強力なセキュリティポリシーは、事業体全体でのセキュリティの方向性を設定し、担当者に対して期待される内容を示します。すべての担当者 は、データの極秘性とその保護に関する自身の責任を認識する必要があります。要件 12 において、"担当者" とは、フルタイムおよびパートタイ ムの従業員、一時的な従業員、事業体の敷地内に "常駐" しているか、またはカード会員データ環境にアクセスできる請負業者やコンサルタント のことです。
PCI DSS 要件 テスト手順 ガイダンス
12.1 セキュリティポリシーを確立、公開、
維持、普及させる
12.1 情報セキュリティポリシーを調べて、ポリシーが公開さ れ、すべての関係者(ベンダ、ビジネスパートナーを含む)に 普及されていることを確認する。
企業の情報セキュリティポリシーは、最も貴重 な資産を保護するセキュリティ手段を実装する ためのロードマップを作成します。すべての担 当者は、データの極秘性とその保護に関する自 身の責任を認識する必要があります。
12.1.1 少なくとも年に一度レビューし、環 境が変更された場合にポリシーを更新す る。
12.1.1 情報セキュリティポリシーを少なくとも年に一度レ ビューし、ビジネス目標またはリスク環境への変更を反映す るため、必要に応じて更新されていることを確認する。
セキュリティの脅威と保護方式は、急速に進化 します。関連する変更を反映するようにセキュ リティポリシーが更新されない場合、これらの 脅威に対抗するための新しい保護方式が確立さ れません。
12.2 以下のリスク評価プロセスを実装す る。
• 少なくとも年に一度と環境に大きな 変更があった場合(買収、合併、移 転など)に実施される
• 重要なアセット、脅威、脆弱性を識 別する
• 正式なリスク評価に至る
(リスク評価方法の例としては、
OCTAVE、ISO 27005、および NIST SP 800-30 が挙げられますが、これらに限定さ れません。)
12.2.a 正式なリスク評価で、脅威、脆弱性、結果を識別する、
年に一度のリスク評価プロセスが文書化されていることを確認 する。
リスク評価によって、組織は業務に悪影響を及 ぼす可能性がある脅威および関連する脆弱性を 識別できます。さらに、リソースを効果的に割 り当てて、認識された脅威の影響を受ける可能 性を低下させるコントロールを実装できます。
リスク評価を少なくとも年に一度と大きな変更 があった場合に実施することで、組織の変更、
進化する脅威、傾向、テクノロジに関する情報 を最新状態に保つことができます。
12.2.b リスク評価文書をレビューし、リスク評価プロセスが少 なくとも年に一度と大きな変更があった場合に実施されている ことを確認する。
PCI DSS 要件 テスト手順 ガイダンス 12.3 重要なテクノロジに関する使用ポリ
シーを作成して、これらのテクノロジの適 切な使用を定義する
注: 重要なテクノロジの例には、リモートア クセスおよびワイヤレステクノロジ、ノー トパソコン、タブレット、リムーバブル電 子メディア、電子メールの使用、インター ネットの使用がありますが、これらに限定 されません
これらの使用ポリシーで以下を要求するこ とを確認する。
12.3 重要なテクノロジに関する使用ポリシーを調べ、責任者を インタビューすることで、ポリシーが実装・順守されているこ とを確認する。
担当者の使用ポリシーでは、会社のポリシーで ある場合に特定のデバイスとその他のテクノロ ジの使用を禁止したり、正しい使用法と実装に 関するガイダンスを担当者に提供したりするこ とができます。使用ポリシーがない場合、担当 者は会社のポリシーに違反するテクノロジを使 用する可能性があり、その結果、悪意のある者 により重要なシステムとカード会員データへの アクセスが可能となります。
12.3.1 権限を持つ関係者による明示的な承 認
12.3.1 使用ポリシーが、テクノロジを使用するために、許可 された当事者からの明示的な承認を要求していることを確認 する。
これらのテクノロジの実装に対して適切な承認 を要求しないと、担当者は、認識されたビジネ スニーズに対するソリューションを実装し、知 らずに重要なシステムとデータを悪意のある者 にさらす大きなセキュリティホールを開いてし まう可能性があります。
12.3.2 テクノロジの使用に対する認証 12.3.2 使用ポリシーが、すべてのテクノロジの使用に、ユー
ザ ID とパスワードまたはその他の認証項目(トークンな ど)による認証を要求するプロセスを含んでいることを確認 する。
