目次一覧
状態:-
閲覧数:1,212
投稿日:2019-02-14
更新日:2019-02-14
PCI DSS / PCI DSSとは? / PCI DSS の目的
PCI DSS 認定取得のメリット / 守るべきクレジットカード情報 / 年表
PCI DSS 認定取得のメリット / 守るべきクレジットカード情報 / 年表
PCI DSS / PCI DSSとは? / PCI DSS の目的
PCI DSS
英語表記
・Payment Card Industry Data Security Standard
片仮名表記
・PCIデータセキュリティスタンダード
PCI DSSとは?
クレジット業界における情報セキュリティ基準
・クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準
PCI SSC が、運用、管理
・国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている
6つの目標と12の要件
安全なネットワークとシステムの構築と維持
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御方法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御方法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する
・PCI Security Standards Council, LLC 使用許諾契約書
PCI DSS の目的
クレジットカード会員の情報を保護
・加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された
PCI DSS 認定取得のメリット / 守るべきクレジットカード情報 / 年表
PCI DSS 認定取得のメリット
企業価値の向上
・PCI DSS遵守により、企業価値(信用、ブランド)が向上する
リスクを低減
・これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスから顧客のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減する
守るべきクレジットカード情報
何を守るの?
・国際ブランドのペイメントカード情報
国際ブランドとは?
・American Express/Discover/JCB/MasterCard/ VISAなどのことを指す
ペイメントカードとは?
・国際ブランドのクレジットカード、デビットカードとプリペイドカードを指す
カード情報
・「カード会員データ」と「センシティブ(機密)認証データ」の2つに分けられる
※これらは総称して「アカウントデータ」と呼ばれる
カード会員データ
・クレジットカードの表面に記載されている、16桁からなるカード会員番号、有効期限、カード会員名のことを指す
・セキュリティの観点から、これらの情報はカード加盟店側で非保持が望ましいとされており、もし通過・処理・保存を行う場合はPCI DSSに準拠すべきということになる
センシティブ認証データ
・PIN(4~6桁の暗証番号)/PINブロック(PINの暗号化コード)、クレジットカード裏面(または表面)の磁気ストライプ情報とセキュリティコードを指す
・これらの情報は、加盟店側で保存すること自体が禁止されている
セキュリティコード
・磁気ストライプに含まれていないのでスキミング対策として有効
年表
2004年12月
・策定
2012年
・日本クレジット協会が準拠の実行計画(ナショナルプラン)を公表
2013年11月
・v3.0
2014年
・経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告書で、「2020年の東京オリンピックに向けて『世界で最もクレジットカード利用が安心・安全な国 日本』というキーワードのもと、PCI DSSへの準拠は効果的な取り組みである」と報告
2016年4月28日
・改訂版であるV3.2を発表
2016年10月31日
・V3.1が失効となる
2016年11月1日
・V3.2を発効
2018年5月
・v3.2.1