PCI DSS(ピーシーアイ ディーエスエス)とは

  • PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。
  • 2004年12月に制定され、2022年4月に現行のv4.0にバージョンアップされています。また、PCI SSC(Payment Card Industry Security Standards Council)がPCI DSSの維持、管理、普及活動を目的に設立されています。
  • カード会社、加盟店、プロセサー(決済処理代行事業者)など、カード情報を管理、処理、伝送するすべての組織が対象になります。 カード情報の盗難多発、スキミングからネットの不正アクセスによる大量のカード情報盗難、2005年米国大手プロセサーから4,000万件の情報盗難がきっかけで米国で普及しました。

PCI DSSの目的と要件

PCI DSSでは、カード会員情報を適切に管理するための6つの目的を達成するために、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。

目的 要件
1. 安全なネットワークとシステムの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして維持する
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
2. カード会員データの保護 3. 保存されるカード会員データを保護する
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
3. 脆弱性管理プログラムの維持 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6. 安全性の高いシステムとアプリケーションを開発し、保守する
4. 強力なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
8. システムコンポーネントへのアクセスを識別・認証する
9. カード会員データへの物理アクセスを制限する
5. ネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11. セキュリティシステムおよびプロセスを定期的にテストする
6. 情報セキュリティポリシーの維持 12. すべての担当者の情報セキュリティに対応するポリシーを維持する

出典:Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン3.0 2013年11月

これら12の要件は、さらに詳細な約400項目に細分化されて規定されています。

準拠認定のためのプログラム

PCI DSSはカード会員情報を格納、処理、又は伝送するすべての組織、加盟店、サービスプロバイダーに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされています。

自己問診

「自己評価問診票」の設問に、「はい」「いいえ」、または「該当なし」で回答することにより、PCI DSS基準をどれだけ満たしているか確認することができます。

ASVによる脆弱性スキャン

PCI SSCが認定したASV(Approved Scanning Vendor)が遠隔地からの操作により、インターネットに接続されているネットワーク機器、サーバ機器の脆弱性をチェックします。
テスト費用、実施期間などの詳細につきましては、「セキュリティ評価機関(ASV)」にお問い合わせください。

訪問審査、遵守報告書の提出

PCI SSCが認定したQSA(Qualified Security Assessor)が各事業者に実地訪問し、セキュリティ対策、運用及び情報の取り扱い状況に関するインタビューや検査を実施します。審査結果は認定審査員から各事業者に報告されます。

イメージ

富士通のPCI DSS ソリューション・関連情報

お問い合わせはこちら

Webでのお問い合わせ

電話でのお問い合わせ