PCI DSS
PCI DSSは、国際カードブランドのAmerican Express、Discover、JCB、MasterCard、Visaが共同で設立したPCI SSCにより、カード会員データを保護することを目的として策定されたペイメントカード業界のセキュリティ基準です。これらの国際ブランドのカードを取り扱う事業者はすべて、PCI DSSに準拠する必要があります
PCI DSSとは?
Payment Card Industry Data Security Standards(略称PCI DSS)は、主要国際カードブランド数社がカード会員データの安全な取り扱いのために策定した、カード業界共通のセキュリティ基準であり、適用対象はカード会員データを保存、処理、伝送する事業者全般に渡ります。これらの国際ブランドのカードを取り扱う加盟店(Merchant)やサービスプロバイダ(Service Provider)はいずれも、規模や取引量にかかわらず、PCI DSSに則ってカード会員データを保護する必要があります。
PCI DSSのセキュリティ基準を策定、管理しているのはPCI SSC(Payment Card Industry Security Standard Council、PCIセキュリティ基準審議会)です。PCI SSCはAmerican Express、Discover、JCB、MasterCard、Visaの5社によって設立され、PCI DSSも現在この5大ブランドのカードを扱う事業者が対象となっています。
基準
PCI DSSは、数あるセキュリティ基準のうち、現時点で最も厳しいセキュリティ基準の一つです。PCI DSSには6つのセキュリティ目標とそれに対応する12のセキュリティ要件が定められています。
|
|
|
|---|---|
| 安全なネットワークとシステムの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして維持する 2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
| カード会員データの保護 | 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
| 脆弱性管理プログラムの整備 | 5. 情報システムをマルウェアから保護し、ウイルス対策ソフトウェアのシグネチャとプログラムを定期的に更新する 6. 安全性の高いシステムとアプリケーションを開発し、保守する |
| 強力なアクセス制御手法の導入 | 7. カード会員データへのアクセスを業務上必要な範囲内に制限する 8. 情報システムへのアクセスを識別・認証する 9. カード会員データへの物理アクセスを制限する |
| ネットワークの定期的な監視およびテスト | 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテストする |
| 情報セキュリティポリシーの整備 | 12. 全担当者に対する情報セキュリティポリシーを整備する |
カード会員データ
ペイメントカード業界のセキュリティ基準であるPCI DSSの主な目的は、カード会員データの保護です。カードを扱う事業者によって、実店舗などでの対面決済(Card Present)と、ECサイトのような非対面決済(Card Not Present)に分かれます。
取り扱うカード会員データは、取引形態によって異なり、対面決済では磁気ストライプやICチップ内のデータを用います。
一方、非対面決済で使用するのはカード番号とカードに記載されたセキュリティコードのみです。
カード会員データに関するPCI DSSのセキュリティ要件は以下の通りです。
| 項目 | 保存の許可 | 保存されたデータを読み取り不能にする | ||
| アカウントデータ | カード会員データ | カード番号(PAN) | Yes | Yes |
| カード会員名 | Yes | No | ||
| サービスコード | Yes | No | ||
| 有効期限 | Yes | No | ||
| 機密認証データ | 全トラックデータ | No | 保存できない | |
| CAV2/CVC2/CVV2/CID | No | 保存できない | ||
| PIN/PINブロック | No | 保存できない |
PCI DSS認定取得の流れ
PCI DSS認定取得のプロセスは、対応すべき要件に応じて、準備、分析、実装、審査の4つのフェーズに分けられます。
- スコープ(対象範囲)の確定
- カード会員データのフロー分析
- PCI DSS基準に関する教育訓練
分析フェーズ
- 情報資産の洗い出し
- リスク評価
- システム強化レビュー
- 管理措置計画の立案(リスク対応計画)
- カード会員データのスキャン
- 内部・外部ペネトレーションテスト(侵入テスト)(初回)
- 脆弱性スキャン(初回)
実装フェーズ
- 情報セキュリティポリシーと組織設計
- 書類準備
- 情報セキュリティインシデント対応訓練
- 情報セキュリティインシデント管理教育訓練
- 内部・外部ペネトレーションテスト(侵入テスト)(再テスト)
- 脆弱性スキャン作業(再テスト)
- 無線漏洩電波の検出作業
審査フェーズ
- PCI DSS審査前準備
- PCI DSS正式審査
お問い合わせ
ご不明な点がございましたら、いつでもご連絡ください。
