Payment Card Industry PCI
ー 基準
要件 評価手
ー ン 1.2
2008 10 暻
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 1
目
概論 び PCI ー 基準 概要 ...3
PCI DSS 適用性情報 ...4
PCI DSS 要件 準拠 評価範 ...5
ワー ン ー ン ... 5
ワ ... 6
第 者 / ー ン ... 6
設備 ン ー ン ン ン ... 6
代暶 ン ー ... 7
準拠 関 ー い 指示 内容 ...8
ー 内容 形式 ... 8
曑解決 目 再確認 ... 11
PA-DSS 準拠 - 完了手 ... 11
PCI DSS 要件 び 評価手 細 ...12
全 ワー 構築 維持 ... 13
要件 1: ー 会員 ー 保護 ー ン ー 構成 維持 ... 13
要件 2: ワー び ー ン 提供 値 使用 い ... 17
ー 会員 ー 保護 ... 20
要件 3: 保 ー 会員 ー 保護 ... 20
要件 4: ー ン 公共 ワー 経由 ー 会員 ー 伝 場合 暗号化 ... 26
弱性管理 整備 ... 28
要件 5: ン 使用 定期的 更新 ... 28
要件 6: 全性 高い ー ン 開発 保 ... 29
強固 制御手法 入 ... 35
要件 7: ー 会員 ー 業務 必要 範 内 制限 ... 35
要件 8: ン ー 各 ー 一意 ID 割 当 ... 37
要件 9: ー 会員 ー 物理 制限 ... 42
ワー 定期的 視 び ... 46
要件 10: ワー ー び ー 会員 ー 追跡 び 視 ... 46
要件 11: び 定期的 ... 49
情報 ー 整備 ... 52
要件 12: 従業員 び派遣社員向 情報 ー 整備 ... 52
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 2
付録 A: 共暼 ン 向 PCI DSS 追 要件 ...59
付録 B: 代暶 ン ー ...61
付録 C: 代暶 ン ー ワー ー ...62
付録 D: 準拠証明書 - 盟店 ...64
付録 E: 準拠証明書 - ー ...68
付録 F: PCI DSS ー — ン 範 指定 び選択 ...72
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 3
概論 び PCI ー 基準 概要
Payment Card Industry PCI ー 基準 DSS ー 会員 ー 強化 均一 ー 評価基準 用
ー 推 策定 文書 PCI ー 基準 要件 評価手 12 PCI DSS 要件 基
使用 要件 当 手 評価 ー 統合 文書 PCI DSS 準拠 確認 必要 あ 盟店 ー
ン ー 実施 評価担当者 対象 作成 い 以 12 PCI DSS 要件 概 数 ー
渡 PCI DSS 評価 準備作業 実施 ー い 明 PCI DSS 要件 細 い 13 ー 明
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 4
PCI DSS 適用性情報
表 ー 会員 ン 認証 ー 一般的 構成要素 各 ー 要素 保 許可 禁 各 ー 要素 保護 必要
あ う 示 表 完全 あ 各 ー 要素 適用 種類 要件 示 い
ー 要素 保 許可 保護 必要性
PCI DSS要件
3.4ン 番号
PAN い い い
ー 会員
1
い い
1
いいえ
ー ー
1
い い
1
いいえ
ー 会員 ー
暼効期限
1
い い
1
いいえ
完全 磁気 ー
3
いいえ N/A N/A
CAV2/CVC2/CVV2/CID いいえ N/A N/A
ン 認証 ー
2
PIN/PIN いいえ N/A N/A
ー 要素 P N 共 保 場合 保護 必要 保護 ー 会員 ー 環境 全般的 保護 関 P I SS 要件 従い
法 消費者 個人 ー 保護 I 盗 ー 関連 ー 特定 保護 引過程 消費者関
連 個人 ー 場合 会社 実施方法 適 開示 必要 可能性 あ P I SS P N 保 処理 伝 い場合 適用
ン 認証 ー 認 え暗号化 い 保
磁気 ー 在 磁気 ー
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 5
PCI DSS 要件 準拠 評価範
PCI DSS 要件 ン ー ン 適用 ン ー ン ー 会員 ー 環境 含
接 ワー ン ー ン ー ー ン 定義 ー 会員 ー 環境 ー 会員 ー
ン 認証 ー 保暼 ワー 一部 ワー ン ー ン ー ー ー ワ ン
ワー 機器 機器 含 限定 わ あ ー Web ー ン ー
ー 認証 ー ワー NTP ン ー ー DNS 含 限定 わ あ
ー ン 内部 び外部 ン ー ー ン び ー ン 含
ワー ン ー ン
ー 会員 ー 環境 ワー ン ー ン ー 会員 ー 環境 残 企業 ワー 隔 ン 化 PCI DSS 要
件 あ ワー ン ー ン 以 引 方法 推奨
PCI DSS 評価 対象範
PCI DSS 評価
