ソリューション

PCI DSS クレジットカード情報の保護のための業界基準

クレジットカード情報を取り扱う企業にとって必須となるPCI DSS準拠

PCI DSSとは

イメージ図 PCI DSS ※1 は、 国際カードブランド団体(PCI SSC ※2) によって定められた、カード会員データを保護するためのシステムインフラのセキュリティ対策基準です。
PCI DSSは、法律ではないため法的強制力はありませんが、各カードブランドは自社のクレジットカードを取り扱う際にPCI DSSに準拠することを求めており、準拠しなければ当該ブランドのクレジットカードに関する業務が行えないだけでなく、罰金や罰則が適用されることもあります。つまり、業務上はほぼ義務であると言えます。

適用対象の業態も幅広く、クレジットカード番号を取り扱う業務を担う企業はほぼ全てがその対象となります(取り扱い規模によって求められる対応は異なります)。
PCI DSSは、本質的には準拠そのものが目的ではなく、クレジットカード情報が漏えいのリスクに冒されることなく安全に保管された状態で業務を行うことにより、ひいては企業の信頼性を高めて健全なビジネス発展に寄与することを意図しています。つまり準拠する企業は単純な義務とだけ捉えるのではなく、自らのビジネス安全性や信頼性の強化のためのリスクマネジメントの手段としても採用される傾向が強まっています。

※1 PCI DSS : Payment Card Industry Data Security Standard
※2 PCI SSC : Payment Card Industry Security Standards Council、VISA、MasterCard、JCB、American Expressなどの国際カードブランドが共同で設立

PCI DSSで求められるもの

PCI DSSの特徴は、要件の具体性の高さです。従来のセキュリティ基準やコンプライアンス要件に比べ、準拠条件やそのテスト手順が明確に記述されていることから、準拠のための対応内容を標準化しやすく、「わかりやすい」と言われています。
その対象範囲は広く、外部からの攻撃への対処/アクセス権限とIDの管理/システムの冗長化/データや通信の暗号化/ユーザ認証そして操作ログなど、 12 の 要件 で構成されています。実装レベルも技術的な対処だけでなく、プロセスや文書化に関わるものも存在するため準拠には十分な計画と準備が必要となります。

なお、PCI DSSは、定期的に基準の見直しが行われており、現在の最新であるPCI DSS V3.0が、2013年11月に発表され、2014年1月より実施されております。

PCI DSS 要件
安全なネットワークの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護 3. 保存されたカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備 5. すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視
およびテスト
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備 12. すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSS 貢献ポイントは次のページへ

お問い合わせ
24時間受付中

エンカレッジ・テクノロジ株式会社

〒103-0007 東京都中央区日本橋浜町3-3-2トルナーレ日本橋浜町7F

TEL:03-5623-2622 平日9時~17時