PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データを安全に取り扱うことを目的に策定された、クレジットカード業界のセキュリティ基準です。カード情報を扱う事業者に求められる、国際的なセキュリティ対策のフレームワークです。
策定の背景
かつては国際カードブランド各社が、それぞれ独自のセキュリティ基準を運用していました。しかし、ひとつの加盟店が複数のブランドに対応するのが一般的になる中、各社の基準に個別対応するのは大きな負担でした。そこで、American Express・Discover・JCB・Mastercard・VISA の5社が共同でPCI SSC(PCI Security Standards Council)を設立し、統一された基準としてPCI DSSが策定されました。
PCI DSSの12要件
PCI DSSは、カード会員データを保護するため、大きく6つの目標・12の要件で構成されています。
- 安全なネットワークの構築・維持:ファイアウォールの設置、初期パスワードの変更
- カード会員データの保護:保存データの保護、通信の暗号化
- 脆弱性管理:マルウェア対策、安全なシステムの開発・保守
- アクセス制御:必要範囲へのアクセス制限、認証、物理アクセスの制限
- 監視・テスト:アクセスの追跡・監視、定期的なテスト
- 情報セキュリティポリシーの整備
対応が必要な事業者
カード情報を「保存・処理・伝送」する加盟店、銀行、決済代行事業者などが対象です。年間のカード取引量に応じて、準拠が求められます。金融業・流通業・通信・製造業など、カード決済を扱う幅広い業種が該当します。
SSL/TLSとの関係
PCI DSSの要件には、カード会員データを公衆ネットワーク経由で伝送する際の暗号化が含まれます。SSL/TLS証明書による通信の暗号化は、この要件を満たすための基礎となります。FujiSSLの証明書も、安全な通信の確保にご活用いただけます。