注: 要件 12 において、「担当者」とはフルタイムおよびパートタイムの従業員、一時的な従業員や担当者、事業体の敷地内に「常駐」している か、またはカード会員データ環境にアクセスできる請負業者やコンサルタントのことです。
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
12.1 すべての関係する担当者に対してセキュリティポリシー
が確立、公開、維持、および周知されていますか?
▪ 情報セキュリティポリシーの レビュー
12.1.1 少なくとも年に一度レビューし、環境が変更された場合
に更新していますか?
▪ 情報セキュリティポリシーの レビュー
▪ 責任者のインタビュー
12.2 (a) 年に一度のリスク評価プロセスに、以下の内容を含
めていますか?
• 重要な資産、脅威、および脆弱性を識別する、
および
• 正式な文書化されたリスク評価の結果 リスク評価方法の例としては、OCTAVE、ISO 27005、 および NIST SP 800-30 があげられますが、これらに限 定されません
▪ 年次のリスク評価プロセスの レビュー
▪ 担当者のインタビュー
(b) リスク評価が、少なくとも年に一度と、ビジネス環 境に重大な変更があった場合(買収、合併、移転な ど)に実施されていますか?
▪ リスク評価文書のレビュー
▪ 責任者のインタビュー
12.3 重要なテクノロジに関する使用ポリシーを作成し、以下
を含むテクノロジの適切な使用方法を定義していますか?
注: 重要なテクノロジの例には、リモートアクセスおよび ワイヤレステクノロジ、ノートパソコン、タブレット、
リムーバブル電子媒体、電子メールの使用、インターネ ットの使用がありますが、これらに限定されません
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
12.3.1 テクノロジを使用するために、権限を持つ関係者による
明示的な承認が要求されていますか?
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.2 テクノロジの使用に対する認証 ▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.3 このようなすべてのデバイスおよびアクセスできる担当
者のリストは用意されていますか?
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.4 デバイスの所有者、連絡先情報、目的を正確にその場で
識別できる方法(ラベル付け、符号化、デバイスのイン ベントリ)がありますか?
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.5 テクノロジの許容される利用法が要求されていますか? ▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.6 テクノロジの許容されるネットワーク上の場所 ▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.7 会社が承認した製品のリスト ▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.8 非アクティブ状態が特定の期間続いた後のリモートアク
セステクノロジのセッションの自動切断
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.3.9 ベンダおよびビジネスパートナーには必要とする場合に
のみリモートアクセステクノロジをアクティブ化し、使 用後直ちに非アクティブ化する
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
12.3.10 (a) リモートアクセステクノロジ経由でカード会員デー
タにアクセスする担当者については、定義されたビ ジネスニーズのために明示的に承認されていない限 り、ローカルハードドライブおよびリムーバブル電 子媒体へのカード会員データのコピー、移動、保存 を禁止していますか?
承認された業務上の必要性がある場合、使用ポリシーは データが適用される PCI DSS 要件すべてに従って保護さ れることを要求する必要があります。
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
(b) 適切な権限のある担当者については、ポリシーで、
PCI DSS 要件に従ったカード会員データの保護が要 求されていますか?
▪ 使用方法ポリシーのレビュー
▪ 責任者のインタビュー
12.4 すべての担当者に対して、情報セキュリティ上の責任を
セキュリティポリシーと手順に明確に定義していますか?
▪ 情報セキュリティポリシーお よび手順のレビュー
▪ 責任者のサンプルのインタビ ュー
12.4.1 サービスプロバイダのみ: 経営層は、カード会員データの
保護と PCI DSS 準拠プログラムの責任について以下の内 容が明確になっていますか?
PCI DSS 準拠を維持するために、経営層によってす べての責任が割り当てられていますか?
▪ 文書の調査
(b) 経営層は、PCI DSS 準拠プログラムと経営層とのコ ミュニケーション方法を PCI DSS 憲章に定義してい ますか?
▪ PCI DSS 憲章の調査
12.5 (a) 情報セキュリティに対する責任が最高セキュリティ
責任者またはセキュリティに精通したその他の経営 層のメンバーに正式に割り当てられていますか?
▪ 情報セキュリティポリシーお よび手順のレビュー (b) 個人またはチームに以下の情報セキュリティ管理責
任が正式に割り当てられていますか?
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
12.5.1 セキュリティポリシーおよび手順が確立、文書化、およ
び周知されていますか?
▪ 情報セキュリティポリシーお よび手順のレビュー
12.5.2 セキュリティに関する警告および情報を監視して分析
し、適切な担当者に通知していますか?
