PCIデータセキュリティ基準 要件詳細理解のためのトレーニング

PCIデータセキュリティ基準

SAQ のススメ

2015年8月18日

【審査機関機関（

QSA）の視点から見た

この時間の目的



PCI DSS制度およびSAQの理解



PCI DSS準拠に向けた事前準備項目の理解



PCI DSS要件の詳細理解(抜粋)

加盟店を取り巻く環境①



2015年もカード情報漏えい事件は続出

-

「LuzLlena」から3,701件流出(6月)

※OpenSSL脆弱性

-

新日本プロレスのサイトから11,155件流出(6月)

※Webアプリケーション脆弱性

-

「イタリア自動車雑貨店」から28,212件流出(6月)

※テスト環境経由でバックドア

-

村田園の通販サイトから1,959流出(6月)

※セキュリティコードも流出

-

「ONYONEベースボールギア」から72件流出(4月)

※セキュリティコードも流出

加盟店を取り巻く環境②



改正割賦販売法の施行

-

第35条の16において、イシュア・アクワイアラがクレジットカード

番号等の漏えい、滅失又はき損の防止その他のクレジットカー

ド番号等の適切な管理のために必要な措置を講じることが義務

化された。

-

イシュア・アクワイアラは、加盟店に対してカード番号漏えい防

止、発生した場合の対応および再発防止策についての指導、監

督が義務となる。

クレジットカード情報流出事件の考察①



SQLインジェクションによる事案は引き続き多い

-

ECサイトのデータベースに保管されていた会員のクレジット

カード情報が海外からSQLインジェクション攻撃された。

-

事件発生後に必要な対応

•

顧客の問い合わせ対応

•

PFIsによるフォレンジック調査

•

警察への被害届

•

広報

•

カード取扱再開のための対応



ついにSSLのPoodle脆弱性を突いた事案が出てきた

-

現時点で例は少ないものの、ツールを作られている可能性あり。

データベースコマンド入力

※SQLインジェクション攻撃

クレジットカード情報流出事件の考察②



情報流出をした加盟店の責任(例)

-

情報セキュリティ対策に不備があり、クレジットカード情報を含む個人情報を

流出してしまった。

-

情報を流出させてしまった会員に対する責任(お詫びのコスト)

-

流出させてしまったカードは原則、再発行が必要である。カード発行会社に

おける再発行のコスト1枚あたり1,500円～2,000円を当該加盟店が負担す

る必要がある。

-

流出させたカード番号については不正モニタリングをして二次被害を食い止

めなければならない。不正モニタリングのコスト1カードあたり500円程度を

当該加盟店が負担する必要がある。

-

実際に不正に買い物があったものの被害についても当該加盟店が負担す

る必要がある。

クレジットカード情報流出事件の考察③



事業継続にあたって

-

クレジットカード加盟店として継続する場合

→カード会社(アクワイアラ)からPCI DSSの準拠が要請される。

→非保持形態でPCI DSSの準拠を果たし再開するケースが多い。

-

決済手段からクレジットカードを外す。

→主要な決済手段の外してビジネスが継続できるか？

-

ショッピングモールに店ごと移す。

→楽天、Yahoo!などはカード情報を取り扱わない半面、

買い物ユーザは自社の顧客ではなくなる。

(ショッピングモールの顧客となる。)

PCI DSSとは？



PCIセキュリティ基準審議会(PCI SSC)が制定し

た、事実上の基準(Payment Card Industry

Data Security Standard)

※PCI SSC：国際ペイメントブランド(VISA, MasterCard, American Express,

JCB, Discover)によって2006年9月に設立された



日本カード情報セキュリティ協議会(JCDSC)は、

改正割賦販売法第35条の16 への対応として、

PCI DSSへの準拠を策定

PCI基準とは？

PCI PTS

PCI

PCI DSS

PA-DSS

PCI PTS

PIN エントリー

デバイス

端末機器

製造会社

ソフトウェア

開発事業者

決済パッケージ

アプリケーション

セキュリティ環境

加盟店

サービスプロバイダ

P2PE

P2PE

加盟店

クレジットカードのトランザクション概略

カード会社

(アクワイアラ)

ペイメントブランド

のネットワーク

カード会社

(イシュア)

プロセシング

(データ処理会社)

