2022年3月にv4.0がリリースされ、v3.2.1は2024年3月末で引退となるPCI DSS。今さらだけど、PCI DSSってどうしたらいいかわからない、対応サービスを探している方向けにPCI DSSについて説明します。これだけ読めばPCI DSSの準拠対策も安心!
PCI DSSとは?
一言で言うと、クレジットカードを取扱う会社向けのデータセキュリティ基準です。
Payment Card Industry Data Security Standardの略で、国際的なクレジット産業向けの基準となっています。
もともとは、クレジットカードのセキュリティ基準は各国際カードブランドによって決められていましたが、オンラインショッピングに伴うセキュリティの強化と加盟店の負担の削減をきっかけに、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が手を組んでデータセキュリティ評価基準・PCI DSSが誕生しました。
PCI DSSの準拠が必要な企業とは?
クレジットカード会社はもちろんですが、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信する、すべての事業体に適用されます。
例としては、カード加盟店や銀行、決済代行サービス企業、百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。
PCI DSSに準拠するメリットは?なぜ必要なの?
PCI DSS はカード会員データを保護するほかにも、準拠を行うことで、セキュリティ対策ができるのが大きなメリットです。
米国の企業ではクレジットカード情報に限らず組織全体のセキュリティ対策として取り入れられています。
準拠を行い、安全性が高まることで、企業への信頼度の向上はもちろん、ハッカーからの攻撃からお客様のサイトを守り、情報漏洩などのリスクを減らすことができます。
PCI DSS認定取得の方法を知りたい!
認証取得の方法は2つあります。カード情報の取り扱いの規模や事業形態によっては複数実施する必要がありますので、確認をしましょう。
1.訪問審査の方法
訪問審査は、カード発行会社や情報量の多い事業者などに求められる方法です。
PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)が訪問を行い審査をします。定期審査は年1回行います。
QSAの一覧は、日本カード情報セキュリティ協議会のサイトから確認ができます。
(参考:https://www.jcdsc.org/qsa-asv.php)
2. 自己問診の方法
PCIDSSの要求事項に基づいた自己問診の各質問に対し、「はい」、「いいえ」、または「N/A(該当なし)」で回答し、PCI DSSの基準をすべて満たしているか確認する方法です。
自己問診シートはPCI SSCのホームページ(英語サイト)よりダウンロードいただけます。
自己問診(Self-Assessment Questionnaire)のダウンロードはこちら
バージョン3.2.1に基づく自己問診(SAQ)の日本語版はPCI SSCの日本語サイトに公開されています。
自己問診(SAQ)日本語版のダウンロードはこちら
ASVスキャン
診断要件であるスキャン検査は、国際カードブランド5社によって設立されたPCI SSC(PCI Security Standards Council)に認定されたベンダ(ASV = Approved Scanning Vendor)のスキャンツールによって、4半期ごとに実施します。スキャンツールでインターネットに接続されているネットワークやサーバ機器の脆弱性を診断します。カードの取り扱いが中規模の事業者やインターネットを利用している事業者にとって必要な審査方法となります。
PCI DSSの要件と対応サービス
PCI DSSで定められている要件は?
PCI DSSでは6つの目標とそれに対応する12の要件が定められています。
その6つの目標とそれに対応する12の要件は以下となります。
安全なネットワークとシステムの構築と維持
1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
12. すべての担当者の情報セキュリティに対応するポリシーを維持する
参照:Payment Card Industry(PCI) データセキュリティ基準
要件とセキュリティ評価手順 バージョン 3.2.1 2018 年 5 月
https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCI_DSS_v3_2_1_JA-JP.pdf
三和コムテックの PCI DSS準拠診断サービス
PCI DSS 準拠をするに当たって必要とされる要件のうち、弊社が提供することの出来る、診断関係のソリューションやプロダクトをご紹介します。
| 要件 | 要件概要 | 頻度 | SCT該当サービス名 |
|---|---|---|---|
|
ASV(認定ベンダー)からのインターネット経由の脆弱性診断 | 四半期ごと | SCT SECURE PCIスキャン |
|
内部ネットワークからの脆弱性診断 | 四半期ごと | SCT SECURE インターナルスキャン |
|
インターネット経由ペネトレーション診断 | 年1回 | SCT SECURE ペネトレーション診断 |
|
内部ネットワークからのペネトレーション診断 | 年1回 | SCT SECURE ペネトレーション診断 |
|
境界面調査 | 年2回 | SCT SECURE セグメント診断 |
|
外部サイトのWeb アプリケーションの継続保護 | 随時 | SCT SECURE ペネトレーション診断 |
|
無線LAN調査 | 四半期ごと | SCT SECURE 無線LANスキャン |
PCI DSS準拠診断サービスについてはこちらもご覧ください。
SCT SECURE PCI DSS準拠診断サービス
