PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト 8.1 すべてのシステムコンポーネントで、以下のように、消費
者以外のユーザおよび管理者に対してユーザー管理コント ロールに関するポリシーと手順が定義されて実施されてい ますか?
8.1.1 システムコンポーネントまたはカード会員データへのアク
セスを許可する前に、すべてのユーザに一意の ID が割り 当てられていますか?
▪ パスワード手順のレビュー
▪ 担当者のインタビュー
8.1.2 ユーザ ID が、(指定された権限を含み)承認されたとお
りの実装となるように、ユーザ ID、資格情報、およびそ の他の識別子オブジェクトの追加、削除、変更は管理され ていますか?
▪ パスワード手順のレビュー
▪ 特権および通常ユーザ ID お よび承認に関わる調査
▪ システム設定の観察
8.1.3 契約終了したユーザのアクセスは直ちに無効化または削除
されていますか?
▪ パスワード手順のレビュー
▪ 不要なユーザアカウントの調 査
▪ 現在のアクセスリストのレビ ュー
▪ 物理認証デバイスの返却の観 察
8.1.4 90 日以内に非アクティブなアカウントは削除または無効
化されますか?
▪ パスワード手順のレビュー
▪ ユーザアカウントの観察
8.1.5 (a) 第三者がリモートアクセスを通してシステムコンポー
ネントのアクセス、サポート、管理に使用するアカウ ントは、必要な期間のみ有効にされており、使用され なくなったら無効にされていますか?
▪ パスワード手順のレビュー
▪ 担当者のインタビュー
▪ プロセスの観察
第三者のリモートアクセスアカウントが使用されてい る間、そのアカウントは監視されていますか?
▪ 担当者のインタビュー
▪ プロセスの観察
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
8.1.6 (a) 最大 6 回の試行後にユーザ ID をロックアウトするこ
とで、アクセス試行の繰り返しが制限されています か?
▪ パスワード手順のレビュー
▪ システム構成設定の調査
サービスプロバイダのみ: 消費者以外のユーザパスワ ードが最大の 6 回の無効なアクセス試行の後で一時的 にロックアウトされますか?
▪ ポリシーおよび手順のレビュ ー
▪ 文書のレビュー
▪ プロセスの観察
8.1.7 ユーザアカウントがロックアウトされた場合のロックアウ
ト期間は最低 30 分間、または管理者がユーザ ID を有効に するまでに設定されていますか?
▪ パスワード手順のレビュー
▪ システム構成設定の調査
8.1.8 セッションが 15 分を超えてアイドル状態の場合、端末ま
たはセッションを再有効化するためにユーザに再認証(パ スワードの再入力など)が要求されますか?
▪ パスワード手順のレビュー
▪ システム構成設定の調査 8.2 一意の ID の割り当てに加え、以下の 1 つ以上の方法を使
用してすべてのユーザが認証されていますか?
▪ ユーザが知っていること(パスワードやパスフレーズ など)
▪ トークンデバイスやスマートカードなど、ユーザが所 有しているもの
▪ ユーザ自身を示すもの(生体認証など)
▪ パスワード手順のレビュー
▪ 認証プロセスの観察
8.2.1 (a) すべてのシステムコンポーネントで強力な暗号化を使
用して、送信と保存中に認証情報(パスワード/パス フレーズなど)をすべて読み取り不能としています か?
▪ パスワード手順のレビュー
▪ ベンダ文書のレビュー
▪ システム構成設定の調査
▪ パスワードファイルの観察
▪ データ伝送の観察
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト サービスプロバイダのみ: すべてのシステムコンポー
ネントで強力な暗号化を使用して、送信と保存中に消 費者以外の顧客の認証情報(パスワード/パスフレー ズなど)をすべて読み取り不能としていますか?
▪ パスワードファイルの観察
▪ データ伝送の観察
8.2.2 パスワードリセットの実施、新しいトークンの準備、新し
いキーの生成など、認証情報を変更する前に、ユーザの身 元を確認していますか?
▪ 認証手順のレビュー
▪ 担当者の観察
8.2.3 (a) ユーザーパスワードパラメータは、パスワード/パス
フレーズが以下を満たすことが必要なように設定され ていますか?
• パスワードに 7 文字以上が含まれる
• 数字と英文字の両方を含む
あるいは、上記のパラメータに等しい複雑さと強度を持 つパスワード/パスフレーズ
▪ パスワードパラメータを検証 するためのシステム構成設定 の調査
サービスプロバイダのみ: 非消費者顧客のパスワード は、以下の最小限必要な長さと複雑性の要件を満たす ことを要求していますか?
• パスワードに 7 文字以上が含まれる
• 数字と英文字の両方を含む
▪ 顧客/ユーザ文書のレビュー
▪ 内部プロセスの観察
8.2.4 (a) 少なくとも 90 日ごとにユーザパスワードが変更され
ていますか?
▪ パスワード手順のレビュー
▪ システム構成設定の調査 サービスプロバイダのみ: 非消費者顧客のユーザパス
ワードの変更が定期的に要求され、パスワードを変更 する必要がある時期や状況についてのガイダンスが非 消費者顧客のユーザに提供されていますか?
