PCIデータセキュリティスタンダード

出典: フリー百科事典『ウィキペディア(Wikipedia)』
Jump to navigation Jump to search

PCIデータセキュリティスタンダードPCI DSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCBAmerican ExpressDiscoverマスターカードVISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2016年4月28日に改訂版であるV3.2が発表された。このバージョンは2016年11月1日発効となる。 これに伴いV3.1は2016年10月31日に失効し、PCI SSCは、2016年4月28日付でPCI DSS v3.2の公開を行った。[1]

管理団体[編集]

上記5社がPCI SSC(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。

準拠性確認[編集]

PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。

認定審査機関は次の種類がある

  • QSA(Qualified Security Assessor) : 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
  • ASV(Approved Scanning Vendors) : PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。
  • PFI(PCI Forensic Investigator)PCIDSS要件に規定されるフォレンジック調査を行う認定団体。
  • PA-QSA (P2PE) : P2PEアプリケーションを開発するベンダーに対してインタビュー、ドキュメント調査、システム設定調査などの審査を正式に行う。
  • P2PE QSA : PCI Point-to-Point Encryptionへの認定を調査する。

要件[編集]

PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護するための12要件が規定されている。

安全なネットワークの構築と維持
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3: 保存されたカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12: すべての担当者の情報セキュリティポリシーを整備する.

出展[編集]

  1. ^ PCI DSS v3.2の公開と変更点一覧”. 2017年3月1日閲覧。

関連項目[編集]

外部リンク[編集]