PCI DSS

PCI DSSは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)によって開発され、カード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
ペイメントカード業界のデータセキュリティスタンダード3.2.1
・PCI DSS(バージョン3.2)には、カード会員データおよび取り引き情報を保護する為の12要件が規定されています。
安全なネットワークの構築と維持
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワード及びその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3: 保存されたカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12: すべての担当者の情報セキュリティポリシーを整備する
・PCI DSSは、順守する必要があるすべての企業にさまざまなデータ保護、プライバシー、およびセキュリティテスト要件を課しています。Webおよびモバイルアプリケーションのセキュリティは、PCI DSSコンプライアンスプロセスの重要な部分です。
要件6.1
セキュリティ脆弱性情報の信頼できる外部ソースを使用して、セキュリティ脆弱性を識別するプロセスを確立し、新たに発見されたセキュリティ脆弱性にリスクランキング(「高」、「中」、「低」など)を割り当てます。
要件6.6
公開されているWebアプリケーションの場合、新しい脅威と脆弱性に継続的に対処し、次のいずれかの方法でこれらのアプリケーションが既知の攻撃から保護されるようにします。
・手動または自動化されたアプリケーションの脆弱性セキュリティ評価ツールまたは方法を使用して、少なくとも年に一度および変更後に公開されているWebアプリケーションをレビューする。
・すべてのトラフィックを継続的にチェックするために、公開ベースのWebアプリケーションの前にWebベースの攻撃(Webアプリケーションファイアウォールなど)を検出および防止する自動技術ソリューションをインストールします。
要件11.3
以下を含む侵入テストの方法論を実装します。
・業界で受け入れられている侵入テスト手法に基づいています(たとえば、NIST SP800-115)
・CDE境界線全体および重要なシステムのカバレッジが含まれます
・ネットワークの内側と外側の両方からのテストを含む
・セグメンテーションとスコープ縮小制御を検証するテストが含まれています
・アプリケーション層の侵入テストを定義して、少なくとも要件6.5に記載されている脆弱性を含めます
参照HP:PCI Security Standards Council
参照HP:ウィキペディア