PCIデータセキュリティスタンダード
出典: フリー百科事典『ウィキペディア(Wikipedia)』
PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2010年10月28日に改訂版であるV2.0が発表された。このバージョンは2011年11月1日発効となる。 これに伴いV1.2は2011年10月31日に失効した。
管理団体[編集]
上記5社がPCI SSC(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。
準拠性確認[編集]
PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。
認定審査機関は次の種類がある。
- QSA(Qualified Security Assessor): 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
- ASV(Approved Scanning Vendors): PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。
要件[編集]
PCI DSS(バージョン2.0)には、カード会員データおよび取り引き情報を保護するための12要件が規定されている。
- 安全なネットワークの構築と維持
- 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
- 要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
- カード会員データの保護
- 要件3: 保存されたカード会員データを保護する
- 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
- 脆弱性管理プログラムの整備
- 要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
- 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
- 強固なアクセス制御手法の導入
- 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
- 要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
- 要件9: カード会員データへの物理アクセスを制限する
- ネットワークの定期的な監視およびテスト
- 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
- 要件11: セキュリティシステムおよびプロセスを定期的にテストする
- 情報セキュリティポリシーの整備
- 要件12: すべての担当者の情報セキュリティポリシーを整備する.
関連項目[編集]
- 情報セキュリティマネジメントシステム (ISMS)
- プライバシーマーク
外部リンク[編集]
- Payment Card Industry Security Standards Council
- 日本カード情報セキュリティ協議会
- Visa Asia Pacific
- JCB
- BSIグループジャパン(英国規格協会)
