PCI DSS（ピーシーアイディーエスエス）とは

PCI DSS（Payment Card Industry Data Security Standard）とは、カード会員情報の保護を目的として、国際ペイメントブランド5社（アメリカンエキスプレス、Discover、JCB、マスターカード、VISA）が共同で策定したカード情報セキュリティの国際統一基準です。
2004年12月に制定され、2013年11月に現行のv3.0にバージョンアップされています。また、PCI SSC（Payment Card Industry Security Standards Council）がPCI DSSの維持、管理、普及活動を目的に設立されています。
カード会社、加盟店、プロセサー（決済処理代行事業者）など、カード情報を管理、処理、伝送するすべての組織が対象になります。カード情報の盗難多発、スキミングからネットの不正アクセスによる大量のカード情報盗難、2005年米国大手プロセサーから4,000万件の情報盗難がきっかけで米国で普及しました。

PCI DSSの目的と要件

PCI DSSでは、カード会員情報を適切に管理するための6つの目的を達成するために、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。

目的	要件
1. 安全なネットワークとシステムの構築と維持	1. カード会員データを保護するために、ファイアウォールをインストールして維持する
1. 安全なネットワークとシステムの構築と維持	2. システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
2. カード会員データの保護	3. 保存されるカード会員データを保護する
2. カード会員データの保護	4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
3. 脆弱性管理プログラムの維持	5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
3. 脆弱性管理プログラムの維持	6. 安全性の高いシステムとアプリケーションを開発し、保守する
4. 強力なアクセス制御手法の導入	7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
	8. システムコンポーネントへのアクセスを識別・認証する
	9. カード会員データへの物理アクセスを制限する
5. ネットワークの定期的な監視およびテスト	10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
5. ネットワークの定期的な監視およびテスト	11. セキュリティシステムおよびプロセスを定期的にテストする
6. 情報セキュリティポリシーの維持	12. すべての担当者の情報セキュリティに対応するポリシーを維持する

出典：Payment Card Industry（PCI）データセキュリティ基準要件とセキュリティ評価手順バージョン3.0 2013年11月

これら12の要件は、さらに詳細な約400項目に細分化されて規定されています。

【関連リンク】

ページの先頭へ

準拠認定のためのプログラム

PCI DSSはカード会員情報を格納、処理、又は伝送するすべての組織、加盟店、サービスプロバイダーに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされています。

自己問診

「自己評価問診票」の設問に、「はい」「いいえ」、または「該当なし」で回答することにより、PCI DSS基準をどれだけ満たしているか確認することができます。
「自己評価問診票」は、PCI SSCホームページ（英語サイト）よりダウンロードいただけます。

【関連リンク】

「自己評価問診票（PCI DSS New Self-Assessment Questionnaire（SAQ））」のダウンロード

ASVによる脆弱性スキャン

PCI SSCが認定したASV（Approved Scanning Vendor）が遠隔地からの操作により、インターネットに接続されているネットワーク機器、サーバ機器の脆弱性をチェックします。
テスト費用、実施期間などの詳細につきましては、「セキュリティ評価機関（ASV)」にお問い合わせください。

訪問審査、遵守報告書の提出

PCI SSCが認定したQSA（Qualified Security Assessor）が各事業者に実地訪問し、セキュリティ対策、運用及び情報の取り扱い状況に関するインタビューや検査を実施します。審査結果は認定審査員から各事業者に報告されます。

イメージ

【富士通のソリューション】

PCI DSS（ピーシーアイディーエスエス）
PCI DSS （Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティ基準）のクリアを支援するセキュリティ対策ソリューションです。

ソリューション内容詳細はこちら

PCI DSSソリューション詳細 | PCI DSSとは

ページの先頭へ

サービス/製品

星印（）のついた商品は、セキュリティガバナンスを実現するおすすめ商品です。

カテゴリ		製品/サービス名
全体支援	セキュリティ対策支援	情報セキュリティ強化支援コンサルティング
	ユーザ教育支援	情報セキュリティ教育コンサルティング
	セキュリティ監査	情報セキュリティ監査サービス
	セキュリティ最適化	セキュリティ最適化サービス
	脆弱性診断サービス	脆弱性診断・管理サービス
ファイアウォール／WAFの導入	ファイアウォールアプライアンス／UTM	ネットワークサーバIPCOM EX SCシリーズ
		Check Point アプライアンス
		Palo Alto Networks PAシリーズ
	ファイアウォール	Barracuda Web ApplicationFirewall Vx(仮想アプライアンス版)
	ファイアウォール	Check Point Software Blade
初期パスワードの禁止	IDマネジメント	CA IdentityMinder(TM)
		LDAPManager
		PMaid IDMaster
		Sun Java System Directory Server
		BRidgeWARE
データの保護	マルチプラットフォーム暗号	マルチプラットフォーム暗号化ツールCOMPLOCKII
	暗号ライブラリ	RSA BSAFE
	暗号化ストレージ	ETERNUS DX 自己暗号化ドライブ
	暗号化ストレージ	ETERNUS SF KM
	マスキング	Oracle Data Masking and Subsetting Pack
通信の暗号化	ネットワーク暗号ルータ	IPアクセスルータ Si-R
	VPN	Juniper Secure Access
	ゲートウェイ型メール暗号	FENCE-Mail For Gateway
	カード情報の自動暗号化	FENCE メール誤送信対策サービス
アンチウイルスの導入	アンチウイルス	Server Protection for Windows
		ServerProtect for Linux
		ServerProtect for NetApp
		Symantec Endpoint Protection
		ウイルスバスターコーポレートエディション Plus
	企業内統合運用	Trend Micro Control Manager(TMCM)
	ウイルスゲートウェイ	IPCOMセキュリティサポートサービス
安全なアプリケーション	検疫ソフト	iNetSec Inspection Center
	資産管理ソフト製品	Systemwalker Desktop Patrol
	アプリケーション診断	Webアプリケーションセキュリティ診断サービス
	仮想パッチ	Deep Security
アクセス制御	サーバアクセスコントロール	SHieldWARE
一意なIDの割り当て	手のひら静脈認証	手のひら静脈認証 PalmSecure
一意なIDの割り当て	クライアント認証強化	SMARTACCESS/Premium
物理アクセスの制限	映像収集・蓄積	FutureyeII
物理アクセスの制限	入退室管理	入退室管理システム SGシリーズ
アクセスの追跡と監視	証跡管理	Systemwalker Centric Manager
	プロキシーアプライアンス	BlueCoatシリーズ
	ネットワークキャプチャ型DBログ記録	Chakra
	サーバエージェント型DBログ記録	データベースセキュリティ強化(PISO)
	特権操作ログ	SHieldWARE NE
セキュリティテスト	ASVによる脆弱性スキャン	PCI DSS ASV認定スキャンサービス
	侵入検知	IPCOMセキュリティ運用サービススタンダード
	侵入検知	Proventia シリーズ
セキュリティポリシーの整備	組織ポリシー策定支援	情報セキュリティ方針立案コンサルティング
セキュリティポリシーの整備	セキュリティマネジメント支援ツール	統合マネジメント支援サービス（IMS-S）