PCI DSS 

セキュリティ

目次一覧

 状態:-  閲覧数:1,196  投稿日:2019-02-14  更新日:2019-02-14  
PCI DSS / PCI DSSとは? / PCI DSS の目的
PCI DSS 認定取得のメリット / 守るべきクレジットカード情報 / 年表

PCI DSS / PCI DSSとは? / PCI DSS の目的

 閲覧数:302 投稿日:2019-02-14 更新日:2019-02-14 

PCI DSS


英語表記
・Payment Card Industry Data Security Standard

片仮名表記
・PCIデータセキュリティスタンダード

PCI DSSとは?


クレジット業界における情報セキュリティ基準
・クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準

PCI SSC が、運用、管理
・国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されている

6つの目標と12の要件
安全なネットワークとシステムの構築と維持
要件1 カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2 システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護
要件3 保存されるカード会員データを保護する
要件4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持
要件5 すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6 安全性の高いシステムとアプリケーションを開発し、保守する

強固なアクセス制御方法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8 システムコンポーネントへのアクセスを識別・認証する
要件9 カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持
要件12 すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI Security Standards Council, LLC 使用許諾契約書

PCI DSS の目的


クレジットカード会員の情報を保護
・加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された

PCI DSS 認定取得のメリット / 守るべきクレジットカード情報 / 年表

 閲覧数:317 投稿日:2019-02-14 更新日:2019-02-14 

PCI DSS 認定取得のメリット


企業価値の向上
・PCI DSS遵守により、企業価値(信用、ブランド)が向上する

リスクを低減
・これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスから顧客のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減する

守るべきクレジットカード情報


何を守るの?
・国際ブランドのペイメントカード情報

国際ブランドとは?
・American Express/Discover/JCB/MasterCard/ VISAなどのことを指す

ペイメントカードとは?
・国際ブランドのクレジットカード、デビットカードとプリペイドカードを指す

カード情報
・「カード会員データ」と「センシティブ(機密)認証データ」の2つに分けられる
※これらは総称して「アカウントデータ」と呼ばれる

カード会員データ
・クレジットカードの表面に記載されている、16桁からなるカード会員番号、有効期限、カード会員名のことを指す
・セキュリティの観点から、これらの情報はカード加盟店側で非保持が望ましいとされており、もし通過・処理・保存を行う場合はPCI DSSに準拠すべきということになる

センシティブ認証データ
・PIN(4~6桁の暗証番号)/PINブロック(PINの暗号化コード)、クレジットカード裏面(または表面)の磁気ストライプ情報とセキュリティコードを指す
・これらの情報は、加盟店側で保存すること自体が禁止されている

セキュリティコード
・磁気ストライプに含まれていないのでスキミング対策として有効

年表


2004年12月
・策定

2012年
・日本クレジット協会が準拠の実行計画(ナショナルプラン)を公表

2013年11月
・v3.0

2014年
・経済産業省が発表した「クレジットカード決済の健全な発展に向けた研究会」の中間報告書で、「2020年の東京オリンピックに向けて『世界で最もクレジットカード利用が安心・安全な国 日本』というキーワードのもと、PCI DSSへの準拠は効果的な取り組みである」と報告

2016年4月28日
・改訂版であるV3.2を発表

2016年10月31日
・V3.1が失効となる

2016年11月1日
・V3.2を発効

2018年5月
・v3.2.1



トークナイゼーション

SCA

コメント投稿(ログインが必要)



週間人気ページランキング / 2-24 → 3-1
順位 ページタイトル抜粋 アクセス数
1 Omise | 「支払」機能を有する決済系サービス(決済サービス) 12
2 pixivFANBOX | クリエイター支援プラットフォーム(課金販売できるプラットフォーム) 7
3 EPUB | ファイルフォーマット(電子書籍) 6
3 クレジットカード決済 | 課金 6
3 YouTube | 動画サービス(課金販売できるプラットフォーム) 6
3 Stripe Q1。Stripeにおける個人事業主の定義 | QA(Stripe) 6
3 EMVレベル1 / EMVレベル2 / EMVCo とは? 6
4 Twitch | ゲーム実況配信サービス(課金販売できるプラットフォーム) 5
5 サブスクリプション | 課金 4
5 Google Pay | 「支払、出金」機能を有する決済系サービス表(決済サービス) 4
5 EMVCo | クレジットカード仕様(仕様) 4
6 Stripe エラー(Stripe) カテゴリー 3
6 プリペイドカード | カード 3
6 Stripe Q16。PaymentIntentの支払いで郵便番号入力を求められる。Radar rules の ZIP code を無効にしているのに | QA(Stripe) 3
7 Stripe Q73.CheckoutのSessionオブジェクトをcreateする際、'payment_intent_data'内の'metadata'として渡したデータを、webhookで受け取る件について | QA(Stripe) 2
7 Payment Request APIとは? / Payment Request API だけで支払い処理が完結するわけではない / Payment Request API の役割 2
7 Something went wrong / You might be having a network connection problem, or the payment provider cannot be reached at the moment. | Stripe エラー(Stripe) 2
7 「支払」と「送金」の違い | 違い 2
8 決済用語 1
8 Stripe Q13。決済成功時に、「請求に紐づけられたメールアドレス」に対して、メール送信したいのですが、 | QA(Stripe) 1
2024/3/2 1:01 更新