PCI クイックリファレンスガイド支払カード業界データセキュリティー基準バージョン 1.2 についての理解 カード会員データの保存 処理 転送を行う加盟店および組織向け 目次

PCI

_{クイックリファレンスガイド}

支払カード業界データセキュリティー基準 バージョン1.2についての理解

カード会員データの保存、処理、転送を行う加盟店および組織向け

Copyright 2008 PCI Security Standards Council, LLC. All Rights Reserved. この PCI データセキュリティ基準クイックリファレンスガイドは、カード会員データを保存、 処理、または転送する加盟店およびその他の組織に対する情報提供と教育を目的として、 PCI Security Standards Council（PCI SSC）から提供されています。

PCI SSC と PCI SSC が管理する基準の詳細については、www.pcisecuritystandards.org. をご覧ください。この文書の目的は、補足情報を提供することです。ここで提供される情報は、 PCI SSC の基準またはその付属文書に取って代わるものではありません。 詳細については、 PCI SSC の Web サイトをご覧ください。

3

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

目次

序文: PCI セキュリティ基準によるカード会員データの保護 ... 4 PCI 要件の概要 ... 6 PCI データセキュリティ基準（PCI DSS） ... 8 ペイメントアプリケーションデータセキュリティ基準（PA DSS） ... 10 PIN トランザクションセキュリティ要件（PTS） ... 10 PCI DSS 要件に対応するセキュリティ管理および処理 ... 11 安全なネットワークの構築と維持 ... 12 カード会員データの保護 ... 14 脆弱性管理プログラムの整備 ... 16 強固なアクセス制御手法の導入 ... 18 ネットワークの定期的な監視およびテスト ... 21 情報セキュリティポリシーの整備 ... 23 PCI セキュリティに対応する代替コントロール ... 24 PCI DSS の準拠方法 ... 25 認定セキュリティ評価機関（QSA）の選択 ... 26 認定スキャニングベンダ（ASV）の選択... 27 自己問診（SAQ）の使用 ... 28 報告 ... 29 Web リソース ... 30

PCI Security Standards Council について ... 31

4

序文

:

PCI

_{セキュリティ基準によるカード会員データの保護}

20 世紀の米国の犯罪者、Willie Sutton が銀行強盗を行った理由は「そこに現金があるから」だと伝えられ ています。デジタル時代に入った今日では、同じ動機から、加盟店が金融詐欺の新たな標的になっていま す。 場合によっては、加盟店のセキュリティのすきをついた犯罪者が、個人の消費者金融情報を利用し、ペ イメントカードのトランザクションや処理システムからたやすく情報を盗むことも可能です。

これは深刻な問題です。Privacy Rights Clearinghouse.org によると、2005 年 1 月以降、機密情報が含まれ る記録が 2 億 3400 万件以上侵害されています。 加盟店はペイメントカードトランザクションの中心的な 役割を果たしているため、標準的なセキュリティの手順およびテクノロジに従ってカード会員データの盗 難を防止することが不可欠です。 加盟店の脆弱性は、POS 装置、パーソナルコンピュータまたはサーバ、ワイヤレス ホットスポットまたは Web ショピングアプリケーション、ペーパーベースの保管システム、セキュリティ保護されない状態での サービスプロバイダへのカード会員データの送信など、カード処理のエコシステムのほとんどあらゆる箇 所に発生する可能性があります。 さらに、脆弱性はサービスプロバイダやアクワイアラー（ペイメントカー ドを受け付ける加盟店との関係を開始および維持する金融機関）が運用するシステムにまで拡大する可 能性があります（5 ページの図を参照）。

Payment Card Industry（PCI）データセキュリティ基準（DSS）に準拠することによって、このような脆弱性が 軽減され、カード会員データの保護に役立ちます。

リスクの高い行為

米国とヨーロッパで実施された企 業アンケートでは、次の行為でカ ード会員データが危険にさらされ る可能性が高いという結果が出 ました。

81%

ペイメントカード番号の 保存

73%

ペイメントカード有効期 限の保存

71%

ペイメントカード検証コー ドの保存

57%

ペイメントカードの磁気ス トライプからの顧客データの保存

16%

その他の個人データの 保存

出典: Forrester Consulting: PCI の準拠状 態（RSA/EMC からの委託による）

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

5

この『PCI クイックリファレンスガイド』の目的は、PCI DSS に対する理解を深め、PCI DSS をペイメント

カードトランザクション環境に適用することにあります。 PCI DSS に準拠するには、次の 3 つの手順があります。 評価 — カード会員データを特定し、組織の IT 資産 のインベントリおよびペイメントカードを処理するためのビジネスプロセスを取得して分析し、カード会員 データを公開する可能性を持った脆弱性がないかどうかを確認します。 是正 — 脆弱性を修正し、必要が ない限りカード会員データを保存しないようにします。 報告 — 必要な是正処置を検証する記録をとりまと めて提出し（該当する場合）、取引のある加盟店銀行およびカードブランドに準拠レポートを提出します。 PCI DSS は、最善のセキュリティ慣行を反映した常識的な手順に従っています。 DSS は、カード会員データ を保存、処理、または送信するあらゆる事業体に適用されます。 PCI SSC および関連するセキュリティ基準 は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc. によって設立された PCI Security Standards Council（PCI SSC）が運営しています。 この PCI SSC には、加 盟店、ペイメントカード発行銀行、プロセサー、開発者、ベンダなどの組織が参加しています。 PCI _{準拠は継続的なプロセス}

