PA-DSS 要件 テスト手順 ガイダンス
14.1 少なくとも年に 1 回、PA-DSS の責任について、ベ ンダ担当者向けの情報セキュリティや PA-DSS に関する トレーニングを提供する。
14.1 トレーニング資料を調べ、責任を持つ担当者のインタビューを行っ て、PA-DSS の責任を持つすべてのベンダ担当者は、少なくとも年 1 回、PA-DSS および情報セキュリティのトレーニングを受けていることを確 認する。
PA-DSS のガイドラインを満たす、効果的に設計 されたペイメントアプリケーションを利用するには、ペ イメントアプリケーションベンダの担当者が、継続さ れる PA-DSS 評価に関して、PA-DSS とその責 任の知識を持つことが必要です。担当者が適切 にこれらの分野で教育を受けていることを確認す るのは、ペイメントアプリケーションベンダの責任で す。
14.2 以下を含む役割や責任をベンダの担当者に割り当 てる。
PA-DSS の全要件を満たすための全体的な責任
PCI SSC PA-DSS プログラムガイドで、変更を最新 状態に保つ
安全なコーディング慣行に従っていることを確認する
インテグレータ/リセラーがトレーニングを受け、サポート 資料を受け取っていることを確認する
開発者を含め、PA-DSS の責任を持つすべてのベン ダ担当者がトレーニングを受けていることを確認する
14.2.a 文書化された責任を調べて、以下の役割の責任が正式に割り 当てられていることを確認する。
PA-DSS の全要件を満たすための全体的な責任
PCI SSC PA-DSS プログラムガイドで、変更を最新状態に保つ
安全なコーディング慣行に従っていることを確認する
インテグレータ/リセラーがトレーニングを受け、サポート資料を受け取 っていることを確認する
開発者を含め、PA-DSS の責任を持つすべてのベンダ担当者がト レーニングを受けていることを確認する。
各ペイメントアプリケーションベンダの組織内で、責 任当事者(個人またはチーム)は、PA-DSS の正 式な責任を割り当て、すべての PA-DSS 要件が 満たされていることを確認する必要があります。
14.2.b 以下の役割を担う担当者のインタビューを行い、責任が定義さ れ、理解されていることを確認する。
PA-DSS の全要件を満たすための全体的な責任
PCI SSC PA-DSS プログラムガイドで、変更を最新状態に保つ
安全なコーディング慣行に従っていることを確認する
インテグレータ/リセラーがトレーニングを受け、サポート資料を受け取 っていることを確認する
開発者を含め、PA-DSS の責任を持つすべてのベンダ担当者がト レーニングを受けていることを確認する。
PA-DSS 要件 テスト手順 ガイダンス 14.3 ペイメントアプリケーションのインテグレータとリセラー向
けに、トレーニングプログラムとコミュニケーションプログラムを 開発および実装する。トレーニングには、少なくとも以下を 含める必要がある。
ペイメントアプリケーションおよび関連するシステムとネッ トワークを、PCI DSS に準拠する方法でどのように実 装するか
この文書内(および付録 A)で『PA-DSS 実装ガイ ド』について言及されているすべての項目がそれらの資 料に記載されていること。
14.3.a リセラーとインテグレータ向けのトレーニング資料とコミュニケーショ ンプログラムを調べ、資料に以下の内容が記載されていることを確認す る。
ペイメントアプリケーションおよび関連するシステムとネットワークを、
PCI DSS に準拠する方法でどのように実装するかのトレーニング
この文書内(および付録 A)で『PA-DSS 実装ガイド』について言及 されているすべての項目がそれらの資料に記載されていること。
アプリケーションの構成、メンテナンス、サポートが 正しくないと、攻撃者によって悪用される可能性 があり、顧客のカード会員データ環境でセキュリテ ィの脆弱性につながる可能性があります。アプリケ ーションベンダは、アプリケーションのインストールと 構成が安全に行われるよう、インテグレータ/リセラ ーにトレーニングを提供し、加盟店の環境にインス トールされる場合に、アプリケーションが PCI DSS に容易に準拠していることを確認する
インテグレータやリセラーにこのようなエリアのトレー ニングを提供するのは、ペイメントアプリケーションベ ンダの責任です。
14.3.b ベンダのコミュニケーションプログラムおよび関連するベンダのプロセ スを調べて、担当者のインタビューを行い、以下を確認する。
