カード会員データへの物理アクセスを制限する

PCI DSS 質問 必要なテスト

回答

(各質問に対して1つ回答を選んでください) はい

はい、

CCW 付 いいえ N/A 未テスト 9.1 カード会員データ環境内のシステムへの物理アクセスを

制限および監視するために、適切な施設入館管理が実施 されていますか?

▪ 物理アクセス制御の観察

▪ 担当者の観察

9.1.1 (a) ビデオカメラやアクセス管理メカニズム（あるいは

両方）を用いて、機密エリアへの個々の物理アクセ スを監視していますか?

注: 「機密エリア」とは、データセンタ、サーバルー ム、またはカード会員データを保存するシステムが設置 されているエリアのことです。これには、小売店のレジ など、POS 端末のみが存在する一般公開エリアは含ま れません。

▪ ポリシーおよび手順のレビュー

▪ 物理監視メカニズムの観察

▪ セキュリティ機能の観察

ビデオカメラやアクセス管理メカニズム（あるいは 両方）が、改ざんまたは無効化から守られています か?

▪ プロセスの観察

▪ 担当者のインタビュー

(c) ビデオカメラやアクセス管理メカニズム（あるいは

両方）から収集したデータをレビューして、他の監 視事項と相互に関連付けていますか?

▪ ポリシーおよび手順のレビュー

▪ セキュリティ担当者のインタビ ュー

(d) ビデオカメラやアクセス管理メカニズム（あるいは 両方）から収集したデータは、法律によって別途定 められていない限り、少なくとも 3 カ月間保管して いますか?

▪ データ保管プロセスのレビュー

▪ データ保管の観察

▪ セキュリティ担当者のインタビ ュー

PCI DSS 質問 必要なテスト

回答

(各質問に対して1つ回答を選んでください) はい

はい、

CCW 付 いいえ N/A 未テスト

9.1.2 物理/論理制御を実施することで、誰でもアクセス可能

なネットワークジャックへのアクセスを制限しています か?

例えば、公共の場や訪問者がアクセス可能なエリアにあ るネットワークジャックは、無効にしておき、ネットワ ークへのアクセスが明示的に承認されている場合にのみ 有効にすることができる。または、アクティブなネット ワークジャックがあるエリアでは訪問者に常に同行者を つけるプロセスを実施できる。

▪ ポリシーおよび手順のレビュー

▪ 担当者のインタビュー

▪ 拠点の観察

9.1.3 無線アクセスポイント、ゲートウェイ、ハンドヘルドデ

バイス、ネットワーク/通信ハードウェア、および通信 回線への物理アクセスは制限されていますか?

▪ ポリシーおよび手順のレビュー

▪ 担当者のインタビュー

▪ デバイスの観察 9.2 ^(a) 次のようにオンサイト関係者と訪問者を容易に区別

できるような手順が開発されていますか?

• 新しいオンサイト要員と訪問者を識別する

（バッジの使用など）

• アクセス要件を変更する、および

• 契約が終了したオンサイト要員や期限切れの

訪問者のID（バッジなど）を無効にする

要件 9において、「オンサイト要員」とは、施設内に物 理的に存在するフルタイムおよびパートタイムの従業 員、一時的な従業員、事業体の請負業者やコンサルタン トのことです。

▪ ポリシーおよび手順のレビュー

▪ 担当者のインタビュー

▪ 識別方法の観察(例. バッジ)

▪ 訪問者プロセスの観察

使用されている識別方法（ID バッジなど）が訪問 者を明確に識別し、オンサイト担当者と訪問者を簡 単に区別できますか?

▪ 識別方法の観察

(c) バッジシステムへのアクセスは権限を与えられた要 員に限られていますか?

▪ 物理制御およびバッチシステム などアクセス制御の観察

PCI DSS 質問 必要なテスト

回答

(各質問に対して1つ回答を選んでください) はい

はい、

CCW 付 いいえ N/A 未テスト 9.3 オンサイト関係者の機密エリアへの物理アクセスが次の

ように制御されていますか?

▪ アクセスが個々の職務に基づいて許可されている

▪ 職務の終了後ただちにアクセス権が取り消されてい る

▪ 職務の終了後直ちに、鍵、アクセスカードなどすべ ての物理アクセスメカニズムが返されるか無効にさ れている

▪ 担当者のインタビュー

▪ アクセス制御リストの調査

▪ オンサイト担当者の観察

▪ 退職者の一覧とアクセス制御リ ストの比較

9.4 訪問者 ID とアクセスが以下のように取り扱われていま すか?

9.4.1 訪問者は、カード会員データが処理または保守されてい

るエリアに入る前に承認が行われ、そのエリアにいる間 常に同行者に付き添われていますか?

▪ ポリシーおよび手順のレビュー

▪ アクセスがどのように制御され るかを含む訪問者プロセスの観 察

▪ 担当者のインタビュー

▪ 訪問者およびバッジの使用の観 察

9.4.2 (a) 訪問者が識別され、オンサイト関係者から区別する

ためのバッジその他の ID が与えられていますか?

▪ 担当者および訪問者のバッジ使 用の観察

▪ 識別方法の調査 訪問者のバッジその他の ID に有効期限があります

か?

▪ プロセスの観察

▪ 識別方法の調査

9.4.3 施設を出る前、または期限が切れる日にバッジその他の

ID の返却を求められていますか?

▪ プロセスの観察

▪ 施設から退館時の訪問者の観察

PCI DSS 質問 必要なテスト

回答

(各質問に対して1つ回答を選んでください) はい

はい、

CCW 付 いいえ N/A 未テスト

9.4.4 (a) カード会員データが保存または伝送されるコンピュ

ータルームやデータセンターだけでなく、施設への 物理アクセスの記録にも訪問者ログが使用されてい ますか?