PCI DSS ン ー 実装 維持 関 び 易
組織 ー 会員 ー ン ー 強化 少数 場所 統合 減
ワー ン ー ン 適 設定 い い場合 ワー 呼 ワー 全体 PCI DSS 評価 対象範
ワー ン ー ン 内部 ワー ー ワー 特定 ン 制限 強力 制御
持 ー ー 実現
ー 会員 ー 環境 範 重要 前提条件 ー 会員 ー 保 処理 伝 関 ー び 明確
必要 ー 削 び必要 ー 統合 ー 会員 ー 少 い場所 制限 長期 わ
ン ン 必要 可能性 あ
ー ー 使用 ー 会員 ー ー 文書化 ー 会員 ー ー 把握 ワー ン ー
ン ー 会員 ー 環境 効果的 隔 い 確認
ワー ン ー ン 設定 い PCI DSS 評価範 縮 使用 い 場合 評価担当者 ワー ン ー ン 評価
範 縮 適 い 確認 必要 あ ワー 適 ン 化 ー 会員 ー 保 処理 伝
以外 高い 隔 ワー ン ー ン 特定 実装 適 あ う 特定 ワー
構成 入 い び実装 い ン ー 大 左右
付録 F: PCI DSS ー − ン 範 設定 び選択 評価時 範 設定 効果 い 明 い
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 6
ワ
ワ 使用 ー 会員 ー 保 処理 伝 場合 POS ン ン ン ン line-busting ワ
ー ワー LAN ー 会員 ー 環境 接 い 場合 一部 い 場合 ー 明確
い い場合 ワ 環境 関 PCI DSS 要件 手 適用 実行 必要 あ 要件 1.2.3 2.1.1 4.1.1
ワ 実装 前 企業 必要性 照 合わ 注意深 評価 必要 あ ワ
ン い ー 伝 入 検討 い
第 者 / ー ン
1 回 ン 評価 必要 あ ー ー 会員 ー 保 処理 伝 ン ー ン 対 準拠
確認 行う必要 あ
ー 盟店 第 者 使用 ー 会員 ー 保 処理 伝 ー ー ー ー ー
物理 ー ン ー ン 管理 場合 ー 会員 ー 環境 影響 可能性 あ
ー 会員 ー 保 処理 伝 第 者 ー ー 業体 準拠 関 ー ROC 各 ー 役
割 記述 ー対象 業体 適用 要件 ー 適用 要件 明確 区 必要 あ 第 者 ー
準拠確認 2 ン あ 1 自 PCI DSS 評価 証拠 顧客 提出 準拠 い 示 2
自 PCI DSS 評価 い場合 顧客 各 PCI DSS 評価 ー 中 ー ー 必要 あ 細 い 準拠 関
ー い 指示 内容 ン 第 3 部 管理 ー MSP ー 場合 始 箇条書 参照 い
盟店 ー ー 会員 ー 権 持 関連 第 者 PCI DSS 準拠 管理 び 視 必要 あ
細 い 文書 要件 12.8 参照 い
設備 ン ー ン ン ン
評価担当者 PCI DSS 要件 評価 設備 ン ー ン 代表的 ン 選択 ン 設
備 ン ー ン 両方 含 い 必要 あ 設備 場所 び ン ー ン
代表的 選択 必要 あ 評価担当者 ン ー 予定 実装 い 確信 ほ 十 量
設備 例 会社 店舗 ン 盟店 場所 設備 挙 ン ン 各
設備 ン ー ン 含 い 必要 あ え 各 設備 ー対象領域 使用 ー ン
機能 ー ン 含 各 設備 評価担当者 Apache WWW 実行 Sun ー Oracle 実行 Windows ー
従来 ー 処理 ー ン 実行 ン ー HP-UX 実行 ー 転 ー MYSQL 実行 Linux ー
選択 ー ン 単一 OS Windows Sun 実行 い 場合 ン 各種 ー ン ー ー
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 7
ー Web ー ー 転 ー 含 い 必要 あ ( 付録 F: PCI DSS ー - ン 範 設定 び選択 参照
い
設備 ン ー ン ン 選択 場合 評価担当者 以 考慮 必要 あ
各設備 従う 標準 必須 PCI DSS あ 場合 各設備 標準 合わ 構成 い 適 保証 ン
標準 い場合 必要 量 少 済
複数 標準 あ 場合 ン ー ン 設備 ン 各 保
護 ン ー ン 設備 含 十 量
標準 PCI DSS 各設備 任 担 い 場合 各設備 PCI DSS 要件 理解 実装 い
保証 ン 量 多
付録 F: PCI DSS ー - ン 範 設定 び選択 参照 い
代暶 ン ー
代暶 ン ー 文書化 ー 評価担当者 検証 付録 B: 代暶 ン ー び 付録 C: 代暶 ン ー ワー ー 従
準拠 関 ー 含 必要 あ
代暶 ン ー 代暶 ン ー ワー ー 付録 C 記入 必要 あ 代暶 ン ー 結果 準拠 関 ー
PCI DSS 要件 ン 記載 必要 あ
代暶 ン ー 細 い 述 付録 B C 参照 い
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 8
準拠 関 ー い 指示 内容
文書 準拠 関 ー 作成 ン ー 使用 必要 あ 評価対象 業体 各 ン ン 業体 準
拠状況 認識 う ン ン ー 要件 従う必要 あ ー 要件 手 い 各 ン ン 問い合わ
い
ー 内容 形式
準拠 関 ー 作成 際 ー 内容 形式 い 指示 従 い
1. 概要
以 内容 含
