CDE（カード会員データ環境）の設定を、自己流で解釈されているケースを見かけます。オープンスペースのオフィスの一角にでもCDEがあれば、PCI DSSの適用範囲はオフィス全体が対象になります。プロジェクトが異なるなどの理由で、特定のスペースを対象外にすることはできません。（補足）CDEは、カード会員

アンチウイルスソフトのログは1年間保存します。ログはログサーバで一元管理がベターですが、ローカルで保存する場合は、管理者の権限（アンチウイルスソフトのroot権限など）は、しっかり管理してください。1年間保存されていないケースが散見しております。

ログの閲覧、PANの全桁表示などなど、複数の権限が1人に集中しているケースはありがちですが、アクセス・コントロールは必要です。管理者のロールを細かく設定した方が安全だからです。また、担当者が10人いれば全員に同等の権限を与える必要はありません。DBを使わない人がパスワードを知っている、ネットワーク担

IT業界で認知された「システム強化基準」は、CIS、ISO、SANS、NIST、IPAにほぼ限定されると言っていいでしょう。PCI DSS要件の中でもこれらが挙げられていますが、自社のセキュリティ基準として、信頼して参照していますでしょうか。メーカーが自社のフレームワークを土台に開発を進めることは良

「コロナ対応」で大変なので、PCI DSSオンサイト監査を先延ばしにできるのか？ というご質問を度々いただきます。弊社は原則、全て予定通りに監査を実施しております。 セキュリティ事業は止めてはならない、国や組織を支える要の事業のひとつで