PCI DSSについて PCI DSS監査

PCI DSSについて

・国際的なクレジット産業向けのデータセキュリティ基準
(Payment Card Industry Data Security Standard)
・VISA、 MasterCard、JCB、American Express、Discoverの5大カードブランドによって 2006年9月に設立された米国PCIデータセキュリティ基準審議会(PCI SSC)が制定した事実上の基準

PCI DSS設立の背景

  • 米国における最大規模の情報漏えい事件
    ・データ処理会社が4,000万件のカード情報を漏洩
    ・国内でも2008年以降、10万件規模のカード情報漏洩が多発
  • 個人情報保護法をトリガーとしたプライバシーマークの普及と不足要素の顕在化
    ・カード情報の保護には、より具体的な指針や基準が必要
    ・JIS Q 15001はあくまで国内限定の規格であり、国際的な基準が必要
  • 改正割賦販売法の施行
    ・改正後は加盟店の個人情報の安全管理を遵守させるのはアクワイアラ(加盟店募集カード会社)の責任であり、遵守されない場合は当該カード会社は行政処分を受ける。
  • カードブランドからの要請
    ・VISAはメンバーのアクワイアラに対し、契約するレベル1加盟店が2010年9月30日までにPCI DSSに完全準拠することを要請している。
    ・VISAはGlobal Compliance Acceleration Program(GCAP)の一環として、2010年9月10日までにバリデーション(準拠状況確認)の結果PCI DSS完全準拠を達成したレベル1またはレベル2の各加盟店を担当するアクワイアラに対して奨励金を与えると2010年1月15日に発表した。
    (奨励金の支払いは先着順で奨励金がなくなり次第、本制度は終了)
    ・国内で活動するブランド4社(VISA/MasterCard/JCB/American Express)とアクワイアラ12社が共同で加盟店、サービスプロバイダにPCI DSSの準拠を要請する活動を展開している。
  • 接続技術の変化
    ・インターネットに接続した統合店舗販売時点管理(IPOS)が増加
    ・カード会員データのIP(インターネットプロトコル)送信が増加

PCI DSS 順守目的と要件

安全なネットワークとシステムの構築・維持

要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよびその他のセキュリティパラメータに、ベンダ提供のデフォルト値を使用しない

カード会員データの保護

要件3: 保存されるカード会員データの保護
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備

要件5: すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する

強固なアクセス制御手法の導入

要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: システムコンポーネントへのアクセスを確認・許可する
要件9: カード会員データへの物理アクセスを制限する

定期的なネットワークの監視及びテスト

要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよび管理手順を定期的にテストする

情報セキュリティポリシーの整備

要件12: すべての担当者の情報セキュリティポリシーを整備する

付属A:ホスティングプロバイダのPCI基準の適用性に関する情報

要件A.1: 共有ホスティングプロバイダはカード会員データ環境を保護する必要がある

PCI DSS 要求される準拠事項

加盟店レベル

レベルVisa Inc.(AIS)MasterCard(SDP)JCB(JCBデータ
セキュリティプログラム)
American Express
(DSOP)
1 ・当該ブランドの年間の取引件数が600万件以上、または地域のVisaがレベル1と判断したグローバルな加盟店 ・MasterCardとMaestroのeコマーストランザクションを合わせて2万件以上取り扱う加盟店とMaestroと合わせた年間の取引件数が600万件超の加盟店

・過去にカード情報の漏えい事件を起こした加盟店

・MasterCardがレベル1と判断した加盟店

・Visaがレベル1と判断した加盟店
・当該ブランドの年間の取引件数が100万件以上

・International取引を処理する加盟店、または過去にカード情報の漏えい事件を起こした加盟店
・当該ブランドの年間の取引件数が250万件以上またはAmericanExpressがレベル1と判断した加盟店
2 ・当該ブランドの年間の取引件数が100万~600万件 ・結合されたMasterCardとMaestroの年間取引総件数が100~600万件である加盟店

・Visaがレベル2と判断した加盟店
・当該ブランドの年間の取引件数が100万件未満 ・当該ブランドの年間の取引件数が5万~250万件以上またはAmericanExpressがレベル2と判断した加盟店
3 ・当該ブランドの年間の電子商取引における取引件数が2万~100万件 ・MasterCardとMaestroのeコマース取引を合わせて2万~100万件取り扱う加盟店