業体 ン ー 業務 い 記述
- ン ー 関 実行 業務 ー 会員 ー 保 処理 伝 方法 び 理由
注 : 業体 Web ン ー 評価担当者 ン び 業体 役割 理解 い 示
記述 行う必要 あ
- 支払 処理方法 直接 間接
- 使用 支払 ー 提示 い mail-order-telephone-order MOTO 電子商 引 ー
提示
- 関係 含 支払伝 処理 接 業体
以 含 業体 ワー 構成 概要 ワー 業体 入手 評価担当者 作成
- ワー ワー 接
- POS ー ー Web ー ー 会員 ー 環境内 重要 ン ー ン
- 必要 ン ン ー ン
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 9
2. 作業範 び実行 ー 明
文書 評価範 関 ン 従 以 含 範 記述
評価 対象 環境 ン ン ー ン 内部企業 ワー 接 処理
ワー ン ー ン 設定 い PCI DSS ー 対象範 い 場合 ン ー ン い 簡単
明 評価担当者 ン ー ン 暼効性 う 検証 明
両方 業体 店舗 設備 使用 ン ン び選択 ン ー ン 根拠 示 文書化
- 団 合計
- ン 抽出数
- 選択 ン 論理的根拠
- ン 量 業体全体 い ー ン ー 対応済 ン ー あ 評価担当者 信 十
量 あ 理由
- ー範 外 ー 会員 ー 保 処理 伝 場所 環境 び 場所 / 環境 外 理由
PCI DSS 準拠 必要 100% 子会社 び 子会社 個 ー 評価 一部 ー
PCI DSS 準拠 必要 海外 業体 び 業体 個 ー 評価 一部 ー
ー 会員 ー 環境 接 い ー 会員 ー 環境 影響 可能性 あ ワ LAN びワ
ン ー ン POS 端曒 び ワ 環境
評価 実施 際 使用 PCI DSS 要件 び 評価手 文書 ー ン
評価期間
3. ー環境 細
ン 以 い 明
LAN WAN ン ー 各通信 ン
ー 会員 ー 環境 い 明
- 認 決済 ー ー 含 ー 会員 ー 伝 処理 文書化
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 10
- ー 会員 ー 保 ー 評価担当者 作成 ン 入手 報告書 記録
い ン ン 裏付 ン ン ー 会員 ー ー 以 含
• 保 い ー 会員 ー 要素
• ー 保護方法
• ー 方法
ー 会員 ー 環境 使用 い ー び重要 機能 / 用途 明
企業 ー 会員 ー 共暼 ー 業体 注意 : 業体 PCI DSS 要件 12.8 準拠
業体
使用 第 者 ン ー ン製品 ー ン番号 各 ン ー ン PA-DSS 従 検証 い
含 ン ー ン PA-DSS 検証済 あ 評価担当者 ー ン PCI DSS 準拠 方法
び環境 ン ー ン ン PA-DSS 実装 従 実装 確認 必要 あ 注 : PA-DSS 検
証済 ー ン 使用 PCI DSS 要件 あ PA-DSS 準拠要件 把握 各 ン ン 個
問い合わ い
ン ー 個人 肩書
ー 文書 一覧
管理 ー MSP ー 場合 評価担当者 文書 要件 MSP 適用 ー 含
MSP 顧客 ー 担当 明確 識 必要 あ MSP IP MSP 四半期 弱性
ン 一部 ン IP MSP 顧客 自 四半期 ン 含 記述
4. 連絡先情報 ー 日
以 記述
盟店 ー 評価担当者 連絡先情報
ー 日付
5. 四半期 ン 結果
要件 11.2 概要 暷新 4 回 四半期 ン 結果 い 簡単 記述
注 : 1 暷新 ン結果 過去 ン 2 業体 四半期 ン 必要 ー 手 文書化 い
3 初期 ン 記録 弱性 再 ン 修 い 評価担当者 確認 場合 初回 PCI DSS 準拠 過去 4 回
四半期 ン 調査 必要あ 以降 初回 PCI DSS ー 過去 4 回 四半期 ン 調査
必要 あ
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 11
PCI DSS Security Scanning Procedures 従 ン 業体 在 外部 可能 ン ー 露
出 い IP 対象 含 必要 あ
6. 発見内容 所見
概要 標準 準拠 関 ー ン ー ー 適合 い 要約
評価担当者 細 PCI DSS 要件 び 評価手 ン ー 使用 各要件 要件 関 い
ー 記述 び発見 提供 必要 あ
評価担当者 代暶 ン ー ン ー 対応済 断 代暶 ン ー ー 文書化
必要 あ
代暶 ン ー 細 い 代暶 ン ー ン 付録 B C 参照 い
曑解決 目 再確認
準拠確認 ン ー 対応 ー 必要 曑解決 目 含 場合 将来日付 終了 目 含 場合 ー 非準拠
盟店 / ー 確認 終了 前 目 対処 必要 あ 盟店 / ー
目 対処 評価担当者 改善 施 要件 満 い 再評価 再評価 評価担当者 ー 会員 ー 環境 完
全準拠 あ 確認 新 い準拠 関 ー 発行 指示 従 提出 以 参照
PA-DSS 準拠 - 完了手
1. 述 検証 ー 関 指示 内容 ン 従 準拠 関 ー ROC 完成
2. 過去 弱性 ン PCI SSC Approved Scanning Vendor ASV 実行 確認 ASV 過去 ン 証拠 入手
