暗号化、トランケーション、マスキング、ハッシュなどの保護方式は、カード会員データ保護のための重要な要素です。侵入者が他のセキュリ ティコントロールを回避し、暗号化されたデータにアクセスできても、正しい暗号化キーがなければ、そのデータを読み取り、使用することは できません。保存したデータを保護するための効果的な別の方法として考えられるのは、リスクを軽減する方法です。たとえば、リスクを最小 限にする方法として、カード会員データが絶対的に必要でない限り保存しない、完全な PAN が不要ならカード会員データを切り捨てる、電子 メールやインスタントメッセージングなどのエンドユーザメッセージング技術を使用して保護されていない PAN を送信しない、などがあります。
「強力な暗号化技術」および他の PCI DSS 用語については、『PCI DSS と PA-DSS の用語集(用語、略語、および頭字語)』を参照してくだ さい。
PCI DSS 要件 テスト手順 ガイダンス
3.1 データ保存および廃棄ポリシー、手 順、プロセスを実装し、すべてのカード 会員データ(CHD)ストレージに少なく とも以下のものを含めようにすることで 保存するカード会員データを最小限に抑 える。
保存するデータ量と保存期間を、法律 上、規則上、業務上必要な範囲に限定 する。
必要性がなくなった場合のデータを安全に 削除するためのプロセス
カード会員データの特定のデータ保存要 件
定義された保存要件を超えるカード会員 データを安全に廃棄する四半期ごとのプロ セス。
3.1.a データの保存および廃棄について、ポリシー、手順、プロ セスを調べ、少なくとも以下のことが含まれていることを確認す る。
• 以下を含むデータ保存についての、法律上、規制上、業務上の 要件
• カード会員データの保存についての特定の要件(カード会員データ は、X の期間、Y という業務上の理由で保存する必要がある、な ど)。
• 法律上、規制上、または業務上の理由で不要になったカード会 員データの安全な削除
• カード会員データの保存すべてを対象とする
• 定義された保存要件を超えるカード会員データを安全に廃棄す る四半期ごとのプロセス。
正式なデータ保存ポリシーで、保存する必要があ るデータとそのデータの保存場所を識別し、不要 になった場合は即座に安全な方法で破棄または削 除できるようにしておきます。
承認後に保存できるカード会員データは、プライ マリアカウント番号(PAN)(読み取り不能に処 理したもの)、有効期限、カード会員名、サービ スコードのみです。
カード会員データを正しく保存し、必要なくなっ たときに破棄するためには、それがどこにあるか を知っていることが必要です。適切な保存要件を 定義するには、まず、事業体は固有のビジネス ニーズと、業界または保存するデータの種類(あ るいはその両方)に適用される法律上または規則 上の義務を理解する必要があります。
特定の保存期間を過ぎて保存されているデータを 特定して削除することで、不要になったデータの 不要な保存を防止できます。このプロセスは、自 動的でも手動でも、あるいはその組み合わせでも できます。たとえば、プログラムされた手順(自 動または手動)を使ってデータを見つけて削除し たり、データストレージエリアを手動でレビュー したりすることなどが可能です。
•
PCI DSS 要件 テスト手順 ガイダンス 3.1.b 担当者をインタビューして、以下を確認する。
• 保存されているカード会員データの場所すべてがデータ保存 および破棄プロセスに含まれている。
• カード会員データを見つけて安全に廃棄する四半期ごとの自 動または手動プロセスが含まれている。
• カード会員データのすべての場所に対して四半期ごとの自動 または手動プロセスが実施されている。
安全な削除方法を実装することにより、不要に なったデータを確実に取得できなくします。
必要ない場合は、保存してはいけません。
3.1.c カード会員データを保存するシステムコンポーネントのサ ンプル
• ファイルとシステムレコードを調べて、保存されているデー タがデータ保存ポリシーで定義された要件を超えていないこ とを確認する。
• 削除方法を観察して、データが安全に削除されることを確認 する。
3.2 承認後に機密認証データを保存しな い(暗号化されている場合でも)。機密 認証データを受け取った場合、認証プロ セスが完了し次第すべてのデータを復元 不可能にする。
以下の場合に、データが安全に保存され る場合は、発行者と企業が、機密認証 データを保存するため、発行サービスを サポートすることが可能である。