▪ 情報セキュリティポリシーお よび手順のレビュー
12.5.3 セキュリティインシデントの対応およびエスカレーショ
ン手順を制定、文書化、および周知して、あらゆる状況 をタイムリーかつ効果的に処理する責任を割当てていま すか?
▪ 情報セキュリティポリシーお よび手順のレビュー
12.5.4 追加、削除、変更を含め、ユーザアカウントが管理され
ていますか?
▪ 情報セキュリティポリシーお よび手順のレビュー
12.5.5 データへのすべてのアクセスが監視および管理されてい
ますか?
▪ 情報セキュリティポリシーお よび手順のレビュー
12.6 (a) 正式なセキュリティに関する認識を高めるプログラ
ムを実施して、すべての担当者がカード会員データ セキュリティの重要性を認識するようにしています か?
▪ セキュリティ意識向上プログ ラムのレビュー
(b) セキュリティ認識プログラム手順に以下が含まれて いますか?
12.6.1 (a) セキュリティ意識向上プログラムが、担当者の意識
向上を図るため、複数の方法で提供されていますか
(ポスター、手紙、メモ、Web ベースのトレーニン グ、会議、プロモーションなど)?
注: 方法は、担当者の役割とカード会員データへのアクセ スレベルに応じて異なります。
▪ セキュリティ意識向上プログ ラムのレビュー
▪ セキュリティ意識向上プログ ラム手順のレビュー
▪ セキュリティ意識向上プログ ラム参加記録のレビュー (b) 雇用時および少なくとも年に一度担当者を教育して
いますか?
▪ セキュリティ意識向上プログ ラム手順および文書の調査
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト (c) 従業員がセキュリティ認識プログラムのトレーニン
グを完了し、カード会員データセキュリティの重要 さを認識するようになりましたか?
▪ 担当者のインタビュー
12.6.2 セキュリティポリシーおよび手順に目を通して理解した
ことについての同意を、少なくとも年に一度担当者に求 めていますか?
▪ セキュリティ意識向上プログ ラム手順および文書の調査
12.7 雇用する前に、リスクの可能性のある従業員(上述の
「担当者」の定義を参照)を選別して、内部ソースから の攻撃リスクを最小限に抑えていますか?
バックグラウンドチェックの例には、職歴、犯罪歴、信 用履歴、経歴照会があります。
注: このようなリスクの可能性のある担当者を、トランザ クションの実施で一度に 1 つのカード番号にしかアクセ スできないようなレジ係など、特定の役職に採用する場 合は、この要件は推奨のみです。
▪ 人事部門長のインタビュー
12.8 カード会員データを共有するか、カード会員データのセ
キュリティに影響を与えるサービスプロバイダを管理す るポリシーと手順が以下の通り整備および実施されてい ますか?
12.8.1 提供されるサービスの詳細を含むサービスプロバイダの
リストが整備されていますか?
▪ ポリシーおよび手順のレビュ ー
▪ プロセスの観察
▪ サービスプロバイダの一覧の レビュー
PCI DSS 質問 必要なテスト
回答
(各質問に対して1つ回答を選んでください) はい
はい、
CCW 付 いいえ N/A 未テスト
12.8.2 サービスプロバイダが自社で所有する、または顧客より
委託を受けて保管、処理、伝送するカード会員データ環 境の安全に影響を及ぼすような内容を含むカード会員デ ータのセキュリティに対して責任を負うことについて、
同意を得て、契約書を取り交わしていますか?
注: 同意の正確な言葉づかいは、両当事者間の同意事
項、提供サービスの詳細、各当事者に割り当てられた責 任によって異なります。同意には、この要件に記載され ているのとまったく同じ言葉づかいを含める必要はあり ません。
▪ 合意契約書の観察
▪ ポリシーおよび手順のレビュ ー
12.8.3 契約前の適切なデューディリジェンスを含め、サービス
プロバイダとの契約に関するプロセスが確立されていま すか?
▪ プロセスの観察
▪ ポリシーおよび手順と補足文 書のレビュー
12.8.4 少なくとも年 1 回サービスプロバイダの PCI DSS 準拠ス
テータスを監視するプログラムが維持されていますか?
▪ プロセスの観察
▪ ポリシーおよび手順と補足文 書のレビュー
12.8.5 各サービスプロバイダに対して、どの PCI DSS 要件がサ
ービスプロバイダによって管理され、どの要件が対象の 事業体により管理されるかについての情報が維持されて いますか?
▪ プロセスの観察
▪ ポリシーおよび手順と補足文 書のレビュー