3. ー 盟店 対 準拠証明書 完成 準拠証明書 い 付録 D E 参照 い
4. ROC 過去 ン 証拠 準拠証明書 必須文書 ワ ー 盟店 ン ン 要求者 ー
提出
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 12
PCI DSS 要件 び 評価手 細
以 PCI DSS 要件 び 評価手 関 表 列 ー 定義
PCI DSS 要件 - 列 ー 標準 定義 PCI DSS 準拠 成 要件 表示 要件 準拠 検証
手 - 列 PCI DSS 要件 対応 い 検証 評価担当者 行う 表示
対応 - 列 代暶 ン ー 結果 対応 い ン ー 含 評価担当者 対応 い ン ー 簡単 明
使用 注 : 列 対応 い い 目 将来日付 終了 曑解決 目 使用 い い
曑対応 - 列 評価担当者 曑対応 ン ー 簡単 明 使用 特 要求 場合 非準拠 ー
ン ン ワ ー 提出 い い 非準拠 ー 細 い 付録 D 付録 E: 準拠証明書 参照 い
目標期日 / ン - 評価担当者 曑対応 ン ー 盟店 ー ン ー 対応 期待 目標期
日 記載 必要 あ 注記 ン 記載
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 13
全 ワー 構築 維持
要件 1: ー 会員 ー 保護 ー ン ー 構成 維持
ー 企業 ワー 社内 信 い ワー 外部 ン ー び企業 信 内部 ワー 内
機密性 高い領域 制御 ン ー 装置 企業 信 ワー 内 非常 機密性 高い領域 例 ー 会員
ー 環境 挙
ー ワー 調査 指定 基準 満 い伝
電子商 引 従業員 ン ー 従業員 電子 ー B2B 接 専用
接 ワ ワー ー 信 い ワー 保護
信 い ワー 問題 い う 思わ 経路 重要 侵入経路 い あ
ー ン ー ワー 重要 保護
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
1.1 以 含 ー び
ー ー構成基準 確立
1.1 ー / ー ー構成基準 び以 指定
文書 入手 び検査 標準 完全 あ
確認 各 目 記入
1.1.1 ワー 接 び
ー / ー ー構成 変更 認
び 式
1.1.1
ワー 接 び ー
/ ー ー構成 変更 認 び
式 あ 確認
1.1.2.a 暷新 ワー ワー ー 会員
ー ー 示 在 ワ ワー
含 ー 会員 ー 接 記載 い
確認
1.1.2 ワ ワー 含 ー
会員 ー 接 示 暷新
ワー
1.1.2.b 暷新 あ 確認
1.1.3 各 ン ー 接 び DMZ
demilitarized zone 内部 ワー
ーン 間 ー 要件
1.1.3 ー 構成基準 各 ン ー 接
び DMZ 内部 ワー ーン 間 ー
要件 含 い 確認 現在 ワー
ー 構成基準 一致 い 確認
1.1.4 ワー ン ー ン 論理的
管理 ー 役割 任 関
記述
1.1.4 ー / ー ー構成基準 ワー
ン ー ン 論理的管理 ー 役割 任
関 記述 含 い 確認
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 14
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
1.1.5.a ー / ー ー構成基準 業務 必要
ー ー 文書化 含 い
確認 HTTP SSL SSH VPN
1.1.5 使用 許可 い
ー ー 文書化 び
使用 許可 い 業務 理由 全
い い 実装
い 機能 文書化
1.1.5.b 許可 い 全 い ー ー
識 必要 あ 機能 文書化
審査 ー / ー ー構成基準
び各 ー 設定 実装 い 確認
全 い ー ー 例 ー ー
資格情報 渡 FTP 挙
1.1.6.a ー / ー ー構成基準
ー び ー ー ー 少 6 暻
ー う 要求 い 確認
1.1.6 ー び ー ー
ー 少 6 暻
ー 必要 あ
1.1.6.b 文書 入手 び調査 ー 少
6 暻 ー 確認
1.2
信 い ワー ー
会員 ー 環境内
ン ー ン 接 制限
ー 構成 構築
1.2 ー / ー ー構成 調査 信
い ワー ー 会員 ー 環境内 ン ー
ン 間 接 制限 い 確認
注: 信 い ワー ー対象 業体 属 ワー 外 ワー 業体
制御 管理 及 い ワー あ い 両方 あ
1.2.1.a 着信 び発信 ー 会員 ー 環境
必要 制限 制限 文書化 い
確認
1.2.1 着信 び発信 ー
会員 ー 環境 必要 制限
1.2.1.b え 明示 拒否 許可文
暗黙 拒否 使用 着信 び発
信 明確 拒否 い 確認
1.2.2 ー ー構成
保護 び 期化
1.2.2 ー ー構成 保護 期化
い 確認 え 実行構成
ー ー 標準実行 使用 ー 構成
ン 再起動時 使用 保護構成 あ
確認
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 15
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
1.2.3 ワ ワー
