会社情報

PCI DSS

PCI DSSについて

PCI DSSについて

PCI DSS設立の背景

元来、セキュリティ基準は各国際カードブランドにより独自で定められていました。一般的に複数のカードを扱う加盟店にとって、各セキュリティ基準を満たすには非常に大きな負荷が生じていました。

近年、インターネットの急速な発展はEコマースの増加を促し、決済のグローバル化が広がりました。一方で、サイバー攻撃のボーダレス化も進み、攻撃は複雑かつ巧妙化になりました。大規模なクレジットカード被害が世界規模で発生するようになりました。

そこでクレジットカード情報のセキュリティを強化し、加盟店のリスクと負担の減少およびグローバルに推進するために、国際カードブランド5社により統一されたデータセキュリティ評価基準・PCI DSSが策定されました。

PCI DSS はカード会員データを保護するために規定された技術面および運用面のベースラインとして活用できます。体系的かつ定量的に策定されているため、米国の企業ではクレジットカード情報に限らず組織全体のセキュリティ対策として採用して注目をされています。

PCI DSS順守目的と要件

安全なネットワークとシステムの構築・維持

要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよびその他のセキュリティパラメータに、ベンダ提供のデフォルト値を使用しない

カード会員データの保護

要件3:保存されるカード会員データの保護
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備

要件5: すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する

強固なアクセス制御手法の導入

要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: システムコンポーネントへのアクセスを確認・許可する
要件9: カード会員データへの物理アクセスを制限する

定期的なネットワークの監視及びテスト

要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよび管理手順を定期的にテストする

情報セキュリティーポリシーの整備

要件12: すべての担当者の情報セキュリティポリシーを整備する

PCI DSS要求される準拠事項

加盟店レベル

レベル Visa Inc.(AIS) MasterCard(SDP) JCB(JCBデータセキュリティプログラム) American Express
(DSOP)
Discover
1 ・当該ブランドの年間の取引件数が600万件以上、または地域のVisaがレベル1と判断したグローバルな加盟店 ・MastercardとMaestroの年間取引総件数の合計が600万件を超えるすべての加盟店

・過去にカード情報の漏えい事件を起こした加盟店

・MasterCardがレベル1と判断した加盟店

・Visaがレベル1と判断した加盟店
・当該ブランドの年間の取引件数が100万件以上(推奨・2018年4月1日より必須)

・International取引を処理する加盟店、または過去にカード情報の漏えい事件を起こした加盟店
・当該ブランドの年間の取引件数が250万件以上またはAmericanExpressがレベル1と判断した加盟店 ・当該ブランドの年間取引件数が600万件以上

・他のペイメントブランドがレベル1と判断した加盟店
2 ・当該ブランドの年間の取引件数が100万~600万件 ・結合されたMasterCardとMaestroの年間取引総件数が100~600万件である加盟店

・Visaがレベル2と判断した加盟店
・当該ブランドの年間の取引件数が100万件未満 ・当該ブランドの年間の取引件数が5万~250万件以上またはAmericanExpressがレベル2と判断した加盟店 ・当該ブランドの取引が100万件以上、600万件未満の加盟店
3 ・当該ブランドの年間の電子商取引における取引件数が2万~100万件 ・MasterCardとMaestroのeコマース取引を合わせて2万~100万件取り扱う加盟店

・Visaがレベル3と判断した加盟店た加盟店
該当なし ・当該ブランドの年間の取引件数が5万件未満 ・当該ブランドの年間の電子商取引における取引件数が2万~100万
4 ・当該ブランドの年間の電子商取引における取引件数が2万件未満

・当該ブランドの年間の取引件数が100万件未満
・レベル1~3以外のすべての加盟店 該当なし 該当なし ・レベル1~3以外のすべての加盟店

加盟店の検証要件

レベル Visa Inc.(AIS) MasterCard(SDP) JCB(JCBデータセキュリティプログラム) American Express
(DSOP)
Discover
1 ・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン

・準拠報告のドキュメントフォーム
・QSAによる年1回のオンサイト監査

[社内監査役(または他の指定された独立スタッフ)により年1回のオンサイト監査の実施を選択しているレベル1加盟店は、社内監査役の利用を継続するためには、PCI DSS準拠の検証に従事している主要な社内スタッフが、毎年PCI SSC社内セキュリティ監査員(ISA)適格性プログラムを完了することを確保すること]

・ASVによる四半期ごとのネットワークスキャン
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
・QSA、または最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店が認証している場合は加盟店が実施した年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
2 ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

・準拠報告のドキュメントフォーム
・加盟店の裁量による年1回のオンサイト監査

・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
・加盟店が実施し、最高経営責任者、最高財務責任者、情報セキュリティ最高責任者、または加盟店の責任者が認証した年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
3 ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
該当なし ・年1回の自己問診(強く推奨)

・ASVによる四半期ごとのネットワークスキャン(強く推奨)
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
4 ・年1回の自己問診(推奨)

・ASVによる四半期ごとのネットワークスキャン(推奨)

・アクワイアラが定める準拠要件
・準拠証明はアクワイアラーの裁量

・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
該当なし 該当なし ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

サービスプロバイダのレベル

レベル Visa Inc.(AIS) MasterCard(SDP) JCB(JCBデータセキュリティプログラム) American Express
(DSOP)
Discover
1 ・Visa Netに接続するプロセッサ、または取引の伝送/処理/保存の件数が年間30万件以上あるサービスプロバイダ ・すべてのTPP※1

・年間30万件超の取引を伝送/処理/保存するDSE※2

・過去にカード情報の漏えい事件を起こしたことがあるすべてのTPP及びDSE
・すべてのTPP ・当該ブランドの取引件数が年間250万件以上、またはAmericanExpressがレベル1と判断したサービスプロバイダ ・年間30万件超のカード取引を伝送、処理、保存するTPP

・Discoverが独自に定めたTPP
2 ・取引の伝送/処理/保存の件数が年間30万件未満のサービスプロバイダ ・年間30万件以下の取引を伝送/処理/保存するDSE ・当該ブランドの取引件数が年間250万件未満、またはAmericanExpressがレベル1でないとみなすサービスプロバイダー ・年間30万件未満のカード取引を伝送、処理、保存するTPP
3 該当なし 該当なし 該当なし 該当なし 該当なし

※1 TPP (サードパーティープロセッサ):取引処理サービスをアクワイアラのために行うサービスプロバイダ(インターネットペイメントサービス等)
※2 DSE (データストレージエンティティ):取引処理サービスを加盟店又は他のサービスプロバイダのために行うサービスプロバイダ(Webホスティングサービス等)

サービスプロバイダの検証要件

レベル Visa Inc.(AIS) MasterCard(SDP) JCB(JCBデータセキュリティプログラム) American Express
(DSOP)
Discover
1 ・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン

・準拠証明書(AOC)
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
・年次のオンサイトセキュリティ評価レポート

・四半期毎のネットワークスキャン
・QSAによる年1回のオンサイト監査

・ASVによる四半期ごとのネットワークスキャン
2 ・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

・Visa Incのサービスプロバイダリストには掲載されない(レベル1として検証すれば掲載)
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン

・すべての非準拠のサービスプロバイダは完成したMasterCardアクションプランを提出する必要あり
・年次の自己問診

・四半期毎のネットワークスキャン
・年1回の自己問診

・ASVによる四半期ごとのネットワークスキャン
3 該当なし 該当なし 該当なし
ページの先頭へ