Azure and PCI DSS

Azure PCI DSS 相關資訊:

Microsoft Azure 如何遵守 Payment Card Industry (PCI) Data Security Standards (DSS) 的資訊。以下是一些重要的摘要:

  1. PCI DSS 是一種全球資訊安全標準,旨在通過增加信用卡數據的控制來防止欺詐。

  2. 任何存儲、處理或傳輸持卡人數據的組織都需要遵守 PCI DSS,這至少包括完整的主帳號(PAN)。

  3. PCI DSS 根據交易量劃分為四個合規等級,其中服務提供商等級 1 對應於每年超過 600 萬的交易量。

  4. Microsoft Azure 使用經過批准的合格安全評估員(QSA)維護 PCI DSS 驗證,並已獲得 PCI DSS 版本 4.0 的服務提供商等級 1 的合規認證。

  5. 如果您想開發持卡人數據環境(CDE)或卡處理服務,您可以依賴 Azure 的驗證,從而減少獲得自己的 PCI DSS 驗證所需的相關努力和成本。

  6. 然而,重要的是要理解,Azure 的 PCI DSS 合規狀態並不自動轉換為您在 Azure 平台上構建或託管的服務的 PCI DSS 驗證。

  7. 您有責任確保您達到 PCI DSS 要求的合規性。

  8. Azure 提供以下資源來幫助您滿足自己的 PCI DSS 合規義務:
    a. Azure PCI DSS 共享責任矩陣指定每個 PCI DSS 要求的責任區域,以及它是由 Azure 或您分配的,還是責任是共享的。請參考: Audit reports

    b. Azure 政策法規合規內置倡議針對 PCI DSS 映射到 PCI DSS 合規領域和控制。請參考: Azure Policy regulatory compliance built-in initiative for PCI DSS

參考資訊:
PCI DSS - Azure Compliance | Microsoft Learn
Regulatory Compliance details for PCI DSS 3.2.1 - Azure Policy | Microsoft Learn