▪ ポリシーおよび手順のレビュー

▪ 訪問者ログの調査

▪ 訪問者プロセスの観察

▪ ログ保管の調査 訪問者の名前、所属会社、物理アクセスを承認した

オンサイト関係者が訪問者ログに記録されています か?

▪ ポリシーおよび手順のレビュー

▪ 訪問者ログの調査

(c) 訪問者ログが 3 カ月以上保持されていますか? ▪ ポリシーおよび手順のレビュー

▪ 訪問者ログ保管の調査 9.5 媒体（コンピュータ、リムーバブル電子メディア、紙の

受領書、紙のレポート、FAX など）はすべて物理的にセ キュリティ保護されていますか?

要件9において「媒体」とは、カード会員データを含む すべての紙および電子媒体のことです。

▪ メディアの物理的な安全に関す るポリシーおよび手順のレビュ ー

▪ 担当者のインタビュー

9.5.1 バックアップメディアの保管が安全であることを確認す

るため、保管場所の物理的なセキュリティを少なくとも 年に一度レビューしていますか？

▪ 遠隔地メディア保管のレビュー に関わるポリシーおよび手順の レビュー

▪ セキュリティ担当者のインタビ ュー

9.6 (a) あらゆる種類の媒体の、内部または外部の配布に関 して、厳格な管理が行われていますか?

▪ メディア廃棄のポリシーおよび 手順のレビュー

管理には、以下の内容が含まれていますか?

9.6.1 媒体は、機密であることが分かるように分類されていま

すか?

▪ メディア分類のポリシーおよび 手順のレビュー

▪ セキュリティ担当者のインタビ ュー

PCI DSS 質問 必要なテスト

回答

(各質問に対して1つ回答を選んでください) はい

はい、

CCW 付 いいえ N/A 未テスト

9.6.2 媒体は、安全な配達業者または正確な追跡が可能なその

他の配送方法によって送付されていますか?

▪ 担当者のインタビュー

▪ メディア配布追跡ログおよび文 書の調査

9.6.3 媒体を移動する前（特に媒体を個人に配布する場合）に

管理者の承認を得ていますか?

▪ 担当者のインタビュー

▪ メディア配布追跡ログおよび文 書の調査

9.7 媒体の保存およびアクセスに関して、厳格な管理が維持 されていますか?

▪ ポリシーおよび手順のレビュー

9.7.1 ^(a) すべての媒体の在庫ログが適切に保持されています

か?

▪ 在庫ログの調査

少なくとも年に一度、媒体の在庫調査が実施されて いますか?

▪ 在庫ログの調査

▪ 担当者のインタビュー 9.8 ^(a) ビジネスまたは法律上の理由で不要になった場合、

媒体はすべて破棄されていますか?

▪ 定期的なメディアの廃棄ポリシ ーおよび手順のレビュー 以下の要件を定義する定期的な媒体破棄ポリシーが

ありますか?

• ハードコピー資料は再現できないことの合理 的な保証が得られるように、クロスカット裁 断、焼却、またはパルプ化する必要がある

• 破棄する資料を保管する容器は安全でなけれ ばならない

• 電子媒体上のカード会員データが、安全な削 除に関して業界が承認した標準に従った安全 なワイププログラムによって、またはそれ以 外の場合は媒体の物理的な破壊によって、回 復不能になっている必要がある

▪ 定期的なメディアの廃棄ポリシ ーおよび手順のレビュー

PCI DSS 質問 必要なテスト

回答

(各質問に対して1つ回答を選んでください) はい

はい、

CCW 付 いいえ N/A 未テスト

9.8.1 (a) ハードコピー資料は、カード会員データを再現でき

ないように、クロスカット裁断、焼却、またはパル プ状に溶解していますか?

▪ 担当者のインタビュー

▪ 手順の調査

▪ プロセスの観察 破棄する情報を含む材料の保存に使用されているス

トレージコンテナは、中身にアクセスできないよう にセキュリティ保護されていますか?

▪ ストレージコンテナのセキュリ ティの調査

9.8.2 電子媒体上のカード会員データが、安全な削除に関して

業界が承認した標準に従った安全なワイププログラムに よって、またはそれ以外の場合は媒体の物理的な破壊に よって、回復不能になっていますか?

▪ プロセスの観察

▪ 担当者のインタビュー

9.9 カードから直接物理的な読み取りを経由してペイメント カードデータをキャプチャするデバイスが改ざんおよび 不正置換から保護されていますか?

注: この要件には、カード（カードのスワイプやディッ プ）によるトランザクションに使用されるカード読み取 り装置も含まれる。この要件は、コンピュータのキーボ

ードや POS のキーパッドのような手動キー入力コンポ

ーネントには適用されません

(a) ポリシーと手順はデバイスの一覧の維持を要求して いますか?

▪ ポリシーおよび手順のレビュー

(b) ポリシーと手順はデバイスを定期的に検査して改ざ んや不正置換がないか調べることを要求しています か?

▪ ポリシーおよび手順のレビュー

(c) ポリシーと手順は関係者にトレーニングを行い、怪 しい行動を識別し、POS デバイスの改ざんや不正置 換を報告できるようにすることを要求しています か?

▪ ポリシーおよび手順のレビュー

ドキュメント内 PCI (Payment Card Industry) データセキュリティ基準サービスプロバイダ用自己問診 (Self-Assessment Questionnaire)D および準拠証明書 SAQ 適用サービスプロバイダ PCI DSS バージョン 年 6 月 (ページ 57-65)