トレーニング資料がインテグレータとリセラーに提供されている
要求に応じて、ベンダが資料をインテグレータとリセラーに提供するメ カニズムが導入されている。
14.3.c 一部のリセラーとインテグレータを選んでインタビューして、アプリケ ーションベンダからトレーニングを受け、その資料を受領したことを確認す る。
14.3.d インテグレータやリセラーがソフトウェアベンダからトレーニングを受 け、サポート資料を受け取ったという証拠に目を通す。
14.3.1 少なくとも年 1 回、およびアプリケーションや PA-DSS 要件が変更された場合に、トレーニング資料 をレビューする。
新しいペイメントアプリケーションのバージョンや PA-DSS 要件への変更について、必要に応じて文書を最新の状 態に保つよう、トレーニング資料を更新する。
14.3.1.a リセラーとインテグレータ向けのトレーニング資料を調べ、資 料について以下のことを確認する。
少なくとも年 1 回、およびアプリケーションまたは PA-DSS 要件 が変更された時点でレビューする
新しいペイメントアプリケーションのバージョンや PA-DSS 要件へ の変更について、必要に応じて文書を最新の状態に保つよう更 新する
ペイメントアプリケーションベンダの担当者、インテグ レータ、リセラーのためのトレーニング資料は、少な くとも年 1 回更新し、アプリケーションと PA-DSS 要件の最新バージョンを反映するよう更新されて いることを確認する必要があります。内容が最新 でない状態でトレーニング資料を使用すると、アプ リケーション内のセキュリティ機能設計が不十分に なったり、またはインテグレータやリセラーによって不 適切なアプリケーション構成がもたらされることにつ ながります。
14.3.1.b 新しいバージョンのペイメントアプリケーションの配布プロセス を調べ、更新されたドキュメントがアップデートされたペイメントアプリケー ションと共にインテグレータやリセラーに配布されることを確認する。
14.3.1.c 一部のインテグレータとリセラーを選んでインタビューして、アプ リケーションベンダから更新されたトレーニング資料を受領したことを確 認する。
付録 A: PA-DSS 実装ガイドの内容の要約
この付録の目的は、『PA-DSS 実装ガイド』のトピックが関連する PA-DSS 要件を要約し、『PA-DSS 実装ガイド』で提供されている内容について顧客やインテグレータ /リセラーに説明し(『PA-DSS 実装ガイド』の 11 ページを参照)、関連するコントロールの実装責任を明確にすることです。
PA-DSS
要件 PA-DSS トピック 必要な実装ガイドの内容 コントロールの実装責任
1.1.4 以前のペイメントアプリケ ーションバージョンによって 保存される機密認証デ ータを削除する。
顧客やインテグレータ/リセラー向けに、以下の指示が提供される必 要があります。
履歴データを削除する必要がある(以前のバージョンのペイメント アプリケーションによって保存されるトラックデータ、カード検証コー ド、PIN、または PIN ブロック)
履歴データの削除方法。
このような削除が PCI DSS 準拠のために絶対に必要である。
ソフトウェアベンダ: PA-DSS 要件 1.1.4 に従い、顧客が以前のバー ジョンによって保存された認証データを安全に削除するためのツールまた は手続きを提供する。
顧客とインテグレータ/リセラー: 『PA-DSS 実装ガイド』と PA-DSS 要 件 1.1.4 に従い、履歴データを削除する。
1.1.5 ペイメントアプリケーション のトラブルシューティングの 結果として収集される機 密認証データ(認証前)
を削除する。
顧客やインテグレータ/リセラー向けに、以下の指示が提供される必 要があります。
機密認証データ(認証前)は、特定の問題を解決する必要があ る場合にのみ収集する必要がある。
このようなデータは、アクセスが限定された特定の既知の場所に のみ保存する必要がある。
このようなデータは特定の問題を解決するために必要に応じて限 られた量だけ収集する。
機密認証データは保存時に暗号化する必要がある。
このようなデータは使用後すぐに安全に削除する必要がある。
ソフトウェアベンダ: 機密認証データを保存したり、PA-DSS 要件 1.1.5.a に従い、顧客の問題のトラブルシューティングを実行しない。
顧客とインテグレータ/リセラー: 『PA-DSS 実装ガイド』と PA-DSS 要 件 1.1.5.a に従い、機密認証データを保存したり、問題のトラブルシュ ーティングを実行しない。