• 業務上の理由がある
• データが安全に保存されている
3.2.a サービスの発行をサポートし、機密認証データを保存する 発行者または会社について、機密認証データの保存に関して業務 上の理由があることを確認する。
機密認証データは、フルトラックデータ、カード 検証コードまたは値、PIN データ から構成されま す。承認後の機密認証データの保存は禁止されて います。このデータからペイメントカードを偽造 し、不正トランザクションを作成することができ るため、このデータは悪意のある者にとって非常 に貴重です。
3.2.b サービスの発行をサポートし、機密認証データを保存する 発行者または会社について、データストアとシステム構成を調べ て、機密認証データがセキュリティで保存されていることを確認 する。
ペイメントカードを発行するか、発行サービスを 実施するかサポートする事業体は、発行機能の一 部として機密認証データを作成・制御することが よくあります。サービスの発行を実施、推進、ま たはサポートする会社は、業務上の正当な理由が ある場合に限り、機密認証データを保存できま す。イシュアにはすべての PCI DSS 要件が適用さ 3.2.c その他のすべての事業体では、機密認証データを受信した
場合、ポリシーと手順をレビューし、システム構成を調べて、認 証後にデータが保存されていないことを確認します。
PCI DSS 要件 テスト手順 ガイダンス 機密認証データには、以降の要件 3.2.1
~ 3.2.3 で言及されているデータを含 む。
3.2.d その他のすべての事業体では、機密認証データを受け取っ た場合、手順をレビューしてデータを安全に削除するプロセスを 調べ、データが回復不能であることを確認する。
れますが、イシュアとイシュアプロセサーにとっ て唯一の例外は、業務上の正当な理由がある場合 は機密認証データを保存できるということです。
正当な理由とは、イシュアが提供する機能の遂行 に必要で、単なる利便性を目的としない理由のこ とです。これらのデータは PCI DSS および個別の ペイメントブランド要件に従って安全に保存する 必要があります。
発行しない事業体では、認証後機密認証データを 保存することは許可されません。
3.2.1 (カードの背面やチップ上の同等 のデータなどにある磁気ストライプ の)追跡データの完全な内容を保存し ない。このデータは、全トラック、ト ラック、トラック 1、トラック 2、磁気 ストライプデータとも呼ばれます。
注: 通常の取引過程では、磁気ストライプか らの以下のデータ要素を保存する必要が生じ る場合があります。
カード会員名
プライマリアカウント番号(PAN)
有効期限
サービスコード
リスクを最小限に抑えるため、取引に必要な データ要素のみを保存します。
3.2.1 システムコンポーネントのサンプルで、データソースを調 べる。これには、以下の項目が含まれるがこれらに限定されな い。また、カード裏面の磁気ストライプまたはチップの同等 データから得られたトラック内容が、承認後、保存されていな いことを確認する。
受信トランザクションデータ
すべてのログ(トランザクション、履歴、デバッグ、エラーなど)
履歴ファイル
トレースファイル
データベーススキーマ
データベースコンテンツ
全トラックデータが保存されると、そのデータを 入手した悪意のある者はそのデータを使ってペイ メントカードを複製し、不正なトランザクション を行うことができます。
3.2.2 カードを提示しない取引を検証す るために使用された、カード検証コー ドまたは値(ペイメントカードの前面 または背面に印字されている 3 桁また は 4 桁の数字)を保存しない。
3.2.2 システムコンポーネントのサンプルについて、カード前面 または署名欄に印字されている 3 桁または 4 桁のカード検証 コードまたは値(CVV2、CVC2、CID、CAV2 データ)を含む
(ただし、これらに限定されない)データソースを調べて、こ れらが、承認後、保存されないことを確認する。
受信トランザクションデータ
すべてのログ(トランザクション、履歴、デバッグ、エラーなど)
履歴ファイル
トレースファイル
データベーススキーマ
データベースコンテンツ
カード検証コードの目的は、消費者とカードを対 面で取引しない、「カードを提示しない」取引
(インターネットまたは通信販売(MO/TO)取 引)を保護することです。
このデータが盗まれた場合、悪意のある者はイン ターネットおよび MO/TO 取引を偽造できます。