▪ 顧客/ユーザ文書のレビュー
▪ 内部プロセスの観察
8.2.5 (a) ユーザが新しいパスワード/パスフレーズを設定する
際、最後に使用した 4 つのパスワード/パスフレーズ と異なるものを設定しなければなりませんか?
▪ パスワード手順のレビュー
▪ システムコンポーネントのサ ンプル
▪ システム構成設定の調査
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト サービスプロバイダのみ: 非消費者顧客の新しいユー
ザパスワードは最後に使用した 4 つのパスワードと異 なるものを要求していますか?
▪ 顧客/ユーザ文書のレビュー
▪ 内部プロセスの観察
8.2.6 初回およびリセット時のパスワード/パスフレーズがユー
ザごとに一意の値に設定され、初回使用後、直ちにそのパ スワードを変更するよう要求していますか?
▪ パスワード手順のレビュー
▪ システム構成設定の調査
▪ セキュリティ担当者の観察 8.3 カード会員データ環境への非コンソールの管理者アクセス
とすべてのリモートアクセスには、以下の8.3.1~8.3.2の ように多要素認証が使用されていますか?
注: 多要素認証では、3 つの認証方法のうち 2 つを認証に 使用する必要があります(認証方法については、PCI DSS 要件 8.2 を参照)。1 つの因子を 2 回使用すること(たと えば、2 つの個別パスワードを使用する)は、多要素認証 とは見なされません。
8.3.1 カード会員データ環境への管理者権限を持つ担当者の非コ
ンソールアクセスに多要素認証が組み込まれていますか?
▪ システム構成の調査
▪ CDE への管理者のロギングの
観察
8.3.2 従業員(ユーザと管理者を含む)および第三者(サポート
やメンテナンス用のベンダアクセスを含む)によるネット ワークへのリモートアクセス(ネットワーク外部からのネ ットワークレベルアクセス)に 多要素認証が組み込まれ ていますか?
▪ システム構成の調査
▪ リモート接続担当者の観察
8.4 (a) 認証手順およびポリシーが文書化されて、すべてのユ ーザに伝達されていますか?
▪ ポリシーおよび手順のレビュ ー
▪ 配布方法のレビュー
▪ 担当者のインタビュー
▪ ユーザのインタビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト 認証手順とポリシーに以下が含まれていますか?
• 強力な認証情報を選択するためのガイダンス
• ユーザが自分の認証情報を保護する方法につい てのガイダンス
• 前に使用していたパスワードを再使用しないと いう指示
• パスワードが侵害された疑いがある場合にはパ スワードを変更するという指示
▪ ポリシーおよび手順のレビュ ー
▪ ユーザに提供される文書のレ ビュー
8.5 グループ、共有、または汎用のアカウントとパスワードや 他の認証方法を以下のように禁止していますか?
▪ 汎用ユーザIDおよびアカウントが無効化または削除 されている
▪ システム管理作業およびその他の重要な機能のための 共有ユーザIDが存在しない、および
▪ システムコンポーネントの管理に共有および汎用ユー ザIDが使用されていない
▪ ポリシーおよび手順のレビュ ー
▪ ユーザ ID 一覧の調査
▪ 担当者のインタビュー
8.5.1 サービスプロバイダのみ: (POS システムやサーバーのサ
ポートのために)顧客環境へのアクセス権を持つサービス プロバイダは、各顧客環境に一意な認証情報(パスワード /パスフレーズなど)を使用する必要がありますか?
注: この要件は、複数顧客環境がホストされている共有ホ スティングプロバイダ自身のホスティング環境に適用され ることは意図されていません。
▪ ポリシーおよび手順のレビュ ー
▪ 担当者のインタビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト 8.6 他の認証メカニズムが使用されている場合(物理または論
理セキュリティトークン、スマートカード、証明書な ど)、そのメカニズムの使用は次のように割り当てられて いますか?
▪ 認証メカニズムは、個々のアカウントに割り当てなけ ればならず、複数アカウントで共有することはできな い
▪ 物理/論理制御により、意図されたアカウントのみが アクセスできるようにする必要がある
▪ ポリシーおよび手順のレビュ ー
▪ 担当者のインタビュー
▪ システム構成設定および/また は物理コントロールの調査
8.7 カード会員データを含むデータベースへのすべてのアクセ ス(アプリケーション、管理者、およびその他のすべての ユーザによるアクセスを含む)が以下のように制限されて いますか?
(a) データベースへのユーザアクセス、データベースのユ ーザクエリ、データベースに対するユーザアクション
(移動、コピー、削除など)はすべて、プログラムに よる方法(ストアドプロシージャなど)によってのみ 行われていますか?
▪ データベース認証ポリシーお よび手順のレビュー
▪ データベースおよびアプリケ ーション構成設定の調査
データベースへの直接アクセスまたはクエリはデータ ベース管理者に制限されていますか?
▪ データベース認証ポリシーお よび手順のレビュー
▪ データベースアクセス制御設 定の調査
▪ データベースアプリケーショ ン構成設定の調査