PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト 9.1 カード会員データ環境内のシステムへの物理アクセスを
制限および監視するために、適切な施設入館管理が実施 されていますか?
▪ 物理アクセス制御の観察
▪ 担当者の観察
9.1.1 (a) ビデオカメラやアクセス管理メカニズム(あるいは
両方)を用いて、機密エリアへの個々の物理アクセ スを監視していますか?
注: 「機密エリア」とは、データセンタ、サーバルー ム、またはカード会員データを保存するシステムが設置 されているエリアのことです。これには、小売店のレジ など、POS 端末のみが存在する一般公開エリアは含ま れません。
▪ ポリシーおよび手順のレビュー
▪ 物理監視メカニズムの観察
▪ セキュリティ機能の観察
ビデオカメラやアクセス管理メカニズム(あるいは 両方)が、改ざんまたは無効化から守られています か?
▪ プロセスの観察
▪ 担当者のインタビュー
(c) ビデオカメラやアクセス管理メカニズム(あるいは
両方)から収集したデータをレビューして、他の監 視事項と相互に関連付けていますか?
▪ ポリシーおよび手順のレビュー
▪ セキュリティ担当者のインタビ ュー
(d) ビデオカメラやアクセス管理メカニズム(あるいは 両方)から収集したデータは、法律によって別途定 められていない限り、少なくとも 3 カ月間保管して いますか?
▪ データ保管プロセスのレビュー
▪ データ保管の観察
▪ セキュリティ担当者のインタビ ュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
9.1.2 物理/論理制御を実施することで、誰でもアクセス可能
なネットワークジャックへのアクセスを制限しています か?
例えば、公共の場や訪問者がアクセス可能なエリアにあ るネットワークジャックは、無効にしておき、ネットワ ークへのアクセスが明示的に承認されている場合にのみ 有効にすることができる。または、アクティブなネット ワークジャックがあるエリアでは訪問者に常に同行者を つけるプロセスを実施できる。
▪ ポリシーおよび手順のレビュー
▪ 担当者のインタビュー
▪ 拠点の観察
9.1.3 無線アクセスポイント、ゲートウェイ、ハンドヘルドデ
バイス、ネットワーク/通信ハードウェア、および通信 回線への物理アクセスは制限されていますか?
▪ ポリシーおよび手順のレビュー
▪ 担当者のインタビュー
▪ デバイスの観察 9.2 (a) 次のようにオンサイト関係者と訪問者を容易に区別
できるような手順が開発されていますか?
• 新しいオンサイト要員と訪問者を識別する
(バッジの使用など)
• アクセス要件を変更する、および
• 契約が終了したオンサイト要員や期限切れの
訪問者のID(バッジなど)を無効にする
要件 9において、「オンサイト要員」とは、施設内に物 理的に存在するフルタイムおよびパートタイムの従業 員、一時的な従業員、事業体の請負業者やコンサルタン トのことです。
▪ ポリシーおよび手順のレビュー
▪ 担当者のインタビュー
▪ 識別方法の観察(例. バッジ)
▪ 訪問者プロセスの観察
使用されている識別方法(ID バッジなど)が訪問 者を明確に識別し、オンサイト担当者と訪問者を簡 単に区別できますか?
▪ 識別方法の観察
(c) バッジシステムへのアクセスは権限を与えられた要 員に限られていますか?
▪ 物理制御およびバッチシステム などアクセス制御の観察
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト 9.3 オンサイト関係者の機密エリアへの物理アクセスが次の
ように制御されていますか?
▪ アクセスが個々の職務に基づいて許可されている
▪ 職務の終了後ただちにアクセス権が取り消されてい る
▪ 職務の終了後直ちに、鍵、アクセスカードなどすべ ての物理アクセスメカニズムが返されるか無効にさ れている
▪ 担当者のインタビュー
▪ アクセス制御リストの調査
▪ オンサイト担当者の観察
▪ 退職者の一覧とアクセス制御リ ストの比較
9.4 訪問者 ID とアクセスが以下のように取り扱われていま すか?
9.4.1 訪問者は、カード会員データが処理または保守されてい
るエリアに入る前に承認が行われ、そのエリアにいる間 常に同行者に付き添われていますか?
▪ ポリシーおよび手順のレビュー
▪ アクセスがどのように制御され るかを含む訪問者プロセスの観 察
▪ 担当者のインタビュー
▪ 訪問者およびバッジの使用の観 察
9.4.2 (a) 訪問者が識別され、オンサイト関係者から区別する
ためのバッジその他の ID が与えられていますか?
▪ 担当者および訪問者のバッジ使 用の観察
▪ 識別方法の調査 訪問者のバッジその他の ID に有効期限があります
か?
▪ プロセスの観察
▪ 識別方法の調査
9.4.3 施設を出る前、または期限が切れる日にバッジその他の
ID の返却を求められていますか?
▪ プロセスの観察
▪ 施設から退館時の訪問者の観察
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
9.4.4 (a) カード会員データが保存または伝送されるコンピュ
ータルームやデータセンターだけでなく、施設への 物理アクセスの記録にも訪問者ログが使用されてい ますか?
