PCI DSS

セキュリティ事業部

PCI DSS

PCI DSSは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって開発され、カード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。

 

ペイメントカード業界のデータセキュリティスタンダード3.2.1

・PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護する為の12要件が規定されています。

 安全なネットワークの構築と維持
  要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
  要件2: システムパスワード及びその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

 カード会員データの保護
  要件3: 保存されたカード会員データを保護する
  要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

 脆弱性管理プログラムの整備
  要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
  要件6: 安全性の高いシステムとアプリケーションを開発し、保守する

 強固なアクセス制御手法の導入
  要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
  要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
  要件9: カード会員データへの物理アクセスを制限する

 ネットワークの定期的な監視およびテスト
  要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
  要件11: セキュリティシステムおよびプロセスを定期的にテストする

 情報セキュリティポリシーの整備
  要件12: すべての担当者の情報セキュリティポリシーを整備する

 

・PCI DSSは、順守する必要があるすべての企業にさまざまなデータ保護、プライバシー、およびセキュリティテスト要件を課しています。Webおよびモバイルアプリケーションのセキュリティは、PCI DSSコンプライアンスプロセスの重要な部分です。

要件6.1
 セキュリティ脆弱性情報の信頼できる外部ソースを使用して、セキュリティ脆弱性を識別するプロセスを確立し、新たに発見されたセキュリティ脆弱性にリスクランキング(「高」、「中」、「低」など)を割り当てます。

要件6.6
 公開されているWebアプリケーションの場合、新しい脅威と脆弱性に継続的に対処し、次のいずれかの方法でこれらのアプリケーションが既知の攻撃から保護されるようにします。
・手動または自動化されたアプリケーションの脆弱性セキュリティ評価ツールまたは方法を使用して、少なくとも年に一度および変更後に公開されているWebアプリケーションをレビューする。
・すべてのトラフィックを継続的にチェックするために、公開ベースのWebアプリケーションの前にWebベースの攻撃(Webアプリケーションファイアウォールなど)を検出および防止する自動技術ソリューションをインストールします。

要件11.3
 以下を含む侵入テストの方法論を実装します。
・業界で受け入れられている侵入テスト手法に基づいています(たとえば、NIST SP800-115)
・CDE境界線全体および重要なシステムのカバレッジが含まれます
・ネットワークの内側と外側の両方からのテストを含む
・セグメンテーションとスコープ縮小制御を検証するテストが含まれています
・アプリケーション層の侵入テストを定義して、少なくとも要件6.5に記載されている脆弱性を含めます

 

 

参照HP:PCI Security Standards Council
参照HPウィキペディア