カード提示 承認要求 承認要求 承認要求 承認要求 カード発行 外部委託 外部委託 購買許可 購買許可 購買許可 購買許可 購入

ペイメント

ゲートウェイ

▽PCI DSS準拠が必要な事業体

コールセンター

事業者など

コールセンター

事業者など

iDC事業者

など

外部委託

PCI DSSの対象範囲

PCI DSSの対象範囲

PCI DSSの対象範囲

外部委託

コールセンター

事業者など

プロセシング

(データ処理会社)

加盟店 サービスプロバイダ

検査

(四半期毎)

PCI DSSにおける各プレイヤの相関

PCIセキュリティ

基準審議会(PCI SSC)

※米国組織

認定ネットワーク

スキャニングベンダー

ASV

承認

承認

加盟店

サービス

カード会社

(アクワイアラ)

監査

(年次)

自己問診表(SAQ)

脆弱性検査レポート

監査報告書(ROC)

準拠証明書(AOC)

ペイメントブランド

準拠要請

準拠要請

提出

準拠性

報告

プレイヤの責任①



アクワイアラ

-

契約先の加盟店、サービスプロバイダのカード会員データの

安全管理の責任を負う。

•

ペイメントブランドとの契約上の責任

•

改正割賦販売法上の責任

-

契約する加盟店、サービスプロバイダへの準拠要請

•

加盟店がPCI DSSに準拠していない結果として生じる、全ての責任を

負う

-

PCI DSSに準拠する責任

-

カード会員データを共有する外部委託先へのPCI DSSと同等

の情報管理の順守要請

-

ペイメントブランドへの報告義務

プレイヤの責任②



全ての加盟店はPCI DSSに準拠する責任がある。

-

準拠性の確認方法はブランド毎に若干異なる。



全てのサービスプロバイダはPCI DSSに準拠す

る責任がある。

-

取引データ、カード会員データの伝送/処理/保存に直接関わる

事業体のことを指す。

-

例)

•

クレジットカード決済代行事業者

•

プロセシング会社

•

Webホスティング会社/MSP

•

IDSサービスプロバイダ

プレイヤの責任③



QSA(認定セキュリティ監査人)

-

一定以上のレベルの加盟店、サービスプロバイダを

年次オンサイト監査により準拠性を明らかにする。

-

代替コントロールの評価

-

必要に応じて追跡評価を実施

(不適合事項のフォローアップなど)

-

監査報告書(ROC)の作成/準拠証明書(AOC)への署名

-

評価の品質の保証

-

PCI SSCに対する情報の開示義務

-

_{PCI SSCに対しての解釈の問い合わせ}

※認定セキュリティ評価機関は

QSAs と呼ばれる

プレイヤの責任④



ASV(認定スキャニングベンダー)

-

一定以上のレベルの加盟店、サービスプロバイダを

四半期毎のネットワークスキャンにより結果を明らかにする。

-

必要に応じて追跡評価を実施

(クリーンな結果が出力されるまで再スキャンを行うなど)

-

スキャニング結果の品質の保証

-

PCI SSCに対する情報の開示義務

加盟店のレベルと取引件数



加盟店のレベルはペイメントブランドが定義する。

注)ペイメントブランド毎に異なる。



加盟店レベルは主に取引件数によって区分される。



取引件数は契約するアクワイアラが判定する。



取引件数の総数は事業体の名称またはチェーン店の

合計取引件数を基に判定する。



取引件数の総数はクレジットカード、

デビットカード、プリペイドカードの合計

加盟店のレベル①

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

1

当該ブランドの年間の取引件数が600万件以上、 または地域のVISAがレ ベル1と判断したグロー バルな加盟店 ・当該ブランドの年間の取 引件数が600万件以上 ・ 過 去 に カ ー ド 情 報 の 漏洩事件を起こした加盟店 ・ MasterCardがレベル1と 判断した加盟店 ・Visaがレベル1と判断した 加盟店 当該ブランドの年間の取 引件数が100万件以上 当該ブランドの年間の取 引件数が250万件以上 ま た は American Expressがレベル1と判 断 し た 加 盟 店

2

当該ブランドの年間の取引 件 数 が 100 万 ～ 600 万件 ・当該ブランドの年間の取 引件数が100万～600万件 以上 ・Visaがレベル2と判断した 加盟店 当該ブランドの年間の取 引件数が100万件未満 当該ブランドの年間の取 引件数が5万～250万件 ま た は American Expressがレベル2と判 断 し た 加 盟 店

