GTM-MML4VXJ
Skip to main content

English

Japan

  1. ホーム >
  2. PCI DSS準拠でクレジットカードの情報漏えいを防ぐ!!

PCI DSS対応で、お客様のクレジットカード情報を安全に保護

PCI DSSがクレジットカード情報を情報漏えい事故から守る

 昨今、キャッシュレス化が進みクレジットカードの利用が増加しており、同時にクレジットカード情報の漏えい事故も増えています。そのような状況の中、クレジットカード情報を保護する対策が求められています。このページでは、クレジットカード情報を保護するための基準である、PCI DSSへの対応をご紹介します。



PCI DSSとは


クレジットカードにおける世界的安全基準

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード業界におけるグローバルセキュリティ基準です。各クレジットカード会社が設けていたセキュリティ基準を国際的に統一することを目的に、2004年12月に制定されました。制定の背景としては、カード会員情報の盗難が多発し、不正利用の被害が拡大したことが挙げられます。



PCI DSS準拠に求められること

PCI DSSを準拠するにあたっては、ASV(※1)による脆弱性検査とQSA(※2)による審査が必要です(※3)。PCI DSSの適応対象はカード会員情報を保存、処理、伝送するすべての組織(カード会社、加盟店、サービスプロバイダ等)であり、それらの組織に対してシステム対策、運用対策、文書対策を含む12のセキュリティ要件を満たすことが求められています。

※1 ASV ( Approved Scanning Vendor ) : PCI DSS準拠対応を目指す事業者へ脆弱性検査を実施する企業
※2 QSA ( Qualified Security Assessor ) : PCI DSSの準拠性について訪問審査を行うセキュリティ監査機関
※3 カード情報を取り扱う加盟店やサービスプロバイダの取扱件数によってQSA審査が必須ではない場合もあります。



< 守るべき12のセキュリティ要件 >
PCI DSS準拠のためには、12要件全てを遵守しなければなりません。12のセキュリティ要件は、さらに詳細な約400項目に細分化されて規定されています。

クレジットカードにおける世界的安全基準
安全なネットワークの構築と維持
要件1 カード会員データを保護するために、ファイアーウォールをインストールして構成を維持すること
要件2 システムパスワードおよびその他のセキュリティパラメータに、ベンダー提供のデフォルト値を使用しないこと
カード会員データの保護
要件3 保存されるカード会員データの保護
要件4 オープンな公共ネットワーク経由でカード会員データを転送する場合、暗号化すること
脆弱性管理プログラムの整備
要件5 アンチウイルスソフトウェアを使用し、定期的に更新すること
要件6 安全性の高いシステムとアプリケーションを開発し、保守すること
強固なアクセス制御手法の導入
要件7 カード会員データへのアクセスを、業務上必要な範囲内に制限すること
要件8 コンピュータにアクセスできる各ユーザに一意のIDを割り当てる
要件9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクアセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12 情報セキュリティポリシーを整備する
※Payment Card Industry(PCI)データセキュリティ基準要件とセキュリティ評価手順 バージョン 3.2 (2016年4月)より抜粋


効率よくPCI DSSに準拠するには

状況把握

PCI DSS準拠に向けてはまずはお客様の環境が各セキュリティ要件をどの程度満たしているのか現状を把握することが重要です。現状を把握した上で、必要なシステム対策(製品の導入、機器構成の見直し)、運用対策、文書(ポリシーや手順)の整備を実施していきます。

対象範囲の縮小

PCI DSSはお客様の環境において、カード会員情報を保存、処理、伝送する箇所が対象となります。システム構成の見直しやカード会員情報の非保持化を行うことで、対象となる範囲を狭めることが可能です。範囲を狭まることで、準拠に向けた活動、維持活動の費用を大幅に削減することができます。



当社関連製品

お客様に最適な支援を実施する「PCI DSS準拠支援コンサルティング」

「PCI DSS準拠支援コンサルティング」では、PCI DSSの幅広い要求事項に対応する様々な情報セキュリティ関連サービスを用意しており、お客様ごとに異なるPCI DSSの対象範囲にもコンサルティングからシステム構築/運用まで一貫した、お客様の環境にあった支援を行います。
また、対象範囲をなるべく狭めることで準拠費用、維持費用の削減を実現します。

「PCI DSS準拠支援コンサルティング」詳細

PCI DSSの対象範囲を縮小する「Gemalto KeySecure」

「Gemalto KeySecure」は、トークナイゼーション機能によりカード番号などの機密情報を乱数を用いた全く別の文字列に置き換え保存します。保存されたデータは元のデータとは全く結び付かない形となっているため、万が一漏えいしたとしても損害はなく、PCI DSS審査の対象外となります。

「Gemalto KeySecure」詳細

お問い合わせ

分からない

製品・サービスに関するご質問やご相談などを承っております。

ぜひ、お気軽にお問い合わせください。

お問い合わせ

GTM-MF9BHZ