・アカウントデータを保存する場合、保存する理由と、どのように管理しているのかを明記してください。Tips! 「データ容量」も忘れずに。保存場所には「バックアップやアーカイブシステム、取り外し可能なデータ保存デバイス、紙媒体、音声録音」が含まれます。・オーソリゼーション（与信要求と承認）が完了するまで

v4.0では、他の要件と同様、最初にセキュリティポリシーと運用手順の文書化と、役割と責任の明確化を定めていますが、他の要件以上にこの部分は重要です。 Tips!  データの保存方法と保存先は決めてあっても、手順が整備されておらず、文書化されていないケースは散見します。要件3.3の要件を満た

要件3は、保存したアカウントデータを確実に保護することが目的です。v3.2.1からの変更点に注意し、意図をくみ取って対策を強化してください。特に重要事項は幾つかピックアップしていきます。要件番号に３が付く関連記事をご参照ください。 要件３「カード会員データの保護」から「*アカウントデータの保護」に*

要件8.4.2「カード会員データ環境（CDE）へのすべてのアクセスにMFAが実装されている。」は2025 年 3 月 31 日まではベストプラクティスで、それ以降は必須となります。すべてのアクセスとは？対象について「適用性の注記」には以下の通り記載があります。クラウド、ホスティングシステム、オンプレ

ログの閲覧、PANの全桁表示、その他、複数の権限が1人に集中しているケースはありがちですが、アクセス・コントロールは必要です。管理者のロールを細かく設定した方が安全だからです。また、担当者が10人いれば、全員に同等の権限を与える必要はありません。DBを使わない人がパスワードを知っている、ネットワーク

CDE（カード会員データ環境）の設定を、自己流で解釈されているケースを見かけます。オープンスペースのオフィスの一角にでもCDEがあれば、PCI DSSの適用範囲はオフィス全体が対象になります。プロジェクトが異なるなどの理由で、特定のスペースを対象外にすることはできません。（補足）CDEは、カード会員

アンチウイルスソフトのログは1年間保存します。ログはログサーバで一元管理がベターですが、ローカルで保存する場合は、管理者の権限（アンチウイルスソフトのroot権限など）は、しっかり管理してください。1年間保存されていないケースが散見しています。

IT業界で認知された「システム強化基準」は、CIS、ISO、SANS、NISTの四つにほぼ限定されると言っていいでしょう。PCI DSS要件の中でもこれらが挙げられていますが、自社のセキュリティ基準として、信頼して参照していますか？メーカーも自社のフレームワークを土台に開発を進めることはいいのですが