加盟店のレベル②

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

3

当該ブランドの年間の電子商取引における取引件 数が2万～100万件 ・当該ブランドの年間の 電子商取引における取 引件数が2万～100万件 ・Visaがレベル3と判断 した加盟店

N/A

当該ブランドの年間の 取引件数が5万件未満

4

・当該ブランドの年間の電子商取引における取引 件数が2万件未満 ・当該ブランドの年間の 取引件数が100万件未満 レベル1～3以外のすべ ての加盟店

N/A

N/A

加盟店の検証要件①

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

1

・QSAまたはISA(内部監査人)による年1回の 監査報告書(ROC) ※ISAによる場合は役 員 (CEO/CFO/CTO な ど)が署名 ・ASVによる四半期毎 の脆弱性スキャン ・準拠証明書(AOC) ・ISAまたはQSAによる 年1回のオンサイト監査 ・ASVによる四半期毎の ネットワークスキャン ・ QSA に よ る 年 1 回 の オンサイト監査 ・ASVによる四半期毎の ネ ッ ト ワ ー ク ス キ ャ ン (インターネットを介した 取引がない場合は不要) ・ QSAまたは最高経営 責任者、最高財務責任 者、情報セキュリティ最 高責任者、または加盟 店の責任者が認証して いる場合は加盟店が実 施 し た 年 1 回 の オンサイト監査 ・ASVによる四半期毎の ネットワークスキャン

2

・年1回の自己問診_{・ASVによる四半期毎} のネットワークスキャン ・準拠証明書(AOC) ・ISAによる年1回の自己 問診、またはQSAによる 年1回のオンサイト監査 ・ASVによる四半期毎の ネットワークスキャン ・年1回の自己問診 ・ASVによる四半期毎の ネットワークスキャン(イ ンターネットを介した取 引がない場合は不要) ・ASVによる四半期毎の ネットワークスキャン

加盟店の検証要件②

レベル

VISA Inc.

(AIS)

MasterCard

(SDP)

JCB

(JCBデータセキュ

リティプログラム)

American

Express

(DSOP)

3

・年1回の自己問診_{・ASVによる四半期毎} のネットワークスキャン ・準拠証明書(AOC) ・年1回の自己問診 ・ASVによる四半期毎の ネットワークスキャン

N/A

・ASVによる四半期毎の ネ ッ ト ワ ー ク ス キ ャ ン (強く推奨)

4

・年1回の自己問診(推奨) ・ASVによる四半期毎 のネットワークスキャン (適合する場合) ・アクワイアラが定める 準拠要件 ・年1回の自己問診 ・ASVによる四半期毎の ネットワークスキャン ※準拠承認はアクワイア ラの裁量

N/A

N/A

加盟店のPCI DSS準拠状況の報告方法



QSAによるオンサイト監査

-

監査報告書(ROC：Report of Compliance)



自己問診

-

自己問診(SAQ：Self-Assessment Questionnaire)

•

タイプA, A-EP, B, B-IP, C-VT, C, D, P2PE-HW の8種類



ASVによるネットワークスキャン

-

“Pass” とされた結果が出力されたスキャニングレポート



準拠証明書(AOC)

-

加盟店の責任者が署名

-

オンサイト監査を実施した場合は、監査責任者(QSA)が署名

-

自己問診結果を監査員が確認した場合は、監査責任者(QSA)

オンサイト監査(評価)の概要



毎年全項目の適合性を確認する必要がある。



監査サイクルは12ヶ月に1回。



拠点及びシステムコンポーネントについてはサンプリング

により実施する。

-

QSAはサンプリングの根拠を明確に記載する必要あり。

-

PCI DSSの要件自体のサンプリングは認められない。



項目毎に適合/不適合を判別する。



オリジナルの要件で適用できない場合、代替コントロール

の適用可否について判断する。



不順守への対処を行う。

-

目標期日を明確にする。

-

不順守の内容によっては、フォローアップ監査を実施する。

自己問診の概要(V3.1)①

SAQ

説明

項目数

A

カード会員データの取り扱いはすべて認証済みのサードパーティに外部委託しており、店内 にはカード会員データの紙の計算書または領収書だけを保管している加盟店(対面式の加 盟店には適用されない)

14

A-EP

電子商取引の支払チャネルを PCI DSS 認定の第三者に部分的に外部委託している電子商取引加盟店(システムや店内ではカード会員データを電子的に保存、処理、伝送すること がない)

