PCI DSSとは

2018年10月12日

*FujiSSLプレミアムBeyondにはPCI DSS準拠のセキュリティ診断サービスが自動付帯しています。

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。

Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。

Contents

1 経緯
2 要件
3 対応が必要な企業
- 3.1 PCI DSS遵守の対応が想定されるお客様
- 3.2 この記事を読んだ方はこんな記事も読んでいます

経緯

元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードブランドに対応する事が一般的な現在、各ブランドの要求に対応しなくてはならない加盟店にとっては、非常に大きな負担となります。

その状況とは裏腹に、ネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。

ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。

要件

PCI DSS は、カード会員情報や取引情報を保護するために以下の12 の要件から成っています。

PCI DSS 要件
安全なネットワークの構築と維持	カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
安全なネットワークの構築と維持	システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護	保存されたカード会員データを保護する
カード会員データの保護	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備	すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
脆弱性管理プログラムの整備	安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入	カード会員データへのアクセスを、業務上必要な範囲内に制限する
	システムコンポーネントへのアクセスを識別・認証する
	カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
ネットワークの定期的な監視およびテスト	セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備	すべての担当者の情報セキュリティに対応するポリシーを維持する

対応が必要な企業

カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCIDSS準拠する必要があります。

カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

PCI DSS遵守の対応が想定されるお客様

イシュアー、アクワイアラー、サービス・プロバイダー、加盟店

業界例
金融業	クレジットカード会社、クレジットカード発行金融機関
流通業	大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共	携帯電話会社、通信会社、ユーティリティ、新聞
製造業	石油業界他