DMZ
セグメントINT
セグメントWeb AP
DB
社内
LAN
通信がないことPCI DSS の対象範囲⑦
付録 D のセグメンテーションのためのフローチャート
- 評価者 (QSA) は A を起点に設備とビジネスコンポーネ ントについてサンプリングを行う。
評価担当者は、
セグメンテーションの効果を 評価したか?
ネットワーク セグメーションによる対象
範囲縮小が可能か?
PCI DSSの対象範囲縮小を目的と し た ネ ッ ト ワ ー ク セ グ メ ン テ ー ションを利用するために、カード 会員データを保存、処理、伝送す る シ ス テ ム を 、 そ の 他 の ネ ッ ト ワークから分離しなければならな い。
A
YES YE
S
NO
NO 対象範囲決定
A
カ ー ド 会 員 デ ー タ を 保存・処理・伝送する領域を 分離するために、対象範囲が 限定できている
ネ ッ ト ワ ー ク セ グ メ ン テ ー ションの実施とその効果につ いて評価担当者が報告書に記 載する
す べ て のネ ッ トワ ー クがPCI DSSレビューの対象範囲内で ある
評価担当者はPCI DSSの対象範 囲と、その対象範囲の有効性を どのように確認したか文書化し なければならない。
PCI DSS の対象範囲⑧
誤った見解の例
-
メインフレームは評価対象に含まれない ×カード会員データが伝送
/
処理/
保存される場合は含まれます。-
コールセンターは評価対象に含まれない ×カード会員データを取り扱うコールセンターのシステムコンポーネント
(
ネットワーク、サーバ・PC
、DB
等)
、業務プロセス、人物、施設は対象 となります。- CDE
内に配置された、カード会員データを扱わないサーバは評価対 象に含まれない ×CDE
内に配置されたシステムコンポーネントは、カード会員データの 取扱いに関係なく評価対象になります。-
全ての決済システムをセグメンテーションしなければならない ×セグメンテーションは必須ではありません。全ての情報システムに
PCI
DDS要件を適用することも検討すべきです。
PCI DSS の対象範囲⑨
究極のリスク低減は「カード会員データを持たない」
-
非対面加盟店は決済代行事業者の非保持(
画面遷移型)
サービスを利用する ことによりSAQ A(
要求される要件が14
項目)
またはSAQ A-EP(
同139
項目)
に 区分される。-
最終的に上記の状態を確認するのは契約するアクワイアラである。商品選択 ログイン
※事前に入力し た個人情報の中 にカード情報は 含まれていない
決済方法 選択画面に よりクレジッ トカードを選
択
決済に必要 なクレジット カード情報 入力(伝送)
売上情報の 送信
※ここにカー ド情報は含 認証/決済
(処理)
決済完了 画面 自社の
ECサイト
決済代行 事業者
PCI DSS の対象範囲⑩
対象範囲としての委託先の考慮
-
多くの加盟店やサービスプロバイダは、委託先(
サービスプロ バイダ)
とカード会員データの責任を共有している。-
委託先サービスプロバイダもPCI DSS
の準拠責任を負う。-
詳細は要件12.8
で解説 クレジットカードの磁気ストライプまたはチップ内の データをさす。
カード会員データ (CHD)
-
プライマリアカウント番号(PAN
:一般に16
桁) -
カード会員名-
サービスコード-
有効期限 機密認証データ (SAD)
-
全磁気ストライプ/
チップ上の 磁気ストライプイメージ- CVC2/CVV2/CID/CAV2
カード会員データ
4000 0012 1111 2222 12/10 ICMS Taro
カード会員名
PAN
有効期限
CVV2 磁気ストライプ
チップ
• PCI DSS 要件3.3と3.4はPANのみに適用します。カード会員名、サービスコード、有効期限とPANを共に保存する場合は、
PCI DSS 要件3.4に従い、読み取り不能にする必要があります。
※1 機密認証データはオーソリ(承認)処理の後、(たとえ暗号化していても)保存してはなりません。これはPANが保存されて いない環境にも当てはまります。
※2 磁気ストライプの全てのトラックデータ、チップ上の同等のデータなど
※3 ペイメントカードの前面または裏面に印字された 3 桁または 4 桁の数字
保管禁止データ①
暗証番号(PIN)/ NO PINブロック
CAV2 /CVC2/CVV2CID※3 NO (セキュリティコード)
要件3.2に従って 保存できない 全トラックデータ※2 NO
機密認証データ※1
NO 有効期限 YES
YES NO サービスコード
NO カード会員名 YES
YES YES
カード番号(PAN) カード会員データ
要件3.4に従って保存 されたアデータを 読み取
り不能にする
保存の データ要素 許可
要件3.2に従って 保存できない 要件3.2に従って
保存できない
保管禁止データ②
なぜセキュリティコードが必要か?
-
本人認証を確実にする手段の一つ-
磁気ストライプのスキミングでもセキュリティコードは盗めない。- CHD
が漏えいしても、非対面の不正取引際にセキュリティコードが 要求されれば、なりすまして買い物はできない。 非対面においてはセキュリティコードの保存に特に注意する。
-
保存されていたセキュリティコードがPAN
と同時に流出した場合に は、PAN
のみの事案と比較し、はるかに緊急度の高いものとなる。保管禁止データ③
JAC の実行計画においても期限付きで機密 ( センシティブ ) 認 証データ (SAD) の削除が要求された。
-
非対面/
ネット 期限:2012/9
月-
対面/POS
期限:2013/3
月 SAD の保管が必要な業態
-
アクワイアラや個別のペイメントプランドにその保存要件や期間を 確認する。-
イシュア/
カード印刷会社など。-
加盟店のSAD
保管はいかなる場合でも認められない。PCI DSS を日常業務プロセスに実装する
PCI DSS
の年次オンサイト監査から次の監査までの間にセキュリティ コントロール(
有効性と継続性)
を確実にするために、日常業務プロセ ス(BAU)
にPCI DSS
を組み込むベストプラクティス1.
セキュリティコントロールの監視2.
セキュリティコントロールの失敗と復元(PDCA) 3.
システムの変更のレビュー4.
組織の変更のレビュー5.
定期的なレビューの実施6.
ハードウェエア、ソフトウェアの使用期限の超過の確認 など
監査部門の独立、責任の分離なども有効な手法である。ただし、上記はベストプラクティスであり
PCI DSS
要件ではない。6 つの目標と 12 要件
安全なネットワークの構築と維持
要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない カード会員データの保護
要件3:保存されたカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 脆弱性管理プログラムの維持
要件5:マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する 要件6:安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8:システムコンポーネントへのアクセスを識別・認証する
要件9:カード会員データへの物理アクセスを制限する ネットワークの定期的な監視およびテスト
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11:セキュリティシステムおよびプロセスを定期的にテストする