ー 会員 ー 環境 間 境界
ー ン ー ワ 環境
ー 会員 ー 環境
拒否 制御 う
業務 必要 場合 う ー
構成
1.2.3 ワ ワー ー 会員 ー
保 間 境界 ー ン ー
ワ 環境 ー 会員 ー 環境
拒否 制御 う 業務
必要 場合 う ー 構成 い
確認
1.3 ン ー ー 会員 ー 環境
内 ン ー ン 間 直
接的 禁
1.3 ー / ー ー構成 以 明
調査 ン ー ン ー ン 間 直接
い 確認 ン ー ン ン ー
ー ー ー DMZ ー ー び ー
DMZ ー 会員 ン 境界 ー ー 内部 ー 会
員 ワー ン 含
1.3.1 DMZ 実装 着信 び発信
ー 会員 ー 環境 必要 制限
1.3.1 DMZ 実装 着信 び発信
ー 会員 ー 環境 必要 制限 い
確認
1.3.2 着信 ン ー DMZ 内 IP 制限
1.3.2 着信 ン ー DMZ 内 IP
制限 い 確認
1.3.3 ン ー ー 会員 ー 環
境間 直接経路 着信/
発信 使用 可
1.3.3 ン ー ー 会員 ー 環境間
直接経路 着信/発信 い 確認
1.3.4 ン ー DMZ 内 通過
内部 ン ー 禁
1.3.4 内部 ン ー DMZ 内 通過
い 確認
1.3.5 ー 会員 ー 環境 ン ー
発信 DMZ 内 IP
可能 う 制限
1.3.5 ー 会員 ー 環境 ン ー 発信
DMZ 内 IP 可能 あ
確認
1.3.6 動的 ン 呼
ー ン ン 実装
ワー 内 確立 接
許可
1.3.6 ー ー ン ン動的
ン 実行 確認 [確立 接
許可 前 確立 ン 関連付 い
場合 許可 必要 あ TCP ー syn
reset syn ack 設定 ー 実行
ン あ 場合 前 接 ン 一部
い 関わ 許可 い ]
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 16
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
1.3.7 DMZ 内部 ワー
ーン ー ー 配置
1.3.7 DMZ 内部 ワー ーン ー
ー 配置 い 確認
1.3.8 RFC 1918 領域 使用
IP ー 実装 内部 変換
ン ー 露出 防
ー 変換 PAT ワー
変換 NAT 使用
1.3.8 ー び ー ー ン ー ン ン
い RFC 1918 領域 使用 NAT
使用 内部 ワー ン ー
IP ー 制限 い 確認
IP ー
1.4.a ン ー 直接接 ン ー
従業員所暼 ン ー あ い 両方 企業
ワー 使用 従業員 使用
ー ー ン
ー 暼効 い 確認
1.4 ン ー 直接接
ン ー 従業員所暼 ン
ー あ い 両方 企業 ワー
使用 従業員
使用 ー
ー ン ー
1.4.b ー ー 企業固暼
基準 構成 構成 ン ー ー ー
変更可能 い 確認
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 17
要件 2: ワー び ー ン 提供 値 使用 い
社内外 悪意 あ 人々 多 場合 ン ワー び ン 設定 使用
ワー 設定 ー 間 知 公開情報 通 容易 特定
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
2.1 ワー 入 前
ン 提供 値 必 変更
ワー 簡易 ワー 管理
SNMP 文 列 変更 必要
ン 削
2.1 ン ー ン 重要 ー ワ
ン ン 選択 ン 提供
ン ワー 使用 ン 試
管理者 協力 得 ン ワー
変更 い 確認 ン び
ン ー ー 使用 ン 提供 ン /
ワー
2.1.1 ー 会員 ー 環境 接
い ー 会員 ー 伝 ワ
環境 場合 ワ ン
値 変更
ワ 暗号化 ー ワー
SNMP 文 列 含
限定 い 認証 び伝
強力 暗号化 術 ワ
設定 暼効 い
確認
2.1.1 ワ 環境 ン 設定 い
確認 ワ ワー 強力 暗
号化 AES 実装 い 確認
暗号化 ー ン ー 時 変更
い ー 知識 持 人物 社
異動 び ー 変更 い
ワ SNMP
文 列 変更
ン ワー / ー
変更
ワ ー 更新 ワ
ワー 経由 認証 び伝 用 強力
暗号化 ー い WPA/WPA2
関連 ワ ン
値
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 18
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
2.2.a ン ー ン い 企業
構成基準 調査 構成基準 SysAdmin Audit Network Security SANS National Institute of Standards Technology NIST Center for Internet Security
CIS 業界 認知 強化基準 一致 い
確認
2.2.b 構成基準 目 2.2.1 ~ 2.2.4 含
い 確認
2.2 ン ー ン
い 構成基準 作成 基準
既知 弱性 ー
業界 認知 強化基準 一致
い 必要 あ
2.2.c 新 い 構成 際 構成基準 適
用 い 確認
2.2.1 1 ー 主要機能 1
実装
