PCIデータセキュリティスタンダード

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

PCIデータセキュリティスタンダードPCI DSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCBAmerican ExpressDiscoverマスターカードVISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。 2010年10月28日に改訂版であるV2.0が発表された。このバージョンは2011年11月1日発効となる。 これに伴いV1.2は2011年10月31日に失効した。

管理団体[編集]

上記5社がPCI SSC(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。


準拠性確認[編集]

PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。

認定審査機関は次の種類がある。

QSA(Qualified Security Assessor): 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
ASV(Approved Scanning Vendors): PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。

要件[編集]

PCI DSS(バージョン2.0)には、カード会員データおよび取り引き情報を保護するための12要件が規定されている。

安全なネットワークの構築と維持
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3: 保存されたカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12: すべての担当者の情報セキュリティポリシーを整備する.

関連項目[編集]

外部リンク[編集]