PCI DSS (Payment Card Industry Data Security Standard) への準拠に関するクイック ガイド

概要: PCI DSS 準拠を維持すると、顧客の信頼性を高め、データや個人情報の盗難のリスクを最小限に抑えることができます。 この記事では、以下の PCI DSS 準拠の重要性について詳しく説明します。

Payment Card Industry Data Security Standard (PCI DSS) への準拠は、今日のデジタル環境において機密性の高い支払い情報を保護する最前線にあります。 これは、ペイメント カード データの安全な取り扱い、処理、保存のための包括的なフレームワークを規定しています。

サイバー脅威が進化する中、ペイメントカード取引に関わる企業にとって、消費者のカードデータを保護するためには、PCI DSS 標準を順守することが最も重要です。 以下で PCI DSS コンプライアンスについて詳しく見ていきましょう。

PCI DSS とは何を意味しますか?

PCI DSS (Payment Card Industry Data Security Standard) は、デビット、クレジット、現金取引のセキュリティを最適化するための一連のプロセスとポリシーです。 さらに、カード所有者のデータを盗難から保護するのにも役立ちます。

PCI DSS は、機密データの侵害を防ぎ、ペイメント カード データを管理する企業の不正リスクを最小限に抑えるために開発されました。 そのすべてのプロトコルとガイドラインは、Payment Card Industry Security Standards Council によって開発されています。

PCI DSS の目標は何ですか?

PCI DSS の主な目的は、カード所有者の機密データを保管、処理、転送する際に保護することです。 PCI DSS セキュリティ プロトコルは、組織がデータ侵害や個人情報の盗難を軽減するのに役立ちます。

PCI DSS コンプライアンスを維持することで、企業はクレジット カード情報を処理および送信する際に業界慣行を遵守することが保証されます。

PCI DSS 準拠の 6 つの原則

すべての組織が従うべき、ペイメント カード業界のデータ セキュリティ標準への準拠に関する 6 つの原則は次のとおりです。

• 安全なシステムとネットワークを維持する:すべてのカード取引は安全なネットワークで処理される必要があります。 インフラストラクチャには、盗聴や悪意のある攻撃を軽減するファイアウォールが必要です。 さらに、ベンダーが提供する認証データも使用しないでください。
• カード所有者の詳細を保護する: PCI DSS に準拠しているすべての企業は、カード所有者のすべてのデータをどこに保存されていても安全に保管する必要があります。 公衆ネットワークを介して送信されるすべてのデータも、暗号化によって保護される必要があります。
• 脆弱性管理プログラムの導入:カード サービス会社は、マルウェアやスパイウェアなどの悪意のある攻撃からシステムを保護するために、リスク管理および評価プログラムを導入する必要があります。
• アクセス制御措置を実装する:データおよびシステムへのアクセスを制限し、使用するために一意の識別名または番号を割り当てる必要があります。 カード所有者のデータへの物理的およびデジタル的アクセスを制限するための措置を講じる必要があります。
• ネットワークを頻繁にテストして監視する:組織内のすべてのネットワークを定期的にテストおよび監視し、脆弱性がないことを確認する必要があります。
• 情報セキュリティ ポリシーの実装:組織内で適切な情報セキュリティ ポリシーを定義し、従う必要があります。 監査や違反に対する罰則などの強制措置も導入する必要があります。

12 の PCI コンプライアンス要件とは何ですか?

PCI DSS に準拠する必要があるすべての組織は、次の PCI 準拠要件を満たす必要があります。

• 顧客カードの詳細を管理および保護するためにファイアウォールをインストールする
• ソフトウェアのベンダーから提供されたパスワードは使用しないでください
• カード所有者のデータを保護し続ける
• オープンなパブリック ネットワーク経由で転送されるペイメント カード データを暗号化する
• ウイルス対策ソフトウェアを頻繁に更新する
• 安全なアプリケーションとシステムを開発および管理する
• カード所有者のデータへの従業員のアクセスを制限する
• 各従業員に一意の ID を使用してカード所有者のデータにアクセスする
• 顧客のカードデータへの物理的アクセスを制限する
• 会社のリソースへのすべてのアクセスを追跡および監督する
• アプリケーションとシステムの脆弱性を頻繁にテストする
• 情報セキュリティポリシーを実施し、維持します。

PCI DSS 準拠レベルとは何ですか?

