平日 10:00 ~ 18:00

~実録!QSAが監査現場で遭遇する事例シリーズ~【要件12.3】CDEの線引きに自己流の解釈は禁物 カテゴリ:v3.2.1

v3.2.1

~実録!QSAが監査現場で遭遇する事例シリーズ~【要件12.3】CDEの線引きに自己流の解釈は禁物 カテゴリ:v3.2.1

CDE(カード会員データ環境)の設定を、自己流で解釈されているケースを見かけます。
オープンスペースのオフィスの一角にでもCDEがあれば、PCI DSSの適用範囲はオフィス全体が対象になります。
プロジェクトが異なるなどの理由で、特定のスペースを対象外にすることはできません。

(補足)CDEは、カード会員データまたは機密認証データを保存、処理、送信する人、処理、テクノロジで構成される。PCI DSSのセキュリティ要件は、CDEに含まれる、または接続される全てのシステム要素(ネットワークデバイス、サーバ、PC、アプリケーション等々)に適用され、CDEに影響を与える可能性のある要素も含まれる。

ページの先頭へ