PCI DSSとは(Payment Card Industry Data Security Standard)
PCI DSSとは(Payment Card Industry Data Security Standard)
ペイメントデータセキュリティ基準 PCI DSSとは?
- 国際的なクレジット産業向けのデータセキュリティ基準
(Payment Card Industry Data Security Standard) - 国際カードブランド5社(VISA、 MasterCard 、American Express、JCB、 Discover)が共同で設立し、2020年より銀聯が参加、計6社によるPCIセキュリティ基準審議会(米国)が制定する事実上の基準です。
PCI DSS 設立の背景
元来、セキュリティ基準は各国際カードブランドにより独自で定められていました。一般的に複数のカードを扱う加盟店にとって、各セキュリティ基準を満たすには非常に大きな負荷が生じていました。
近年、インターネットの急速な発展はEコマースの増加を促し、決済のグローバル化が広がりました。一方で、サイバー攻撃のボーダレス化も進み、攻撃は複雑かつ巧妙化になりました。大規模なクレジットカード被害が世界規模で発生するようになりました。
そこでクレジットカード情報のセキュリティを強化し、加盟店のリスクと負担の減少およびグローバルに推進するために、国際カードブランド5社により統一されたデータセキュリティ評価基準・PCI DSSが策定されました。
PCI DSS はカード会員データを保護するために規定された技術面および運用面のベースラインとして活用できます。体系的かつ定量的に策定されているため、米国の企業ではクレジットカード情報に限らず組織全体のセキュリティ対策として採用して注目をされています。
PCI DSSを順守する目的と要件 【v4.0】
安全なネットワークとシステムの構築と維持
要件1:ネットワークセキュリティコントロールの導入と維持
要件2: すべてのシステムコンポーネントにセキュアな設定を適用する
アカウントデータの保護
要件3: 保存されたアカウントデータの保護
要件4: オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する
脆弱性管理プログラムの維持
要件5: 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
要件6 : 安全なシステムおよびソフトウェアの開発と維持
強固なアクセス制御の実施
要件7: システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する
要件 8: ユーザの識別とシステムコンポーネントへのアクセスの認証
要件 9: カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視とテスト
要件 10 : システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
要件 11 : システムおよびネットワークのセキュリティを定期的にテストする
情報セキュリティポリシーの維持
要件 12: 組織の方針とプログラムによって情報セキュリティをサポートする
PCI DSSに要求される準拠事項とは
加盟店のレベル
加盟店の検証要件
※PCI DSS Prioritized Approach Milestone1:12要件の優先順位付けを行うための参考資料(要件の取捨選択ではない)。非対面加盟店は対象外
サービスプロバイダのレベル
※1 TPP (サードパーティープロセッサ):取引処理サービスをアクワイアラのために行うサービスプロバイダ(インターネットペイメントサービス等)
※2 DSE (データストレージエンティティ):取引処理サービスを加盟店又は他のサービスプロバイダのために行うサービスプロバイダ(Webホスティングサービス等)
サービスプロバイダの検証要件
- お問い合わせはこちらから
- お電話からのお問い合わせはこちらから