▪ ポリシーおよび手順のレビュー
▪ 訪問者ログの調査
▪ 訪問者プロセスの観察
▪ ログ保管の調査 訪問者の名前、所属会社、物理アクセスを承認した
オンサイト関係者が訪問者ログに記録されています か?
▪ ポリシーおよび手順のレビュー
▪ 訪問者ログの調査
(c) 訪問者ログが 3 カ月以上保持されていますか? ▪ ポリシーおよび手順のレビュー
▪ 訪問者ログ保管の調査 9.5 媒体(コンピュータ、リムーバブル電子メディア、紙の
受領書、紙のレポート、FAX など)はすべて物理的にセ キュリティ保護されていますか?
要件9において「媒体」とは、カード会員データを含む すべての紙および電子媒体のことです。
▪ メディアの物理的な安全に関す るポリシーおよび手順のレビュ ー
▪ 担当者のインタビュー
9.5.1 バックアップメディアの保管が安全であることを確認す
るため、保管場所の物理的なセキュリティを少なくとも 年に一度レビューしていますか?
▪ 遠隔地メディア保管のレビュー に関わるポリシーおよび手順の レビュー
▪ セキュリティ担当者のインタビ ュー
9.6 (a) あらゆる種類の媒体の、内部または外部の配布に関 して、厳格な管理が行われていますか?
▪ メディア廃棄のポリシーおよび 手順のレビュー
管理には、以下の内容が含まれていますか?
9.6.1 媒体は、機密であることが分かるように分類されていま
すか?
▪ メディア分類のポリシーおよび 手順のレビュー
▪ セキュリティ担当者のインタビ ュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
9.6.2 媒体は、安全な配達業者または正確な追跡が可能なその
他の配送方法によって送付されていますか?
▪ 担当者のインタビュー
▪ メディア配布追跡ログおよび文 書の調査
9.6.3 媒体を移動する前(特に媒体を個人に配布する場合)に
管理者の承認を得ていますか?
▪ 担当者のインタビュー
▪ メディア配布追跡ログおよび文 書の調査
9.7 媒体の保存およびアクセスに関して、厳格な管理が維持 されていますか?
▪ ポリシーおよび手順のレビュー
9.7.1 (a) すべての媒体の在庫ログが適切に保持されています
か?
▪ 在庫ログの調査
少なくとも年に一度、媒体の在庫調査が実施されて いますか?
▪ 在庫ログの調査
▪ 担当者のインタビュー 9.8 (a) ビジネスまたは法律上の理由で不要になった場合、
媒体はすべて破棄されていますか?
▪ 定期的なメディアの廃棄ポリシ ーおよび手順のレビュー 以下の要件を定義する定期的な媒体破棄ポリシーが
ありますか?
• ハードコピー資料は再現できないことの合理 的な保証が得られるように、クロスカット裁 断、焼却、またはパルプ化する必要がある
• 破棄する資料を保管する容器は安全でなけれ ばならない
• 電子媒体上のカード会員データが、安全な削 除に関して業界が承認した標準に従った安全 なワイププログラムによって、またはそれ以 外の場合は媒体の物理的な破壊によって、回 復不能になっている必要がある
▪ 定期的なメディアの廃棄ポリシ ーおよび手順のレビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
9.8.1 (a) ハードコピー資料は、カード会員データを再現でき
ないように、クロスカット裁断、焼却、またはパル プ状に溶解していますか?
▪ 担当者のインタビュー
▪ 手順の調査
▪ プロセスの観察 破棄する情報を含む材料の保存に使用されているス
トレージコンテナは、中身にアクセスできないよう にセキュリティ保護されていますか?
▪ ストレージコンテナのセキュリ ティの調査
9.8.2 電子媒体上のカード会員データが、安全な削除に関して
業界が承認した標準に従った安全なワイププログラムに よって、またはそれ以外の場合は媒体の物理的な破壊に よって、回復不能になっていますか?
▪ プロセスの観察
▪ 担当者のインタビュー
9.9 カードから直接物理的な読み取りを経由してペイメント カードデータをキャプチャするデバイスが改ざんおよび 不正置換から保護されていますか?
注: この要件には、カード(カードのスワイプやディッ プ)によるトランザクションに使用されるカード読み取 り装置も含まれる。この要件は、コンピュータのキーボ
ードや POS のキーパッドのような手動キー入力コンポ
ーネントには適用されません
(a) ポリシーと手順はデバイスの一覧の維持を要求して いますか?
▪ ポリシーおよび手順のレビュー
(b) ポリシーと手順はデバイスを定期的に検査して改ざ んや不正置換がないか調べることを要求しています か?
▪ ポリシーおよび手順のレビュー
(c) ポリシーと手順は関係者にトレーニングを行い、怪 しい行動を識別し、POS デバイスの改ざんや不正置 換を報告できるようにすることを要求しています か?
▪ ポリシーおよび手順のレビュー