PCI DSS(クレジットカード業界のセキュリティ基準)

PCIデータセキュリティスタンダード
PCI DSS(Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。
PCI DSSとは
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。 Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードが使える仕組み(マルチアクワイヤリング)が一般的な現在、各ブランドの要求に対応しなくてはならない加盟店にとっては、非常に大きな負荷とならざるを得ない状況だったわけです。
その状況とは裏腹に、インターネットの普及に合わせ、国境を隔てたネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。
ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。
認定取得のメリット
PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。
また、PCI DSSを推奨する国際5ブランドの一つビザ・インターナショナルでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、 その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免責されます。
認定取得について
PCIDSSへの具体的な対応方法は、カード情報の取扱い形態や規模によって、3つの方法があります。
1:訪問審査
PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
2:サイトスキャン
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。
カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
3:自己問診
PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
当初のVer1.0は、セキュリティに関するITの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、PCIDSSを理解いただけるよう、工夫されています。
日本語版は2008年10月からVISA-Japanのサイトに掲載されています。
以上の3つの方法については、いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。
またAISやSDPなど、各カードブランドのプログラムによって、適用するレベルが異なっています。
導入が必要な企業
カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS 準拠する必要があります。
カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。
PCI DSS遵守の対応が想定されるお客様
イシュアー、アクワイアラー、サービス・プロバイダー、加盟店
業界例金融業
クレジットカード会社、クレジットカード発行金融機関
流通業
大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共
携帯電話会社、通信会社、ユーティリティ、新聞
製造業
石油業界 他
PCI DSSの12の要件
PCI DSSは、カード会員データを扱うシステムをほかのシステムと分離するように求め、ネットワークを分離して適切に管理するための6つの「コントロールの目的」と、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシージャなどに関する基準が、12の「要件」として規定されています。
I.安全なネットワークの構築・維持
- 要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
- 要件2:システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと
II.カード会員データの保護
- 要件3:保存されたカード会員データを安全に保護すること
- 要件4:公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
III.脆弱性を管理するプログラムの整備
- 要件5:アンチウィルス・ソフトウェアを利用し、定期的に更新すること
- 要件6:安全性の高いシステムとアプリケーションを開発し、保守すること
IV.強固なアクセス制御手法の導入
- 要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること
- 要件8:コンピュータにアクセスする利用者毎に個別のID を割り当てること
- 要件9:カード会員データへの物理的アクセスを制限すること
V.定期的なネットワークの監視およびテスト
- 要件10:ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
- 要件11:セキュリティ・システムおよび管理手順を定期的にテストすること
VI.情報セキュリティ・ポリシーの整備
- 要件12:情報セキュリティに関するポリシーを整備すること
PCI DSS準拠のための教育トレーニング
eラーニングで学ぶ「PCI DSS v3.2.1 概念と要件」
PCI DSS『Requirements and Security Assessment Procedures v3.2.1』要件の前文を含め、全12要件の概要、各要件を満たすシステム条件や文書化要求などポイントが整理されており、要件を理解しながら準拠の準備・適切な運営の維持を可能にします。
幅広い業界で多くのPCI DSS監査実績を持つICMS社QSAの監修により、PCI DSS要件の目的を把握し確実な準拠と適切な運営へのガイドとなる実用的な教材です。
<監修>国際マネジメントシステム認証機構 (ICMS) 代表取締役社長 PCI DSS QSA監査員 上野 洋一
eラーニング概要
【学習内容】
- PCI DSS要件(v3.2.1)の概要と準拠へのガイドについて学習します。
【標準学習時間】
- 23時間(詳細学習時間は下記の『eラーニングのフローチャート』を参照)
【eラーニング構成】
- 全10パート(40レッスン)
eラーニングのフローチャート
※各レッスンは下記のように「教材」と「テスト」で構成されています。
Part10(Lesson40)ではテストのみの提供となります。
eラーニング受講の目的
- PCI DSSの概念と要件を理解して、自社ビジネスに最適な準拠の仕方、運営を行えるようにする
- PCI DSS要件の概略を学び、QSA同等の知識を目指す
- 各要件の目的を理解して、自社にとって最適なビジネスとシステムで準拠、運営を行いたい。
- 要件の理解を深め、コンサルで顧客満足度を高めたい。
- 実践的なテストでQSA同等の知識を目指したい。
eラーニングの特長
PCI SSC(米国PCIセキュリティ基準審議会)が提供するQSAトレーニングの資料や各種セキュリティスタンダード等を参考にした、監査実績多数の監査員(QSA)監修による実用的な教材です。