139

B

インプリンタまたはスタンドアロン型ダイアルアップ端末のみによって、カード会員データを_{処理する加盟店(電子商取引チャネルには適用されない)}

41

B-IP

ペイメントプロセサーにIP接続される、スタンドアロン型PTS認定の加盟店端末装置のみに_{よって、カード会員データを処理する加盟店(電子商取引チャネルには適用されない)}

83

C-VT

インターネットに接続されたパーソナルコンピュータ上にある隔離された仮想端末のみに_{よってカード会員データを処理する加盟店(電子商取引チャネルには適用されない)}

74

C

ペイメントアプリケーションシステム（POS システムなど）がインターネットに接続されているが、カード会員データをコンピュータシステムに保存しない加盟店(電子商取引チャネルに は適用されない)

140

D

ペイメントブランドによりSAQ対象として定義されたすべてのサービスプロバイダ 上記SAQタイプの基準を満たさないSAQ対象加盟店

330

自己問診の概要(V3.1)②



PCI DSSへの準拠について、加盟店自らが次のこ

とを行う。

-

必要なポリシー文書・手順を整備する。

-

要件に従った情報セキュリティ対策を実施する。

-

ポリシー・手順に従ったシステム運用・業務運用を行い、必要な

記録(変更管理、コードレビュー、定期レビュー等)を維持する。

-

定期的な検査(無線LAN, 内部・外部脆弱性, ペネトレーション)

を実施する。

-

これらの実施状況を年次でチェックし、「自己問診および準拠証

明書」に記入し、経営責任者がサインする。

-

場合によっては、QSA(認定監査員)もサインする。

ECサイトのSAQ①



SAQ A

-

カードを提示しない(電子商取引または通信販売による注文)取引のみを

扱う。

-

全ての支払承認および処理

を PCI DSS 認定の第三者サービスプロバイダ

に

全面的に外部委託

している。

-

カード会員データのキャプチャ、処理、伝送、保管方法を

直接制御しない

。

-

システムまたは敷地内でカード会員データを電子的に保管、処理、伝送する

ことなく、これらの機能を

第三者に全面的に委託

している。

-

消費者のブラウザに配信される支払ページは

全て

_{PCI DSS 認定の第三者}

サービスプロバイダから直接送信される。

⇒いわゆるモール加盟店、決済代行事業者の支払

機能をiFrameで提供するECサイトが該当する。

ECサイトのSAQ②



SAQ A-EP

-

電子商取引のみを扱い、カード会員データの

全ての処理

を PCI DSS 認定の

第三者支払プロセサーに外部委託している。

-

Web サイトは

カード会員データを受信しない

が、消費者または消費者のカー

ド会員データが PCI DSS 認定の第三者支払プロセサーに

リダイレクトされる

方法を制御する。

-

決済アプリケーション/インターネットデバイスが、環境内の他のシステムには

接続されていない。(ネットワークセグメンテーションによって実現可。)

-

消費者のブラウザに表示される支払ページの全要素は加盟店の Web サイ

トまたは PCI DSS 準拠のサービスプロバイダからのものとする。

-

システムまたは敷地内でカード会員データを電子的に保管、処理、伝送する

ことなく

、これらの機能を

第三者に全面的に委託

している。

⇒画面リンク型決済のECサイト、支払処理機能を

ECサイトのSAQ③



SAQ D

-

カード会員データを

自社の Web サイトで承認する

電子商取引加盟店。

-

カード会員データを電子形式で

保存する

加盟店。

-

カード会員データを電子形式で

保存しない

が、

他の SAQ タイプの基準を満

たさない

加盟店。

-

他の SAQ タイプの基準を満たす環境にあるが、自社の環境に他の PCI

DSS 要件が適用されるような加盟店。

⇒次のようなECサイトが該当する。

・自社でCAFISに接続し、決済処理を行っている。

・カード番号をDBやファイルに保存している。

・カード番号をWebサーバのモジュールで受け、インター

SAQの記載事項①



SAQには、次の事項を記載する。

-

加盟店の情報(組織名、商号、担当者、住所、URL等)

-

監査機関の情報(SAQの確認を外部監査機関が行った場合)

-

加盟店のビジネス

•

業種、支払方法

•

カード会員データの取扱方法(伝送・処理・保存)

•

カード会員データを取扱う場所(事業所名・住所)

