PCI DSS

PCI DSSは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって開発され、カード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。

ペイメントカード業界のデータセキュリティスタンダード3.2.1

・PCI DSS（バージョン3.2）には、カード会員データおよび取り引き情報を保護する為の12要件が規定されています。

　安全なネットワークの構築と維持
　　要件1： カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
　　要件2： システムパスワード及びその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

　カード会員データの保護
　　要件3： 保存されたカード会員データを保護する
　　要件4： オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

　脆弱性管理プログラムの整備
　　要件5： アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
　　要件6： 安全性の高いシステムとアプリケーションを開発し、保守する

　強固なアクセス制御手法の導入
　　要件7： カード会員データへのアクセスを、業務上必要な範囲内に制限する
　　要件8： コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
　　要件9： カード会員データへの物理アクセスを制限する

　ネットワークの定期的な監視およびテスト
　　要件10： ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
　　要件11： セキュリティシステムおよびプロセスを定期的にテストする

　情報セキュリティポリシーの整備
　　要件12： すべての担当者の情報セキュリティポリシーを整備する

・PCI DSSは、順守する必要があるすべての企業にさまざまなデータ保護、プライバシー、およびセキュリティテスト要件を課しています。Webおよびモバイルアプリケーションのセキュリティは、PCI DSSコンプライアンスプロセスの重要な部分です。

要件6.1
　セキュリティ脆弱性情報の信頼できる外部ソースを使用して、セキュリティ脆弱性を識別するプロセスを確立し、新たに発見されたセキュリティ脆弱性にリスクランキング（「高」、「中」、「低」など）を割り当てます。

要件6.6
　公開されているWebアプリケーションの場合、新しい脅威と脆弱性に継続的に対処し、次のいずれかの方法でこれらのアプリケーションが既知の攻撃から保護されるようにします。
・手動または自動化されたアプリケーションの脆弱性セキュリティ評価ツールまたは方法を使用して、少なくとも年に一度および変更後に公開されているWebアプリケーションをレビューする。
・すべてのトラフィックを継続的にチェックするために、公開ベースのWebアプリケーションの前にWebベースの攻撃（Webアプリケーションファイアウォールなど）を検出および防止する自動技術ソリューションをインストールします。

要件11.3
　以下を含む侵入テストの方法論を実装します。
・業界で受け入れられている侵入テスト手法に基づいています（たとえば、NIST SP800-115）
・CDE境界線全体および重要なシステムのカバレッジが含まれます
・ネットワークの内側と外側の両方からのテストを含む
・セグメンテーションとスコープ縮小制御を検証するテストが含まれています
・アプリケーション層の侵入テストを定義して、少なくとも要件6.5に記載されている脆弱性を含めます

参照HP：PCI Security Standards Council
参照HP：ウィキペディア