・Visaがレベル3と判断した加盟店た加盟店
該当なし ・当該ブランドの年間の取引件数が5万件未満
4 ・当該ブランドの年間の電子商取引における取引件数が2万件未満

・当該ブランドの年間の取引件数が100万件未満
・レベル1~3以外のすべての加盟店 該当なし 該当なし

加盟店の検証要件

レベルVisa Inc.(AIS)MasterCard(SDP)JCB(JCBデータ
セキュリティプログラム)
American Express
(DSOP)
1 ・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン

・準拠報告のドキュメントフォーム
・QSAによる年1回のオンサイト監査
[社内監査役(または他の指定された独立スタッフ)により年1回のオンサイト監査の実施を選択しているレベル1加盟店は、社内監査役の利用を継続するためには、PCI DSS準拠の検証に従事している主要な社内スタッフが、毎年PCI SSC社内セキュリティ監査員(ISA)適格性プログラムを完了することを確保すること]

・ASVによる四半期ごとのネットワークスキャン
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
・QSA、または最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店が認証している場合は加盟店が実施した年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
2 ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

・準拠報告のドキュメントフォーム
・加盟店の裁量による年1回のオンサイト監査

・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

・加盟店が実施し、最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店の責任者が認証した年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

3 ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
該当なし

・年1回の自己問診

(強く推奨)

 

・ASVによる四半期ごとのネットワークスキャン(強く推奨)

4 ・年1回の自己問診(推奨)

・ASVによる四半期ごとのネットワークスキャン(推奨)

・アクワイアラが定める準拠要件

・準拠証明はアクワイアラーの裁量

 

・年1回の自己問診

 

・ASVによる四半期ごとのネットワークスキャン

該当なし 該当なし

サービスプロバイダのレベル

レベルVisa Inc.(AIS)MasterCard(SDP)JCB(JCBデータ
セキュリティプログラム)
American Express
(DSOP)
1 ・Visa Netに接続するプロセッサ、または取引の伝送/処理/保存の件数が年間30万件以上あるサービスプロバイダ ・すべてのTPP※1

・年間30万件超の取引を伝送/処理/保存するDSE※2

・過去にカード情報の漏えい事件を起こしたことがあるすべてのTPP及びDSE
・すべてのTPP

・当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ

 

2 ・取引の伝送/処理/保存の件数が年間30万件未満のサービスプロバイダ ・年間30万件以下の取引を伝送/処理/保存するDSE ・当該ブランドの取引件数が年間5万~250万件処理するサービスプロバイダ
該当なし 該当なし 該当なし

 ・当該ブランドの取引件数が年間5万件未満のサービスプロバイダ

※1 TPP (サードパーティープロセッサ):取引処理サービスをアクワイアラのために行うサービスプロバイダ(インターネットペイメントサービス等)

※2 DSE (データストレージエンティティ):取引処理サービスを加盟店又は他のサービスプロバイダのために行うサービスプロバイダ(Webホスティングサービス等)

サービスプロバイダの検証要件

レベルVisa Inc.(AIS)MasterCard(SDP)JCB(JCBデータ
セキュリティプログラム)
American Express
(DSOP)
1 ・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン

・準拠証明書(AOC)
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン  

 

・QSA、または最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、またはサービスプロバイダの責任者が認証した場合はサービスプロバイダが実施した年1回のオンサイト監査

 

・ASVによる四半期ごとのネットワークスキャン

2 ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

・Visa Incのサービスプロバイダリストには掲載されない(レベル1として検証すれば掲載)

・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

 

・すべての非準拠のサービスプロバイダは完成したMasterCardアクションプランを提出する必要あり

・サービスプロバイダが実施し、最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、またはサービスプロバイダの責任者が認証した年1回の自己問診

 

・ASVによる四半期ごとのネットワークスキャン

該当なし

該当なし

該当なし

・年1回の自己問診(強く推奨)

 

・ASVによる四半期ごとのネットワークスキャン(強く推奨)

>>次ページ 監査プログラム

PCからのお問い合わせはこちらから

資料請求・お問い合わせ

お電話からのお問い合わせ

0120-796-115

【受付】平日10:00〜12:00 13:00〜18:00