詳細資訊,請參閱 Azure PCI DSS 供應項目

Office 365 和 PCI DSS

Office 365環境

Microsoft Office 365 是一種多租用戶超大規模雲端平台,也是全球數個區域客戶可用的應用程式和服務整合式體驗。 大部分的 Office 365 服務可讓客戶指定客戶資料所在的地區。 Microsoft 可能會將客戶資料複製到相同地理區域內的其他區域 (例如,美國) 以復原資料,但 Microsoft 不會將客戶資料複製到所選的地理區域之外。

本節涵蓋下列 Office 365 環境:

  • 用戶端軟體 (用戶端):客戶裝置上執行的商業用戶端軟體。
  • Office 365 (商業):全球都可使用的商業公用 Office 365 雲端服務。
  • Office 365 政府社群雲端 (GCC)Office 365 GCC 雲端服務適用於美國聯邦、州、地方和部落政府以及代表美國政府持有或處理資料的承包商。
  • Office 365 政府社群雲端 - High (GCC High)Office 365 GCC High 雲端服務是根據美國國防部 (DoD) 安全規定指南層級 4 而設計,嚴格控制和支援 受監管的聯邦和國防資訊。 此環境由聯邦機構、國防工業基地 (DIB) 和政府承包商使用。
  • Office 365 DoD (DoD)Office 365 DoD 雲端服務是根據 DoD 安全規定指南層級 5 而設計,控制和支援嚴格的聯邦和國防法規。 此環境專供美國國防部使用。

使用本節內容可幫助您履行您在受監管行業和全球市場中的合規義務。 若要了解哪些地區提供哪些服務,請參閱全球服務提供狀態Microsoft 365 客戶資料的儲存位置文章。 如需 Office 365 政府版雲端環境的詳細資訊,請參閱 Office 365 政府版雲端文章。

您的組織全權負責確保遵守所有適用的法律和法規。 本節中提供的資訊不構成法律建議,如果您對組織的法規合規性有任何疑問,您應該諮詢法律顧問。

Office 365 適用性和範圍內服務

使用下表判斷 Office 365 服務和訂閱的適用性:

適用性 範圍內服務
商業 商務用 OneDrive、SharePoint Online

Office 365 稽核、報告和認證

常見問題集

為什麼 AoC (合規性證明) 涵蓋頁面會顯示「2022 年 9 月」?

封面上的 2022 年 9 月日期是發佈 AoC 範本時。 如需評估的日期,請參閱第 2 節。

PA DSS 和 PCI DSS 之間的關聯是什麼?

支付應用程式資料安全標準 (PA DSS) 是符合 PCI DSS 的一組要求,且取代 Visa 的支付應用程式最佳實務,並合併其他主要發卡機構的合規性要求。 PA DSS 可協助軟體廠商開發協力廠商應用程式,在卡片授權或結算程序中儲存、處理或傳輸持卡人付款資料。 零售商必須使用 PA DSS 認證應用程式以有效地達到其 PCI DSS 合規性。 PA DSS 不適用於 Azure。

什麼是收單行?Azure 使用收單行嗎?

收單行是處理支付卡交易的銀行或其他實體。 Azure 不會以服務提供支付卡處理,因此不會使用收單行。

PCI DSS 適用於哪些組織和商家?

PCI DSS 適用於任何接受、傳輸或儲存持卡人資料的公司,無論規模或交易次數。 也就是說,如果任何客戶使用信用卡或轉帳卡付款給某公司,便適用 PCI DSS 要求。 系統會根據 12 個月內的總交易量,以四個層級中的其中一個層級驗證公司。 第 1 級適用於每年處理超過 600 萬筆交易的公司;第 2 級適用於 100 萬至 600 萬筆交易;第 3 級適用於 20,000 至 1 百萬筆交易;而第 4 級則適用於少於 20,000 筆交易。

[商務用 OneDrive] 和 [SharePoint Online] 的適用範圍為何?

目前,只有上傳至 [商務用 OneDrive] 和 [SharePoint Online] 的檔案和文件符合 PCI DSS 的要求。

使用 Microsoft Purview 合規性管理員來評估您的風險

Microsoft Purview 合規性管理員Microsoft Purview 合規性入口網站 中的一項功能,可協助您了解組織的合規性狀態,並採取動作來協助降低風險。 合規性管理員會提供特優範本以為此法規建立評定。 可在合規性管理員的 [評定範本] 頁面尋找範本。 瞭解如何在合規性管理員中建立評估

資源