PCI DSS コンプライアンス要件は、組織が年間処理するカード取引の量に応じて 4 つの加盟店レベルに分類されます。 PCI DSS 準拠における 4 つの検証レベルは次のとおりです。

レベル 1:年間 600 万件のカード取引を管理する企業が含まれます。 これらの企業のタイプは、毎年 Qualified Security Assessor (QSA) の評価に合格し、四半期ごとのネットワーク可視性スキャンのために Approved Scanning Vendor (ASV) を備えている必要があります。

レベル 2:このレベルは、年間 100 万から 600 万件のカード取引を管理する加盟店に適用されます。 これらの企業は、年次自己評価質問書 (SAQ) を完了する必要があり、また、ASV ネットワーク脆弱性スキャンを四半期ごとに提出する必要もあります。

レベル 3:このレベルには、年間 2 万から 100 万件のカード取引を管理する企業が含まれます。 また、毎年 SAQ を完了し、四半期ごとにネットワーク脆弱性スキャンを提出する必要もあります。

レベル 4:レベル 4 には、年間 20,000 件未満のカード取引を管理する企業が含まれます。 他のレベルと同様に、これらの販売者も SAQ を毎年完了し、ネットワーク脆弱性スキャンを四半期ごとに提出する必要があります。

PCI DSS 準拠のメリット

PCI DSS への準拠を維持することは、顧客間の信頼と信用を築き、ブランドの評判を高めるのに役立ちます。 さらに、ビジネスに次の利点をもたらします。

• データを保護することで顧客の信頼の構築を支援します
• データ侵害の可能性を軽減します
• 不正行為の防止に役立ちます
• 法規制順守の維持を支援
• データ侵害にかかる費用の削減に役立ちます

PCI DSS 準拠の課題

PCI DSS に準拠し続けることには複数のメリットがありますが、組織にとっては、必須のコンプライアンス要件をすべて満たすことや、コンプライアンスを満たすために高額なコストを支払うことなど、いくつかの課題が生じます。

組織が直面するその他の課題には次のようなものがあります。

• 組織は、PCI DSS 要件を理解して実装するのが少し複雑であると感じています
• PCI DSSの導入コストはかなり高額
• PCI DSS へのコンプライアンスの維持は継続的なプロセスであり、多くの時間とリソースが必要です。
• PCI DSS のコンプライアンス要件は変化し続けるため、企業にとって要件を満たすことが困難になる可能性があります

PCI DSS コンプライアンスのベスト プラクティス

これらの実践は、PCI DSS に準拠し、カード所有者のデータを転送するための安全な環境を構築するのに役立ちます。 PCI DSS コンプライアンスを維持するために PCI SSC が提案するベスト プラクティスを以下に列挙します。

• 業務運営にとって重要なカード会員データのみを保存する
• コンプライアンスを評価するためのパフォーマンス指標を作成する
• 組織や業界に固有の PCI DSS に加えて追加のセキュリティ要件を作成する
• データの盗難を防ぐためにソーシャル エンジニアリングによるデータ侵害について従業員に教育する
• セキュリティ障害に対処し対処するための手順を策定する
• ベンダーサービスプロバイダーのコンプライアンスを監督する
• コンプライアンス関連のタスクを資格のある従業員のみに割り当てる
• システムとプロセスを定期的に監視して脆弱性を特定する

結論

機密性の高い支払い情報を保護することの重要性は、どれだけ強調してもしすぎることはありません。 PCI DSS のプロトコルを実装することで、カード所有者のデータの機密性と完全性を確保し、より安全な支払いエコシステムに貢献できます。 さらに、顧客との信頼関係の構築にも役立ちます。

PCI DSSに関するFAQ