PA-DSS 要件 テスト手順 ガイダンス
6.1 ワイヤレステクノロジを使用するペイメントアプリケーショ ンについては、ワイヤレスベンダのデフォルト値を変更する。
これには、デフォルトのワイヤレス暗号化キー、パスワード、
SNMP コミュニティ文字列が含まれる(ただし、これらに限 定されない)。ワイヤレステクノロジを安全に実装する必要 がある。
PCI DSS 要件 1.2.3 および 2.1.1 に対応
6.1 ワイヤレステクノロジを使用して開発するペイメントアプリケーション、
およびペイメントアプリケーションにバンドルされるワイヤレスアプリケーション について、ワイヤレスアプリケーションでベンダのデフォルト設定が使用され ないことを次のようにして確認する。
ワイヤレステクノロジの利用は、悪意のある者がネ ットワークとカード会員データにアクセスするための 一般的な経路となります。ワイヤレスネットワーク が十分なセキュリティ構成(デフォルト設定の変更 を含む)で実装されていない場合、盗聴者はワイ ヤレストラフィックを傍受し、データとパスワードを 容易にキャプチャしてネットワークに容易に侵入し て攻撃することができます。これらの理由から、ペ イメントアプリケーションは、デフォルトまたは安全 でないワイヤレス設定の使用を必要とすることは できません。
ファイアウォールがワイヤレスネットワークから CDE へのアクセスを制限していない場合、ワイヤレスネ ットワークへの不正アクセスを得た悪意のある者 は、容易に CDE に接続し、アカウント情報を侵 害することができます。
6.1.a ベンダが準備する『PA-DSS 実装ガイド』に目を通し、顧客とイン テグレータ/リセラーのために、以下が含まれていることを確認する。
アプリケーションによって制御されるすべてのワイヤレスコンポーネント について、ペイメントアプリケーションは、インストール時に、デフォルト の暗号化キー、パスワード、SNMP コミュニティ文字列の変更を強 制する。
キー/パスワードの知識を持つ人物が退社または異動するたびに、ワ イヤレス暗号化キーおよび SNMP 文字列を含むパスワードを変更 する手続き。
ペイメントアプリケーションによって制御されていない付属のワイヤレス コンポーネントで、デフォルトの暗号化キー、パスワード、SNMP コミ ュニティ文字列を変更する指示。
すべてのワイヤレスネットワークとカード会員データを保存するシステム の間に、ファイアウォールをインストールする指示。
ペイメントアプリケーションのワイヤレス機能が使用するであろうすべて の無線トラフィック(特定のポート情報を含む)の詳細。
ワイヤレス環境とカード会員データ環境間のすべてのトラフィックを拒 否または、業務上必要な場合、承認されたトラフィックのみ許可する ようファイアウォールを構成する指示。
PA-DSS 要件 テスト手順 ガイダンス 6.1.b 『PA-DSS 実装ガイド』に従ってアプリケーションをインストールし、
アプリケーションとワイヤレス設定をテストして、ペイメントアプリケーションに よって管理されるすべてのワイヤレス機能について、以下のことを確認す る。
暗号化キーがインストール時のデフォルトから変更されていること。
ワイヤレスデバイスのデフォルトの SNMP コミュニティ文字列がインス トール時に変更されていること。
アクセスポイントのデフォルトのパスワード/パスフレーズがインストール 時に変更されていること。
ワイヤレスデバイスのファームウェアが更新され、ワイヤレスネットワーク 経由の認証および伝送用の強力な暗号化をサポートしていること。
その他、セキュリティに関連するワイヤレスベンダのデフォルト値が変更 されていること(該当する場合)。
6.1.c ペイメントアプリケーションによって管理されるすべてのワイヤレス機 能について、『PA-DSS 実装ガイド』のワイヤレス暗号化キーパスワード/
パスフレーズ、SNMP 文字列を変更する指示に従う。『PA-DSS 実装 ガイド』の指示が正確で、ワイヤレス暗号化キー、パスワード、および SNMP 文字列が変更されるようになることを確認する。
