PCIDSS Ver.4.0 Level1
完全準拠
-
業界最新の
グローバルスタンダード -
第三者機関の認証で
Level1認定 -
国際的なセキュリティ水準に
達したシステム
PCI DSSとは
1990年代後半、日本でECが始まりました。
楽天市場が1997年にサービス開始し、2000年代前半には多くの企業がショッピングモールや独自ドメインでECを立ち上げました。
もともとはカードブランドごとに独自のリスク管理のためのセキュリティ要件がありましたが、1店舗で複数のブランドを契約することが増えてくると、すべてのブランドの要件を満たすことはとても大変なことでした。
しかし、当時国内外でECのクレジットカード利用が増え、不正注文等の被害も増えていたので、各ブランドも要件を緩めることはできません。
そのため、2006年に国際カードブランド5社が共同でPCI SSC(Payment Card Industry Security Standards Council)を設立・策定したのが、PCI DSSというセキュリティ基準です。
現在はv4.0が最新版です。
その内容はシステム面だけでなく、アンチウイルスソフトを利用することや、カード情報へのアクセスに制限をかけるなど、運用面もカバーされています。
PCIDSS準拠のための
6つの目的と12の要件
-
安全なネットワークの構築・維持
-
要件01 データを保護するためにファイアウォールを導入し、最適な設定を維持すること
-
要件02 システムまたはソフトウエアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
-
-
カード会員情報の保護
-
要件03 保存されたデータを安全に保護すること
-
要件04 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
-
-
脆弱点を管理するプログラムの維持
-
要件05 アンチウイルスソフトを利用し、定期的にソフトを更新すること
-
要件06 安全性の高いシステムとアプリケーションを開発し、保守すること
-
-
強固なアクセス制御手法の導入
-
要件07 業務目的別にデータアクセスを制限すること
-
要件08 コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
-
要件09 カード会員情報にアクセスする際、物理的なアクセスを制限すること
-
-
定期的なネットワークの
監視およびテスト-
要件10 ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
-
要件11 セキュリティシステムおよび有事の対応手順を定期的にテストすること
-
-
情報セキュリティポリシーの保有
-
要件12 情報セキュリティに関するポリシーを保持すること
-