2.2.1
ン ー ン
ン い 1ー 主要機能 1 実装 い 確認
え Web ー ー ー ー DNS
々 ー 実装 必要 あ
2.2.2 全性 い 必要 ー
び 無効
特定機能 実行 直接必要 い
ー び
2.2.2 ン ー ン ン い 暼効
ー ー ン 検査 要
全性 い ー び 無効 い
ー 適 使用 根拠 示 文書化
い 確認 え FTP 使用 い
い SSH 術 暗号化 い
2.2.3.a 管理者 ー あ
い 両方 ン ー ン ー ン 一般
的 ー 関 知識 あ 確認
2.2.3.b 構成基準 一般的 ー
設定 含 い 確認
2.2.3 誤用 防
ー 構成
2.2.3.c
ン ー ン
ン い 一般的 ー 適 設定 い 確
認
2.2.4 機能
要 Web ー
要 機能 削
2.2.4
ン ー ン
ン い 要機能 機能
削 い 確認 暼効 機
能 文書化 構成 ー 文書化
機能 ン ン 在 確認
PCI DSS 要件 び 評価手 v1.2 2008 10 暻
Copyright 2008 PCI Security Standards Council LLC ー 19
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
2.3 ン ー 以外 管理
暗号化 Web ー 管理や
ン ー 以外 管理 い
SSH VPN SSL/TLS 使用
2.3
ン ー ン
ン い ンー 以外 管理 以 暗号化 い
確認
各 管理者 ン 見 管理者 ワ
ー 要求 前 強力 暗号化方式 実行
い 確認
ー び ー 確認
Telnet ー ン ン 内部
使用 可 い 確認
Web ー 管理 ン ー 管理者
強力 暗号化 術 暗号化 い 確認
2.4 共暼 ン 各
業体 環境 び ー 会員 ー 保
護 必要 あ
付録 A: 共暼
ン 向 PCI DSS 追 要
件 明 い 要件 満
必要 あ
2.4
共暼 ン PCI DSS 評価
い 付録 A: 共暼 ン 向 PCI
DSS 追 要件 明 い 手
A.1.1~ A.1.4 実行 共暼 ン 業体
盟店 び ー 環境 び
ー 保護 い 確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
ー 会員 ー 保護
要件 3: 保 ー 会員 ー 保護
暗号化 ン ー ン ン 保護方式 ー 会員 ー 保護 重要 要素 侵入者 ワー
ン ー 回避 暗号化 ー い暗号化 ー ー 使用 保
ー 保護 効果的 方法 考え 軽減 方法 え 暷 限 方法 ー 会員 ー
絶対的 必要 い限 保 い 完全 PAN 要 ー 会員 ー 捨 暗号化 い い電子 ー PAN 信 い
あ
強力 暗号化 術 び PCI DSS 用語 い PCI DSS Glossary of Terms, Abbreviations, and Acronyms 参照 い
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
3.1 保 ー 会員 ー 暷 限
抑え ー 保 廃棄 関
ー 作成 ー 保 ー 従
保 ー 量 保 期間 業務
法 規則 必要 範 限定
3.1 ー 保 廃棄 関 会社 ー び手
入手 検討 以 実行
ー 手 ー 保 関 法 規則
業務 要件 含 い 確認
ー 会員 ー 保 関 具体的 要件
含 ー 会員 ー X 期間 Y いう
業務 理由 保 必要 あ
ー 手 法 規則 業務 必要性
場合 ー 廃棄 ー 会員 ー
廃棄 含 関 措置 含 い 確認
ー 手 ー 会員 ー 保 関
ー い 確認
ー 手 業務 保 要件 超え 保
い ー 会員 ー 少 四半期 削
自動 保 ー 会員
ー 業務 保 要件 超え い い 確認
少 四半期 実施 ー要件
含 い 確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
3.2 認 ン 認証 ー 保
い 暗号化 い 場合
ン 認証 ー 以降 要件 3.2.1
~ 3.2.3 言及 い ー 含
3.2
ン 認証 ー 削
場合 ー 確実 復元 可能 削
手 入手 ー
ン 認証 ー 各 目 対 以 手 実行
3.2.1 磁気 い
い 内容 保 い ー 裏面
内 在 ー
全 1
2 磁気 ー 呼
注: 通常 業務範 磁気
以 ー 要素 保 必要 生 場合 あ
ー 会員
ン 番号 PAN
暼効期限
ー ー暷 限 抑え 業務 必要 ー 要素 保
注:
細 い PCI DSS
Glossary of Terms, Abbreviations,
and Acronyms 参照
3.2.1 ン ー ン ン 調査 以
目 い ー 裏面 磁気 得
内容 い 状況 い 保 い い 確
認
信 ン ン ー
ン ン 歴
ー
歴
ー
ー ー ー
ー ー ン ン
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
3.2.2 ー 提示 い 引 確
認 使用 ー 検証 ー
値 ン ー 前面
裏面 3 桁 4 桁
数 保 い
注: 細 い PCI DSS Glossary of Terms,
Abbreviations, and Acronyms