テクノロジが適切な認証(ユーザ ID とパス ワード、トークン、VPN など)なしで実装さ れる場合、悪意のある者は、この保護されてい ないテクノロジを使用して、容易に重要なシス テムとカード会員データにアクセスできます。
12.3.3 このようなすべてのデバイスおよび アクセスできる担当者のリスト
12.3.3 使用ポリシーが、すべてのデバイスおよびデバイスの 使用を許可された担当者のリストを定義していることを確認 する。
悪意のある者は、物理セキュリティを侵害し、
自身のデバイスをネットワーク上に「裏口」と して配置する場合があります。従業員も、手順 を無視してデバイスを設置する場合がありま す。デバイスへの適切なラベル添付を使用する 正確な在庫管理により、未承認の設置をすばや く識別できます。
PCI DSS 要件 テスト手順 ガイダンス 12.3.4 デバイスの所有者、連絡先情報、目
的を正確にその場で識別できる方法(ラベ ル付け、コーディング、デバイスのインベ ントリ)
12.3.4 使用ポリシーがデバイスの所有者、連絡先情報、目的 を正確にその場で識別できる方法(ラベル付け、コーディン グ、デバイスのインベントリ)を定義することを確認する。
悪意のある者は、物理セキュリティを侵害し、
自身のデバイスをネットワーク上に「裏口」と して配置する場合があります。従業員も、手順 を無視してデバイスを設置する場合がありま す。デバイスへの適切なラベル添付を使用する 正確な在庫管理により、未承認の設置をすばや く識別できます。デバイスの正式な名前付け規 則を確立することを検討し、確立された在庫管 理に従ってすべてのデバイスをログに記録しま す。デバイスを所有者、連絡先情報、目的に関 連付けられるコードなどの情報を記載した論理 ラベルを使用することもできます。
12.3.5 テクノロジの許容される利用法 12.3.5 使用ポリシーが、テクノロジの許容される利用法を定
義していることを確認する。
会社が承認したデバイスとテクノロジの許容さ れるビジネス用途と場所を定義することによ り、会社は、悪意のある者が重要なシステムと カード会員データにアクセスするために利用す る「裏口」が開かれないよう、構成と運用管理 におけるギャップをより適切に管理および制御 できます。
12.3.6 テクノロジの許容されるネットワー ク上の場所
12.3.6 使用ポリシーが、テクノロジの許容されるネットワー ク上の場所を定義していることを確認する。
12.3.7 会社が承認した製品のリスト 12.3.7 使用ポリシーが、会社が承認した製品のリストを含む
ことを確認する。
12.3.8 非アクティブ状態が特定の期間続い た後のリモートアクセステクノロジのセッ ションの自動切断
12.3.8.a 使用ポリシーが、非アクティブ状態が一定期間続い た後のリモートアクセステクノロジのセッションの自動切断 を要求していることを確認する。
リモートアクセステクノロジは、重要なリソー スとカード会員データへの「裏口」となること が多くあります。未使用時のリモートアクセス テクノロジ(POS またはその他のベンダ、あ るいはビジネスパートナーがシステムをサポー トするために使用するテクノロジなど)を切断 することで、ネットワークへのアクセスとリス クは最小限に抑えられます。
12.3.8.b リモートアクセステクノロジの構成を調べて、非ア クティブ状態が一定期間続いた後にリモートアクセステクノ ロジのセッションが自動切断されることを確認する。
12.3.9 ベンダおよびビジネスパートナーに は必要とする場合にのみリモートアクセス テクノロジをアクティブ化し、使用後直ち に非アクティブ化する
12.3.9 使用ポリシーで、ベンダやビジネスパートナーが必要 とする場合にのみリモートアクセステクノロジをアクティブ 化し、使用後直ちに非アクティブ化することが要求されてい ることを確認する。
12.3.10 リモートアクセステクノロジ経由 でカード会員データにアクセスする担当者 については、定義されたビジネスニーズの ために明示的に承認されていない限り、
ローカルハードドライブおよびリムーバブ
12.3.10.a 使用ポリシーで、リモートアクセステクノロジを 介してカード会員データにアクセスする場合、このような データをローカルハードドライブやリムーバブル電子媒体に コピー、移動、保存することは禁止されていることを確認す る。
カード会員データをローカルのパーソナルコン ピュータやその他の媒体に保存したりコピーし たりしてはいけないという責任をすべての担当 者に認識させるには、明示的に承認された担当 者以外にこのような行動を明確に禁止するポリ