PCI DSS

PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2016年4月28日に改訂版であるV3.2が発表された。このバージョンは2016年11月1日発効となる。これに伴いV3.1は2016年10月31日に失効し、PCI SSCは、2016年4月28日付でPCI DSS v3.2の公開を行った。^[1]

管理団体[編集]

上記5社がPCI SSC (Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。

準拠性確認[編集]

PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。

認定審査機関は次の種類がある

QSA(Qualified Security Assessor) : 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
ASV(Approved Scanning Vendors) : PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。
PFI(PCI Forensic Investigator)PCIDSS要件に規定されるフォレンジック調査を行う認定団体。
PA-QSA (P2PE) : P2PEアプリケーションを開発するベンダーに対してインタビュー、ドキュメント調査、システム設定調査などの審査を正式に行う。
P2PE QSA : PCI Point-to-Point Encryptionへの認定を調査する。

要件[編集]

PCI DSS（バージョン3.2）には、カード会員データおよび取り引き情報を保護するための12要件が規定されている^[2]。

ネットワークとシステムの安全な構成
システムのデフォルトパスワードの変更
保有するカードデータの保護
送信するカードデータの暗号化
システムとウイルス対策のアップデート
安全なシステムの開発と保守
カードデータの利用目的の制限
システムへのアクセス制限
カードデータへのアクセス制限
システムやカードデータへのアクセスログ監視
システムと手順の定期的な確認
担当者の情報セキュリティ方針の徹底

制定の経緯[編集]

クレジットカード、デビットカード、プリペイドカードに代表されるカード決済は、その利便性により、店舗やウェブ決済での使用比率が増えていき、膨大なカード情報の管理が必要となった。それに伴い、カード決済に関わるシステムやネットワークのセキュリティが侵害されることによる、カード利用者、決済店舗、カード発行会社が損害を受ける事態が広がっていった。主要カード会社は、独自のセキュリティ対応策を開発し加盟店へ順守を促したが、カード会社それぞれが独自に指示をしたため対応がまとまらず大きな成果はでなかった。その後、増大するセキュリティリスクへの懸念を払拭するため、2004年12月に主要カード会社が共同で PCIデータセキュリティスタンダードをリリース、2006年に PCI SSC を設立した^[3]^[4]。

出典[編集]

^ “PCI DSS v3.2の公開と変更点一覧”. 2017年3月1日閲覧。
^ PCI DSS バージョン3.2.1 P.5
^ Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). “A Survey of Payment Card Industry Data Security Standard”. IEEE Communications Surveys & Tutorials 12 (3): 287. doi:10.1109/SURV.2010.031810.00083.
^ 日本カード情報セキュリティ協議会 (JCDSC). “PCI DSSとは”. 2021年2月12日閲覧。

外部リンク[編集]

[1] “PCI DSS v3.2の公開と変更点一覧”. 2017年3月1日閲覧。

[2] PCI DSS バージョン3.2.1 P.5

[3] Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). “A Survey of Payment Card Industry Data Security Standard”. IEEE Communications Surveys & Tutorials 12 (3): 287. doi:10.1109/SURV.2010.031810.00083.

[4] 日本カード情報セキュリティ協議会 (JCDSC). “PCI DSSとは”. 2021年2月12日閲覧。

[1]

[2]

[3]

[4]