参照
3.2.2 ン ー ン ン い ー 前
面 署 欄 い 3 桁 4 桁 ー 検
証 ー 値 CVV2 CVC2 CID CAV2 ー い
状況 い 保 い い 確認
信 ン ン ー
ン ン 歴
ー
歴
ー
ー ー ー
ー ー ン ン
3.2.3 個人識 番号 PIN
暗号化 PIN 保
い
3.2.3 ン ー ン ン 調査 以
各 目 い PIN び暗号化 PIN い
状況 い 保 い い 確認
信 ン ン ー
ン ン 歴
ー
歴
ー
ー ー ー
ー ー ン ン
3.3 表示 際 PAN
暷大 暷初 6 桁 暷 4 桁 表示
注:
従業員 び 関係者 業
務 合法的 ー PAN
全体 見 必要 あ 場合 要 件 適用 い
ー 会員 ー 表示 関 厳 い要件 POS ー あ 場合 置 換え
3.3 文書化 ー 入手 び検討 PAN 表
示 面 紙 ー 調査 業務 合法的 ー
PAN 全体 見 必要 あ 場合 ー 会員
ー 表示 際 PAN 確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
3.4.a ン / 暗号化
当 場合 記載 PAN 保護 使用 い
関 文書 入手 検討 い
方法 PAN 能 い 確認
強力 暗号化 術 ー ワン
ン ー ン
ン ー ン 全 保
必要 あ
関連 ー管理 び手 伴う 強力
暗号化
3.4.b ー ン い ー
調査 PAN 能 い 確
認 文 保 い い
3.4.c ー ー ン
調査 PAN 能 い 確認
3.4 以 手法 使用
保 場所 PAN 少
能 ー
含
強力 暗号化 術 ー
ワン
ン ー ン
ン ー ン
全 保 必要 あ
関連 ー管理 び
手 伴う 強力 暗号化
ン 情報 う 少 PAN
能 必要 あ
注:
何 理由 PAN能 い場合 付録 B: 代暶 ン ー
参照
強力 暗号化 術 PCI DSS Glossary of Terms,Abbreviations, and Acronyms
定義 い
3.4.d 査 ン 調査 PAN 適 部 削
い PAN 削 い 確認
3.4.1.a 暗号化 使用 い 場合 暗号化
論理 ー
ン 実装
い 確認 ー ー ー ン ー ー
使用 い 方法
3.4.1 列
ー ー 暗号化
暗号化 使用 場合 論理
ー ン
制御
管理 必要 あ
ー ー ー ン ー
ー 使用 い 方法
3.4.1.b 暗号化 ー 全 保 い 確認
強力 制御 適 保護 い ー
保 い
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
暗号解 ー ー ン
結合 い い
3.4.1.c 保 い 場合 ー
ー 会員 ー 暗号化 い 確認
注: 暗号化 ー 暗号
化 い あ ー 保
ー 個 暗号化 必要 あ
3.5 ー 会員 ー 暗号化
使用 暗号化 ー 漏洩 誤使
用 保護
3.5
以 目 確認 ー 会員 ー 暗号
化 使用 い ー 漏洩 誤使用 保護
確認
3.5.1 暗号化 ー
必要暷 限 管理者 制限
3.5.1 ー ー 調査 ー
少数 管理者 制限 い 確認
3.5.2 暗号化 ー 保 場所 形
式 暷 限 全 保
3.5.2 構成 調査 ー 暗号化
形式 保 ー暗号化 ー ー 暗号化 ー
個 保 い 確認
3.6.a ー 会員 ー 暗号化 使用 ー 管理手
在 確認
注: ー管理 多数 業界標準 あ NIST
http://csrc.nist.gov 参照 ー 入手可
能
3.6.b ー : ー ー
会員 ー 伝 使用 ー 顧客 共暼 い 場合
顧客 ー 顧客 ー 間 ー 伝
使用 全 保 び変更 方法 記述
文書 ー 顧客 提供 い 確
認
3.6 ー 会員 ー 暗号化
使用 ー 管理 び
手 文書化 実装
以 含
3.6.c ー管理手 調査 以 実行
3.6.1 強力 暗号化 ー 生成 3.6.1 ー管理手 強力 ー 生成 要求 い
確認
3.6.2 全 暗号化 ー 配 3.6.2 ー管理手 全 ー 配 要求 い
確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
3.6.3 全 暗号化 ー 保 3.6.3 ー管理手 全 ー 保 要求 い
確認
3.6.4 定期的 暗号化 ー 変更
関連 ー ン 必
要 場合 自動的 行わ
望 い 再 ー入 力
少 1 回
3.6.4 ー管理手 定期的 ー 変更 要求
い 確認 少 1 回
3.6.5.a
ー管理手 古い ー 破棄 要求
い 確認 ー 廃棄 廃
3.6.5 古い ー 険
疑い あ ー 破棄 暶
3.6.5.b ー管理手 険
い 疑い あ ー 暶 要求 い
確認
3.6.6 暗号化 ー 知識 割
重管理
3.6.6 ー管理手 ー 知識 割 重管理 要求
い 確認 例: ー全体 再構築 2
~ 3 人 必要 各自 ー 一部 知 い
3.6.7 暗号化 ー 置換 防 3.6.7 ー管理手 ー 置換 防 要求
い 確認
3.6.8 暗号化 ー管理者 自身
務 理解 諾
示 書面 署
3.6.8 ー管理手 ー管理者 自身 務 理解
諾 示 書面 署 要求 い
確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