•

決済アプリケーション(名称・バージョン・ベンダ・PA-DSS準拠状況)

•

カード会員データ環境(CDE)の概要

•

サービスプロバイダの一覧と役割

SAQの記載事項②



続き

-

各要件(SAQでは「PCI DSS質問」)の準拠状況(後述)

-

代替コントロールワークシート

-

「該当なし」(N/A)とした要件の、適用されない理由の説明

-

「未テスト」(Not Tested)とした要件の、未テスト部分と理由の

説明

-

PCI DSS検証(準拠状況)の証明

•

準拠を確認した日、非準拠の場合は準拠目標日

•

準拠状態の確認(正しく確認したことの宣言)

-

責任者(担当役員)のサイン、(該当する場合)QSAのサイン

実際のSAQ(英語版の要件部分)



最新のV3.1は、英語版のSAQしかない。

実際のSAQ(日本語版：参考)

各要件への回答①



各要件に対し、次の回答をチェックしていく。

-

Yes(はい)

•

要件に合致した文書・手順があり、情報システムが構成・設定されてお

り、正しく運用できており、担当者の認識も正しく、一連の活動の記録も

維持されている。

※オンサイト監査では確認した証跡をROC(監査レポート)に記録する

が、SAQではその要求はない。(別途メモを取っておくとよい。)

-

Yes with CCW(はい、CCW付)

•

要件に記載されている対策が実施できていないが、代わりの方法(代替

コントロール：CCW)を定義・運用することで、要件が求めるセキュリティ

は確保できている。

※別途「代替コントロールワークシート」を作成し、代替コントロールの

妥当性を評価しなければならない。

各要件への回答②



続き

-

No(いいえ)

•

要件に合致した文書・手順がない、正しく運用できていない、記録が維

持されていない。

※1件でもあると、PCI DSS準拠にならない(非準拠状態)。

-

N/A(該当なし)

•

ワイヤレスネットワークがない、カード会員データを保存するDBがない、

アプリケーション開発を外部委託している等要件を適用するシステムや

運用がない。

※N/Aの妥当性を評価する必要がある。また、ワイヤレスネットワーク

がなくても要件11.1(不正ワイヤレスAPの検査)はN/Aにできない。

-

Not Tested(未テスト)

