PCI DSS(ピーシーアイ ディーエスエス)とは
- PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。
- 2004年12月に制定され、2013年11月に現行のv3.0にバージョンアップされています。また、PCI SSC(Payment Card Industry Security Standards Council)がPCI DSSの維持、管理、普及活動を目的に設立されています。
- カード会社、加盟店、プロセサー(決済処理代行事業者)など、カード情報を管理、処理、伝送するすべての組織が対象になります。 カード情報の盗難多発、スキミングからネットの不正アクセスによる大量のカード情報盗難、2005年米国大手プロセサーから4,000万件の情報盗難がきっかけで米国で普及しました。
PCI DSSの目的と要件
PCI DSSでは、カード会員情報を適切に管理するための6つの目的を達成するために、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。
目的 | 要件 |
---|---|
1. 安全なネットワークとシステムの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして維持する |
2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない | |
2. カード会員データの保護 | 3. 保存されるカード会員データを保護する |
4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する | |
3. 脆弱性管理プログラムの維持 | 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する |
6. 安全性の高いシステムとアプリケーションを開発し、保守する | |
4. 強力なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する |
8. システムコンポーネントへのアクセスを識別・認証する | |
9. カード会員データへの物理アクセスを制限する | |
5. ネットワークの定期的な監視およびテスト | 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
11. セキュリティシステムおよびプロセスを定期的にテストする | |
6. 情報セキュリティポリシーの維持 | 12. すべての担当者の情報セキュリティに対応するポリシーを維持する |
出典:Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン3.0 2013年11月
これら12の要件は、さらに詳細な約400項目に細分化されて規定されています。
-
【関連リンク】
サービス/製品
星印()のついた商品は、セキュリティガバナンスを実現するおすすめ商品です。
カテゴリ | 製品/サービス名 | ||
---|---|---|---|
全体支援 | セキュリティ対策支援 | サービス | ![]() |
ユーザ教育支援 | サービス | ![]() |
|
セキュリティ監査 | サービス | ![]() |
|
セキュリティ最適化 | サービス | ![]() |
|
脆弱性診断サービス | サービス | ![]() |
|
PCI DSS マネージドセキュリティ | サービス | FUJITSU Security Solution PCI DSS セキュリティコントロールサービス | |
ファイアウォール/WAFの導入 | ファイアウォールアプライアンス/UTM | 製品 | ![]() |
製品 | Palo Alto Networks PAシリーズ | ||
ファイアウォール | 製品 | Barracuda Web ApplicationFirewall Vx(仮想アプライアンス版) | |
初期パスワードの禁止 | IDマネジメント | 製品 | LDAPManager |
製品 | PMaid IDMaster | ||
データの保護 | マルチプラットフォーム暗号 | 製品 | ![]() |
暗号化ストレージ | 製品 | ![]() |
|
製品 | ![]() |
||
マスキング | 製品 | Oracle Data Masking and Subsetting Pack | |
通信の暗号化 | ネットワーク暗号ルータ | 製品 | ![]() |
VPN | 製品 | PulseSecure Appliance | |
ゲートウェイ型メール暗号 | 製品 | FUJITSU SecuritySolution FENCE-Mail For Gateway | |
カード情報の自動暗号化 | サービス | ![]() |
|
アンチウイルスの導入 | アンチウイルス | 製品 | McAfee MVISION(McAfee Endpoint Security) |
製品 | Server Protection for Windows | ||
製品 | ServerProtect for Linux | ||
製品 | ServerProtect for Storage on NetApp | ||
製品 | Trend Micro Apex One | ||
ウイルスゲートウェイ | サービス | ![]() |
|
安全なアプリケーション | 検疫ソフト | 製品 | ![]() |
資産管理ソフト製品 | 製品 | ![]() |
|
アプリケーション診断 | サービス | ![]() |
|
仮想パッチ | 製品 | Deep Security | |
アクセス制御 | サーバアクセスコントロール | 製品 | ![]() |
一意なIDの割り当て | 手のひら静脈認証 | 製品 | ![]() |
クライアント認証強化 | 製品 | SMARTACCESS/Premium | |
物理アクセスの制限 | 映像収集・蓄積 | 製品 | ![]() |
アクセスの追跡と監視 | 証跡管理 | 製品 | ![]() |
ネットワークキャプチャ型DBログ記録 | 製品 | Chakra | |
サーバエージェント型DBログ記録 | 製品 | データベースセキュリティ強化(PISO) | |
特権操作ログ | 製品 | SHieldWARE NE | |
セキュリティテスト | ASVによる脆弱性スキャン | サービス | ![]() |
侵入検知 | サービス | ![]() |
|
セキュリティポリシーの整備 | 組織ポリシー策定支援 | サービス | ![]() |
セキュリティマネジメント支援ツール | サービス | ![]() |
お問い合わせはこちら
Webでのお問い合わせ
-
入力フォームへ
当社はセキュリティ保護の観点からSSL技術を使用しております。
電話でのお問い合わせ
-
富士通コンタクトライン(総合窓口)
0120-933-200(通話無料)受付時間:平日9時~17時30分 (土曜・日曜・祝日・当社指定の休業日を除く)