要件 4: ー ン 公共 ワー 経由 ー 会員 ー 伝 場合 暗号化
ワー 悪意 あ 人々 容易 機密情報 ワー 経由 伝 場合 暗号化 必要 あ 誤 構成
ワ ワー び従来 暗号化や認証 弱性 う 弱性 ー 会員 ー 環境 特権 得
悪意 あ 人々 標的
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
4.1 ー ン 公共 ワー 経由
機密性 高い ー 会員 ー 伝 場合 強力 暗号化 SSL/TLS
IPSEC 使用
PCI DSS ー ン 公共 ワー
例 以 挙
ン ー
ワ
Global System for Mobile communications GSM
General Packet Radio Service GPRS
4.1.a ー 会員 ー ー ン 公共 ワー 経由
信 場合 暗号化 SSL/TLS IPSEC
使用 い 確認
ー 伝 時 強力 暗号化 使用 い 確
認
SSL 実装 場合:
- ー 暷新 ー ン ー い
確認
- URL HTTPS 表示 確
認
- URL HTTPS 表示 い場合 ー 会員
ー 要求 い 確認
信時 ン ン ン 選択 ン
ン 視 ー 会員 ー 信時 暗号化
い 確認
信 SSL/TLS ー/証明書 付
い 確認
使用中 暗号化手法 適 強 暗号化 実装
い 確認 ン 推奨 /
確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
4.1.1 ー 会員 ー 伝
ー 会員 ー 環境 接 い
ワ ワー 業界
IEEE 802.11i 使用
認証 び伝 用 強力 暗号化
実装
新 いワ 実装 い
2009 3 暻 31 日以降 WEP 実装 い
現在 ワ 実装 い
2010 6 暻 30 日以降 WEP 使用 い
4.1.1 ー 会員 ー 伝 ー 会員 ー
環境 接 い ワ ワー 業界
IEEE 802.11i 使用 認証 び伝
用 強力 暗号化 実装 い 確認
4.2.a ン ー ー ン ー 会員
ー 信 場合 常 強力 暗号化 使用 い
確認
4.2 暗号化 い い PAN ン
ー ー ン 電子 ー
ン ン ー ン
信 い
4.2.b 暗号化 い い PAN ン ー ー ン
信 い 規定 ー 在
確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
弱性管理 整備
要件 5: ン 使用 定期的 更新
一般 呼 悪意 あ ワー 木馬 従業員 電子 ー ン ー ン ー
ー 使用 業務 認 活動 通 弱性 利用 ワー 侵入 影 響 や い
ン 使用 暷新 化 威 保護 必要 あ
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
5.1 悪意 あ 影響
や い 特 ー
ン ー ー ン
入
5.1 悪意 あ 影響 や い
ー ン 含 ン ー ン
ン い 適用可能 ン
在 場合 ン 入 い
確認
5.1.1 ン
既知 悪意
あ 対 検知 駆 保
護 可能 い
5.1.1 ン ー ン ン い
ン 既知 悪意
あ 木馬 ワー
ー 対 検知 駆 保護
可能 あ 確認
5.2 ン 暷新 暼効 実
行 査 生成 確認 以
目 確認
5.2.a ー 入手 検討 ン
び定義 更新 要求 い 確認
5.2.b ー ン ー 自動更新
定期 ン 対 暼効 い 確認
5.2.c 悪意 あ 影響 や い
ー ン 含 ン
ー ン ン い 自動更新 定期 ン
暼効 い 確認
5.2 ン
暷新 暼効 実行 査
生成
5.2.d ン ー ン ン い
ン 生成 暼効
PCI DSS 要件 10.7 従 保 い 確認
P I SS 要件 び 評価手 . 暻
付録 ン 範 設定 び選択 ー
要件 6: 全性 高い ー ン 開発 保
悪意 あ 人々 弱性 利用 特権 得 う 弱性 多 ン 提供
修 管理 業体 う ン ー 必要 あ 重要 暷新 ー
適 適用 悪意 あ 人々 び ー 会員 ー 使用 び侵害 保護 必
要 あ
注 : 適 既 構成 競合 い 十 評価 び 指 自社開発 ー ン
場合 標準 開発 全 ー ン 術 使用 多 弱性 回避
PCI DSS 要件 手 対応 曑対応 目標期日/ ン
6.1.a ン ー ン び関連 ン
い 各 ン ー
ン 暷新 比
較 暷新 ン ン ー い 確
認
6.1 ン ー ン
ン 提供 暷新
適用 重要
ー 1 暻以内 ン ー 注: 組織 ン ー 優先
付 基 ー
適用 検討 え 重要 ン 一般 公開 い
ー ー 重要性
い内部 高い優先 付
優先 高い び
1 暻以内 対処 重要性
い び 3 暻以内
対処 う
6.1.b ン ー 関 ー
調査 重要 新規 1 暻以内
ン ー 要求 い 確認
6.2.a 任者 ン ー 新 弱性
特定 実装 い 確認
6.2 新 発見 弱性 特定
確立 ン ー
無料 入手可能 警告 ー 入
新 弱性 問題 対処
PCI DSS 要件 2.2 要求 い 構成基準 更新
6.2.b 新 弱性 特定
弱性情報 外部 ー 使用
び新 弱性 問題 見 要件 2.2
ー 構成基準 更新 含 い
確認