Part2：

PCI DSSの対象範囲①



PCI DSS のセキュリティ要件は、カード会員データ環境

に含まれる、または接続されるすべてのシステムコン

ポーネントに適用されます。

カード会員データ環境(CDE)は、カード会員データまた

は機密認証データを保存、処理、または送信する人、処

理、およびテクノロジで構成されます。「システムコンポー

ネント」には、ネットワークデバイス、サーバ、コンピュー

タ、アプリケーションが含まれます。システムコンポーネ

ントの例には、次のものが含まれますが、これらに限定

PCI DSSの対象範囲②



対象範囲の定義がPCI DSS準拠の初段階として

最も重要な要素のひとつです。



QSAからオンサイト監査を受ける場合に事前に合意して

おく、もっとも重要な事項のひとつです。



理由

-

対象範囲の漏れは結果的に大きなコストとリスクの増大に

つながります。

-

CDEを限定することはリスクの低減につながります。

-

オンサイト監査時に対象の範囲の違いがある場合には、

監査が中断したり、一度ですまないケースが想定されます。

PCI DSSの対象範囲③



対象範囲確定に必要なこと

-

CDEにある全てのカード会員データフローの文書化

-

対象範囲外にカード会員データが存在(伝送・処理・保管)しな

いことを確実にする。

-

ネットワーク構成図とデータフロー図を作成する。

-

評価対象外でカード会員データが発見された場合には、

•

当該カード会員データを完全に削除する。

•

対象範囲内のシステムに移行する。

•

対象範囲を見直す。

-

評価対象範囲のどのように決定したかを文書化する。評価者

PCI DSSの対象範囲④



ネットワークセグメンテーション

-

CDEと接続されるフラットネットワークはPCI DSSの対象範囲

となる。

-

PCI DSSの対象範囲を狭めるためにファイアウォールなどで

ネットワークセグメンテーションを実施することが可能である。

ネットワークセグメンテーションはカード会員データにアクセス

する範囲を狭めることにつながり、リスクを低くすることが可能

である。

-

セグメント＝分離＝通信できない

注：ネットワークセグメンテーションはPCI DSSの

要件ではありません。

PCI DSSの対象範囲⑤



セグメンテーションに関するPCI SSCの見解

-

2013年11月20日のCommunity Meetingでは、セグメンテーシ

ョンについて次の説明がなされている。

•

_{Segmentation =}

_isolation

_{= no access}

•

Controlled access ≠

isolation

•

Controlled access is a DSS requirement and in scope

•

If it can impact the security of the CDE, it is in scope

•

Remember non-CHD systems may be in scope too

-

isolation(≒絶縁)がセグメンテーションの基本である。物理的

な方法の他、ファイアウォールやルータを使用して絶縁するこ

とも可能であるが、通信があってはならない。



ネットワークセグメンテーションの例

PCI DSSの対象範囲⑥

Internet

FireWall

DMZセグメント

INTセグメント

Web

AP

DB

社内LAN

通信がないこと

PCI DSSの対象範囲⑦



付録Dのセグメンテーションのためのフローチャート

-

_{評価者(QSA)はAを起点に設備とビジネスコンポーネ}

ントについてサンプリングを行う。

評価担当者は、 セグメンテーションの効果を 評価したか？ ネットワーク セグメーションによる対象 範囲縮小が可能か？ PCI DSSの対象範囲縮小を目的と し た ネ ッ ト ワ ー ク セ グ メ ン テ ー ションを利用するために、カード 会員データを保存、処理、伝送す る シ ス テ ム を 、 そ の 他 の ネ ッ ト ワークから分離しなければならな い。 Ａ YES YE S NO NO 対象範囲決定 Ａ カ ー ド 会 員 デ ー タ を 保存・処理・伝送する領域を 分離するために、対象範囲が 限定できている ネ ッ ト ワ ー ク セ グ メ ン テ ー ションの実施とその効果につ いて評価担当者が報告書に記 載する す べ て のネ ッ トワ ー クが PCI DSSレビューの対象範囲内で ある 評価担当者はPCI DSSの対象範 囲と、その対象範囲の有効性を どのように確認したか文書化し なければならない。

PCI DSSの対象範囲⑧



誤った見解の例

-

メインフレームは評価対象に含まれない ×

カード会員データが伝送/処理/保存される場合は含まれます。

-

コールセンターは評価対象に含まれない ×

カード会員データを取り扱うコールセンターのシステムコンポーネント

(ネットワーク、サーバ・PC、DB等)、業務プロセス、人物、施設は対象

となります。

-

CDE内に配置された、カード会員データを扱わないサーバは評価対

象に含まれない ×

CDE内に配置されたシステムコンポーネントは、カード会員データの

取扱いに関係なく評価対象になります。

-

全ての決済システムをセグメンテーションしなければならない ×

セグメンテーションは必須ではありません。全ての情報システムにPCI

DDS要件を適用することも検討すべきです。

PCI DSSの対象範囲⑨



究極のリスク低減は「カード会員データを持たない」

-

非対面加盟店は決済代行事業者の非保持(画面遷移型)サービスを利用する

ことによりSAQ A(要求される要件が14項目)またはSAQ A-EP(同139項目)に

区分される。

-

最終的に上記の状態を確認するのは契約するアクワイアラである。

商品選択 ログイン ※事前に入力し た個人情報の中 にカード情報は 含まれていない 決済方法 選択画面に よりクレジッ トカードを選 択 決済に必要 なクレジット カード情報 入力（伝送） 売上情報の 送信 ※ここにカー ド情報は含 認証／決済 （処理） 決済完了 画面 自社の ECサイト 決済代行 事業者

PCI DSSの対象範囲⑩



対象範囲としての委託先の考慮

-

多くの加盟店やサービスプロバイダは、委託先(サービスプロ

バイダ)とカード会員データの責任を共有している。

-

委託先サービスプロバイダもPCI DSSの準拠責任を負う。

-

詳細は要件12.8で解説



クレジットカードの磁気ストライプまたはチップ内の

データをさす。



カード会員データ(CHD)

-

プライマリアカウント番号(PAN：一般に16桁)

-

カード会員名

-

サービスコード

-

有効期限



機密認証データ(SAD)

