PCI DSS(ピーシーアイ ディーエスエス)とは
PCI DSS(ピーシーアイ ディーエスエス)の目的と要件、準拠認定のためのプログラムをわかりやすく解説します。
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とは、カード会員情報の保護を目的として、国際ペイメントブランド5社(アメリカンエキスプレス、Discover、JCB、マスターカード、VISA)が共同で策定したカード情報セキュリティの国際統一基準です。
2004年12月に制定され、2022年4月に現行のv4.0にバージョンアップされています。また、PCI SSC(Payment Card Industry Security Standards Council)がPCI DSSの維持、管理、普及活動を目的に設立されています。
カード会社、加盟店、プロセサー(決済処理代行事業者)など、カード情報を管理、処理、伝送するすべての組織が対象になります。 カード情報の盗難多発、スキミングからネットの不正アクセスによる大量のカード情報盗難、2005年米国大手プロセサーから4,000万件の情報盗難がきっかけで米国で普及しました。
PCI DSSの目的と要件
PCI DSSでは、カード会員情報を適切に管理するための6つの目的を達成するために、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。
| 目的 | 要件 |
|---|---|
| 1. 安全なネットワークとシステムの構築と維持 | 1. カード会員データを保護するために、ファイアウォールをインストールして維持する |
| 2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない | |
| 2. カード会員データの保護 | 3. 保存されるカード会員データを保護する |
| 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する | |
| 3. 脆弱性管理プログラムの維持 | 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する |
| 6. 安全性の高いシステムとアプリケーションを開発し、保守する | |
| 4. 強力なアクセス制御手法の導入 | 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 8. システムコンポーネントへのアクセスを識別・認証する | |
| 9. カード会員データへの物理アクセスを制限する | |
| 5. ネットワークの定期的な監視およびテスト | 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
| 11. セキュリティシステムおよびプロセスを定期的にテストする | |
| 6. 情報セキュリティポリシーの維持 | 12. すべての担当者の情報セキュリティに対応するポリシーを維持する |
出典:Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順 バージョン3.0 2013年11月
これら12の要件は、さらに詳細な約400項目に細分化されて規定されています。
準拠認定のためのプログラム
PCI DSSはカード会員情報を格納、処理、又は伝送するすべての組織、加盟店、サービスプロバイダーに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされています。
自己問診
「自己評価問診票」の設問に、「はい」「いいえ」、または「該当なし」で回答することにより、PCI DSS基準をどれだけ満たしているか確認することができます。
ASVによる脆弱性スキャン
PCI SSCが認定したASV(Approved Scanning Vendor)が遠隔地からの操作により、インターネットに接続されているネットワーク機器、サーバ機器の脆弱性をチェックします。
テスト費用、実施期間などの詳細につきましては、「セキュリティ評価機関(ASV)」にお問い合わせください。
訪問審査、遵守報告書の提出
PCI SSCが認定したQSA(Qualified Security Assessor)が各事業者に実地訪問し、セキュリティ対策、運用及び情報の取り扱い状況に関するインタビューや検査を実施します。審査結果は認定審査員から各事業者に報告されます。
富士通でのPCI DSSの取り組み
QSA(Qualified Security Assessor:認定審査機関)とASV(Approved Scanning Vendor:認定スキャニングベンダー)の認定企業である富士通が、お客様のPCI DSS(Payment Card Industry Data Security Standards:ペイメントカード業界データセキュリティ基準)準拠対応の確立や認定取得のための審査対応をご支援致します。詳しくは、「PCI DSS準拠認定支援コンサルティング」をご覧ください。
PCI DSS v4.0について詳しく知りたい方へ
-
新たなバージョンであるPCI DSS v4.0への対応が進みつつある中で、クレジットカード情報のセキュアな管理をどう進めればよいだろうか。PCI DSS v4.0のポイントについて解説する。
-
セキュリティに関するお問い合わせ・ご相談
お電話でのお問い合わせ 富士通コンタクトライン(総合窓口)
0120-933-200 (通話無料)受付時間 : 9:00~12:00および13:00~17:30(土・日・祝日・当社指定の休業日を除く)
当社はセキュリティ保護の観点からSSL技術を使用しております。
