PCI コンプライアンスの基本: 知っておくべきこと

クレジット カード情報は、闇市場で数百万ドルの価値があるため、サイバー犯罪者にとって最も価値のあるデータ タイプです。

現在、あらゆる規模の企業が、顧客のクレジット カードおよびデビット カード情報を処理し、クレジット カードによる支払いを受けています。 財務データを処理、保存、送信するすべての企業は、悪意のある攻撃者の監視下にあり、最高のサイバー攻撃リスクに直面しています。

これらの理由から、主要なクレジット カード会社は、企業が顧客の財務データを保護するためのセキュリティ ガイドラインを提供する PCI 標準を作成しました。 この記事では、PCI コンプライアンスの基本について説明します。

PCI DSS 準拠についてさらに説明することから始めましょう。

PCI DSS コンプライアンスとは?

Payment Card Industry Data Security Standard (PCI DSS) は、クレジット カード所有者のデータを保護するための技術的および運用上の一連のセキュリティ仕様です。

PCI コンプライアンスは、Visa、Mastercard、American Express、Discover Financial Services、JCB Express などの大手クレジット カード会社によって設立されました。 PCI は、顧客の財務データを保護するための国際的なフレームワークを実現することを目指しています。

収集、保存、および送信を行うすべての企業は、PCI DSS 準拠の対象であり、セキュリティのガイドラインと要件に従う義務があります。

PCI DSS には 4 つの準拠レベル (1、2、3、4) が​​あります。 企業の PCI 準拠レベルは、1 年間の取引量に基づいて決定されます。 レベル 4 に該当する企業は、年間 20,000 件未満のトランザクションを処理します。

レベル 3 は、年間 20,000 ～ 100 万件の取引を処理する商人に適用されます。 レベル 2 は、年間 100 万から 600 万のトランザクションを処理する企業に適用されます。 年間 6 件以上の取引を処理する企業は、レベル 1 に該当します。

PCI 要件は、レベルが 4 から 1 に上がるにつれて厳しくなります。ただし、コンプライアンス レベルに関係なく、すべての企業はすべての PCI 要件をある程度満たすことが義務付けられています。

安全なカード所有者データ処理フレームワークは、PCI コンプライアンスによって 6 つのカテゴリで確立されています。 PCI 要件のカテゴリは、カード会員データ保護、脆弱性管理計画、ネットワーク監視、安全なネットワークおよびシステム管理、アクセス制御制限、および情報セキュリティ ポリシーで構成されます。

これらのカテゴリの内容により、合計 12 の要件ステップが構築されます。 PCI 要件により、カード所有者のデータ処理のセキュリティが保証されます。 PCI コンプライアンスのチェックリストは次のとおりです。

PCI 要件

1- カード会員データ保護のためのファイアウォールをインストールして維持する

ファイアウォールはネットワークの最初の防御メカニズムであるため、カード所有者のデータを安全に保つには、ファイアウォールを適切に構成して維持することが重要です。 ファイアウォールは、ネットワーク トラフィックを制限し、承認されていないアクセスをブロックするため、サイバー脅威から機密データを保護するための非常に効果的なツールです。 そのため、ファイアウォールの確立が最初の要件です。

02. 適切なパスワード保護を行う

ネットワーク サービス、販売時点管理 (POS) システム、およびサード パーティ製品の大部分は、既定の設定で構成されています。

デフォルトのパスワードとユーザー名は広く知られているため、組織が工場出荷時の設定を再構成しなければ、サイバー犯罪者はネットワークや機密データに簡単にアクセスできてしまいます。

パスワード設定を変更するだけでなく、組織はパスワードを必要とするすべてのデバイスとソフトウェアのパスワードを定期的に変更する必要があります。

03. 保存されたカード会員データを保護する

保存されているカード会員データはすべて暗号化する必要があります。 加盟店は、暗号化キーとアルゴリズムを通じてこれらの機密データを確実に保護し、定期的なスキャンを実行する必要があります。

04. カード所有者の送信データを暗号化する

カード会員データのセキュリティを維持することは、PCI コンプライアンスにおける最も重要な要件です。 そのため、マーチャントは、パブリック ネットワークを介したカード所有者のデータ送信も暗号化して保護する必要があります。

05. ウイルス対策ソフトを活用する

ウイルス対策ソフトウェアは、マルウェアからデータを保護するために必要です。 そのため、組織はマルウェアを検出して排除するために、すべてのデバイスでウイルス対策ソフトウェアを利用し、頻繁に更新する必要があります。

06. ソフトウェアおよびシステムのメンテナンス

セキュリティの脆弱性にパッチを当てるために、すべてのソフトウェアとシステムを定期的に更新する必要があります。 データベース、ウイルス対策ソフトウェア、ファイアウォールなどの一部のソフトウェアは、より頻繁に更新する必要があることに注意してください。

07. データアクセスを制限する

必要に応じて、許可された担当者のみがカード所有者のデータにアクセスできるようにする必要があります。 サード パーティやスタッフ メンバーは、機密情報にアクセスできないようにする必要があります。

08. ユーザーアクセスの一意の識別

カード会員データにアクセスできる許可されたユーザーごとに、一意のユーザー名とパスワードのセットを提供する必要があります。 ユーザー アクセス資格情報により、説明責任が保証され、応答時間が短縮されます。

09.物理的なアクセスを制限する

物理的なアクセスも、機密データを保護するためにデジタル アクセスと同様に制限する必要があります。 組織は、カード所有者のデータを物理的に安全な場所に保管し、厳格な管理と承認を実施する必要があります。

10- ネットワーク アクセスの追跡と監視

カード会員データとプライマリ アカウント番号に関しては、すべてのネットワーク アクセスとトラフィックを追跡および監視する必要があります。 カード会員データを含むアクセス ログは、継続的に維持および確認する必要があります。

11- 定期的なセキュリティ システムの評価

セキュリティの脆弱性を特定してパッチを適用するために、定期的なセキュリティ システムの評価と侵入テストを実施する必要があります。 この手順により、セキュリティ システムの現在の状態を判断し、それに応じて改善することが保証されます。

12- サイバーセキュリティ ポリシーを維持する

すべての PCI 要件に対処し、サイバーセキュリティ ポリシーで文書化する必要があります。 サイバーセキュリティ ポリシーを維持することで、組織はネットワークのコンプライアンスとセキュリティを確保できます。

PCI DSS に準拠しない場合の結果

PCI DSS に準拠しないと、多額の罰金や罰則が科せられる可能性があります。 違反の重大度と期間に応じて、PCI 当局は月額 5,000 ～ 100,000 ドルの罰金を科すことができます。

違反の期間が長くなるにつれて、罰金は毎月増加する可能性があります。 また、データ侵害インシデントの後、企業はすべての再発行および修復費用を負担する義務を負う可能性があります。

これら以外にも、PCI に準拠しないと、取引手数料の値上げや、クレジット カード決済加盟店の一時的または永久的な損失など、追加の罰則が科せられる可能性があります。 PCI 要件を満たすことは、罰則を回避し、顧客の機密財務データを保護するために不可欠です。

最後の言葉

顧客の金融データは、サイバー攻撃から常に保護されなければなりません。

Payment Card Industry Data Security Standard (PCI DSS) に準拠することで、企業は処理、保存、送信される金融データセットを保護できます。

サイバー リスク、コンプライアンスの罰金、罰則が非常に高い時代に、PCI の対象となるすべての企業は、その要件を満たし、PCI に準拠する必要があります。