-

全磁気ストライプ/チップ上の

磁気ストライプイメージ

-

_{CVC2/CVV2/CID/CAV2}

カード会員データ

4000 0012 1111 2222 12/10 ICMS Taro カード会員名 PAN 有効期限 CVV2 磁気ストライプ チップ

• PCI DSS 要件3.3と3.4はPANのみに適用します。カード会員名、サービスコード、有効期限とPANを共に保存する場合は、 PCI DSS 要件3.4に従い、読み取り不能にする必要があります。 ※1 機密認証データはオーソリ(承認)処理の後、(たとえ暗号化していても)保存してはなりません。これはPANが保存されて いない環境にも当てはまります。 ※2 磁気ストライプの全てのトラックデータ、チップ上の同等のデータなど ※3 ペイメントカードの前面または裏面に印字された 3 桁または 4 桁の数字

保管禁止データ①

NO 暗証番号(PIN)/ PINブロック NO CAV2 /CVC2/CVV2CID※3 (セキュリティコード) 要件3.2に従って 保存できない NO 全トラックデータ※2 機密認証データ※1 NO YES 有効期限 NO YES サービスコード NO YES カード会員名 YES YES カード番号(PAN) カード会員データ 要件3.4に従って保存 されたアデータを 読み取 り不能にする 保存の 許可 データ要素 要件3.2に従って 保存できない 要件3.2に従って 保存できない

保管禁止データ②



なぜセキュリティコードが必要か？

-

本人認証を確実にする手段の一つ

-

磁気ストライプのスキミングでもセキュリティコードは盗めない。

-

CHDが漏えいしても、非対面の不正取引際にセキュリティコードが

要求されれば、なりすまして買い物はできない。



非対面においてはセキュリティコードの保存に特に注意する。

-

保存されていたセキュリティコードがPANと同時に流出した場合に

は、PANのみの事案と比較し、はるかに緊急度の高いものとなる。

保管禁止データ③



JACの実行計画においても期限付きで機密(センシティブ)認

証データ(SAD)の削除が要求された。

-

非対面/ネット 期限：2012/9月

-

対面/POS

期限：2013/3月



SADの保管が必要な業態

-

アクワイアラや個別のペイメントプランドにその保存要件や期間を

確認する。

-

イシュア/カード印刷会社など。

-

加盟店のSAD保管は

いかなる場合でも認められない

。

PCI DSSを日常業務プロセスに実装する



PCI DSSの年次オンサイト監査から次の監査までの間にセキュリティ

コントロール(有効性と継続性)を確実にするために、日常業務プロセ

ス(BAU)にPCI DSSを組み込むベストプラクティス

1.

セキュリティコントロールの監視

2.

セキュリティコントロールの失敗と復元(PDCA)

3.

システムの変更のレビュー

4.

組織の変更のレビュー

5.

定期的なレビューの実施

6.

ハードウェエア、ソフトウェアの使用期限の超過の確認

など



監査部門の独立、責任の分離なども有効な手法である。

ただし、上記はベストプラクティスでありPCI DSS要件ではない。

6つの目標と12要件

安全なネットワークの構築と維持

要件1：カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

要件2：システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

要件3：保存されたカード会員データを保護する

要件4：オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持

要件5：マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する

要件6：安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

要件7：カード会員データへのアクセスを、業務上必要な範囲内に制限する

要件8：システムコンポーネントへのアクセスを識別・認証する

要件9：カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

要件10：ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

要件11：セキュリティシステムおよびプロセスを定期的にテストする

セキュリティに終わりはない



サイバー攻撃の手口は巧妙かつ悪質化



消費者の意識は「セキュリティは加盟店の義務」



PCI DSSからの要求は今後も高くなっていく

⇒それでも、消費者・アクワイアラ・ブランドからの

信頼を得るために、PCI DSSに準拠したセキュリ

ティ対策を続けよう。

国際マネジメントシステム認証機構について

会社名

_{国際マネジメントシステム認証機構(株)}

業務内容 情報セキュリティに関する審査/監査、

第三者認証サービスの提供

所在地

東京本社、札幌営業所

認定

・一般財団法人日本情報経済社会推進協会

(以下JIPDEC)からJIS Q 27001

(ISO/IEC27001)の認証機関として認定(ISR010)

・米国PCIセキュリティ基準審議会より

認定セキュリティ評価機関(QSA)として承認

PCI DSSオンサイト監査実績

ご清聴ありがとうございました



PCI DSS準拠に関するお問い合わせ、教育内容に関す

るご質問、お気軽にご連絡ください。



お問い合わせ先

gyoumu@icms.co.jp

0120-796-115



URL

http://www.icms.co.jp/