PCI DSSとは
PCI DSS ※1 は、 国際カードブランド団体(PCI SSC ※2) によって定められた、カード会員データを保護するためのシステムインフラのセキュリティ対策基準です。
PCI DSSは法律ではないため強制力はありませんが、各カードブランドは自社のクレジットカードを取り扱う際にPCI DSSに準拠することを求めており、準拠しなければ当該ブランドのクレジットカードに関する業務が行えないだけでなく、罰金や罰則が適用されることもあります。つまり、業務上はほぼ義務であると言えます。
適用対象の業態も幅広く、クレジットカード番号を取り扱う業務を担う企業はほぼ全てがその対象となります(取り扱い規模によって求められる対応は異なります)。
PCI DSSは本質的には準拠そのものが目的ではなく、クレジットカード情報が漏えいのリスクに冒されることなく安全に保管された状態で業務を行うことにより、ひいては企業の信頼性を高めて健全なビジネス発展に寄与することを意図しています。つまり準拠する企業は単純な義務とだけ捉えるのではなく、自らのビジネス安全性や信頼性の強化のためのリスクマネジメントの手段としても採用される傾向が強まっています。
※1 PCI DSS : Payment Card Industry Data Security Standard
※2 PCI SSC : Payment Card Industry Security Standards Council、VISA、MasterCard、JCB、American Expressなどの国際カードブランドが共同で設立
PCI DSSで求められるもの
PCI DSSの特徴は、要件の具体性の高さです。従来のセキュリティ基準やコンプライアンス要件に比べ、準拠条件やそのテスト手順が明確に記述されていることから、準拠のための対応内容を標準化しやすく、「わかりやすい」と言われています。
その対象範囲は広く、外部からの攻撃への対処/アクセス権限とIDの管理/システムの冗長化/データや通信の暗号化/ユーザ認証そして操作ログなど、 12 の 要件 で構成されています。実装レベルも技術的な対処だけでなく、プロセスや文書化に関わるものも存在するため準拠には十分な計画と準備が必要となります。
| 安全なネットワークの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること |
| 2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないこと | |
| カード会員データの保護 | 3. 保存されたカード会員データを保護すること |
| 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること | |
| 脆弱性管理プログラムの整備 |
5. アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新すること |
| 6. 安全性の高いシステムとアプリケーションを開発し、保守すること (一部該当) | |
| 強固なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限すること |
| 8. コンピュータにアクセスできる各ユーザに一意の ID を 割り当てること (一部該当) | |
| 9. カード会員データへの物理アクセスを制限すること | |
| ネットワークの定期的な監視 およびテスト |
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視すること |
| 11. セキュリティシステムおよびプロセスを定期的にテストすること | |
| 情報セキュリティポリシーの整備 |
12. 従業員および派遣社員向けの情報セキュリティポリシーを整備すること |
弊社製品によるPCI DSS準拠への貢献
弊社製品は、PCI DSSの 要件10 に貢献いたします。
詳しくは 次のページをご覧ください。