6.1.d ペイメントアプリケーションによって制御されないすべてのワイヤレス 機能について、『PA-DSS実装ガイド』のデフォルト暗号化キーパスワー ド/パスフレーズ、SNMP 文字列を変更する指示に従う。『PA-DSS 実 装ガイド』の指示が正確で、ワイヤレス暗号化キー、パスワード、および SNMP 文字列が変更されるようになることを確認する。
6.1.e アプリケーションをインストールし、アプリケーションによって使用され るワイヤレストラフィックとポートが、『PA-DSS 実装ガイド』で文書化され ているものに準拠していることを確認する。
PA-DSS 要件 テスト手順 ガイダンス 6.2 ワイヤレステクノロジを使用するペイメントアプリケーショ
ンの場合、ペイメントアプリケーションは、業界のベストプラ クティス(IEEE 802.11i など)を使用して、認証および伝 送に強力な暗号化を促進する必要がある。
注: セキュリティ制御としての WEP の使用は、禁止され ています。
PCI DSS 要件 4.1.1 に対応
6.2.a ワイヤレステクノロジを使用するペイメントアプリケーションでは、アプ リケーションが(IEEE 802,11.i などの)業界のベストプラクティスを使用し ており、認証と送信において強力な暗号化を提供していることを確認す る。
悪意のある者は、入手が容易な無料のツールを 使用して、ワイヤレス通信を傍受します。強力な 暗号化を使用すると、ワイヤレスネットワーク上で の機密情報の開示を制限することができます。
悪意のある者がワイヤレスネットワークにアクセス したり、ワイヤレスネットワークを利用してその他の システムまたはデータにアクセスするのを防ぐには、
カード会員データの認証と伝送に対する強力な 暗号化が必要です。
6.2.b アプリケーションにバンドルされるすべてのワイヤレスアプリケーション では、(IEEE 802.11.i などの)業界のベストプラクティスが使用され、認 証と送信において強力な暗号化が提供されていることを確認する。
6.2.c ベンダが準備する『PA-DSS 実装ガイド』に目を通し、顧客とイン テグレータ/リセラーのために、以下の指示が含まれていることを確認する。
認証および伝送用の強力な暗号化について、業界のベストプラクテ ィス(IEEE 802.11i など)を使用するため、アプリケーションがどのよう に構成されているか
認証と送信において強力な暗号化を提供するため、業界のベストプ ラクティスを使用するため、アプリケーションにバンドルされるすべてのワ イヤレスアプリケーションがどのように構成されているか。
6.3 ワイヤレステクノロジの安全な利用についての顧客向 けの指示を提供する。
注: この要件は、アプリケーションがワイヤレステクノロジを 使用するよう開発されているかどうかにかかわらず、すべて のペイメントアプリケーションコンポーネントに適用されます。
PCI DSS 要件 1.2.3、2.1.1、4.1.1 に対応
6.3 ベンダが準備する『PA-DSS 実装ガイド』を調べて、PCI DSS 準 拠のワイヤレス設定に関する指示が顧客とインテグレータ/リセラーに与え られていることを確認する。
インストール時に、すべてのデフォルトのワイヤレス暗号化キー、パス ワード、SNMP コミュニティ文字列を変更する指示。
キー/パスワードの知識を持つ人物が退社または異動するたびに、ワ イヤレス暗号化キー、パスワード、SNMP 文字列を変更する指示。
すべてのワイヤレス環境とカード会員データ環境の間にファイアウォー ルをインストールし、ワイヤレス環境とカード会員データ間のトラフィッ クを拒否または(業務上必要な場合)承認されたトラフィックのみを 許可するようにファイアウォールを構成する指示。
業界のベストプラクティス(IEEE 802.11i など)を使用して認証およ び伝送用の強力な暗号化を提供する指示。
ペイメントアプリケーションベンダは、アプリケーショ ンがワイヤレス環境での使用について明示的に設 計されていない場合でも、ワイヤレステクノロジの 使用をサポートするアため、アプリケーションの構 成について顧客に指示を提供する必要がありま す。ワイヤレスネットワークは一般的であり、顧客 は、一般的なワイヤレスセキュリティ設定を認識 し、ペイメントアプリケーションのセキュリティを確保 するためにそれを実施する必要があります。