PCIデータセキュリティスタンダード
出典: フリー百科事典『ウィキペディア(Wikipedia)』
PCIデータセキュリティスタンダード(PCIDSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2010年10月28日に改訂版であるV2.0が発表された。このバージョンは2011年11月1日発効となる。 これに伴い現在のV1.2は2011年10月31日に失効する。
目次 |
[編集] 管理団体
上記5社がPCI SSC(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。
[編集] 準拠性確認
PCIDSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCISSCが認定する審査会社による準拠性確認が必要とされている。
認定審査機関は次の種類がある。
- QSA(Qualified Security Assessor): 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
- ASV(Approved Scanning Vendors): PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。
[編集] 要件
PCIDSSには、クレジットカード情報および取り引き情報を保護するための12要件が規定されている。
- 安全なネットワークの構築・維持
- 要件1: データを保護するためにファイアウォールの導入をし、最適な設定を維持すること
- 要件2: システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
- 脆弱点を管理するプログラムの維持
- 要件5: アンチウイルスソフトを利用し、定期的にソフトを更新すること
- 要件6: 安全性の高いシステムとアプリケーションを開発し、保守すること
- 強固なアクセス制御手法の導入
- 要件7: 業務目的別にデータアクセスを制限すること
- 要件8: コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
- 要件9: カード会員情報にアクセスする際、物理的なアクセスを制限すること
- 定期的なネットワークの監視およびテスト
- 要件10: ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
- 要件11: セキュリティシステムおよび有事の対応手順を定期的にテストすること
- 情報セキュリティポリシーの保有
- 要件12: 情報セキュリティに関するポリシーを保持すること
[編集] 関連項目
- 情報セキュリティマネジメントシステム (ISMS)
- プライバシーマーク