評価

是正

報告

POS _{加盟店 サービスプロバイダ アクワイアラー} インターネット 公共ネットワーク ワイヤレス インターネット 公共ネットワーク ワイヤレス インターネット 公共ネットワーク ワイヤレス PCI 要件の概要

6

PCI

_{要件の概要}

PCI セキュリティ基準は、PCI Security Standards Council（PCI SSC）がカード会員データを保護するために 規定した技術面および運用面の要件です。 この基準はカード会員データを保存、処理、または送信するあ らゆる組織に適用され、取引に使用するアプリケーションのソフトウェア開発者および製造業者にガイダ ンスを提供します。 PCI SSC はセキュリティ基準を管理し、PCI 基準への準拠は PCI SSC の設立メンバーで ある American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc によって実施されます。

PCI（Payment Card Industry）セキュリティ基準

カード会員支払いデータの保護 製造業者 ソフトウェア開発業者 加盟店とプロセサー _{PCI セキュリティ} 基準と準拠

PCI PTS

ペイメントアプリ ケーションベンダ データセキュリティ基準 PIN Transaction Security

PCI PA-DSS

PCI DSS

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

7

PCI セキュリティ基準の構成要素:

PCI

データセキュリティ基準（DSS）

PCI DSS は、カード会員データを保存、処理、または送信するあらゆる事業体に適用されます。 カード会員 データに含まれる、または関連する技術面および運用面のシステムコンポーネントが対象になります。 ペ イメントカードを受け入れる、または処理する加盟店は、PCI DSS に準拠する必要があります。

PIN

トランザクション（PTS）セキュリティ要件

PCI PTS（旧 PCI PED）は、カード会員の PIN およびその他の支払い処理関連の行為を保護する装置の特性 と管理に重点を置いた一連のセキュリティ要件です。 製造業者を対象とし、装置の設計、製造、および装置 を実装する事業体への装置の輸送に関する要件を規定しています。 金融機関、プロセサー、加盟店、 サービスプロバイダは、PCI SSC（www.pcisecuritystandards.org/security_standards/ped/ pedapprovallist.html）によるテストを受けて承認された装置またはコンポーネント以外を使用してはな らないものとされています。

ペイメントアプリケーションデータセキュリティ基準（PA-DSS）

PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配 布、またはライセンス供与されるペイメントアプリケーションのソフトウェア開発者およびインテグレータ を対象としています。 多くのカードブランドは、PCI SSC によるテストを受けて承認されたペイメントアプリ ケーションを使用することを加盟店に推奨しています。 検証済みアプリケーションのリストについては、次 の情報をご覧ください: www.pcisecuritystandards.org/security_standards/pa_dss.shtml

8

PCI

データセキュリティ基準

PCI DSS バージョン 1.2 は、カード会員データを処理、保存、または送信するすべての組織を対象にした、カードブ ランドが採用するグローバルなデータセキュリティ基準です。 PCI DSS は最善のセキュリティ慣行を反映した常 識的な手順で構成されています。 目的 PCI DSS 要件 安全なネットワークの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールし て構成を維持する システムパスワードおよびその他のセキュリティパラメータにベンダ提 2. 供のデフォルト値を使用しない カード会員データの保護 3. 保存されるカード会員データを保護する オープンな公共ネットワーク経由でカード会員データを伝送する場合、 4. 暗号化する 脆弱性管理プログラムの整備 5. アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新 する 安全性の高いシステムとアプリケーションを開発し、保守する 6. 強固なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する コンピュータにアクセスできる各ユーザに一意の 8. ID を割り当て ること カード会員データへの物理アクセスを制限する 9. ネットワークの定期的な監視お よびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する セキュリティシステムおよびプロセスを定期的にテストする 11. 情報セキュリティポリシー の整備 12. 従業員および派遣社員向けの情報セキュリティポリシーを整備する

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

9

PCI DSS 準拠を評価するツール PCI SSC が規定する PCI DSS 基準以外に、各カードブランドには準拠、検証レベル、実行のための固有の プログラムがあります。 準拠の詳細については、次のリンクをご覧ください。 • American Express: • www.americanexpress.com/datasecurity • Discover Financial Services: • www.discovernetwork.com/fraudsecurity/disc.html • JCB International: • www.jcb-global.com/english/pci/index.html • MasterCard Worldwide • www.mastercard.com/sdp • Visa Inc: • www.visa.com/cisp Visa Europe: • www.visaeurope.com/ais 認定評価機関: PCI SSC では、PCI DSS 準拠の評価を促進するプログラムとして 認定セキュリティ評価機 関（QSA）および認定スキャニングベンダ（ASV）を管理しています。 QSA は PCI SSC の承認を受けて PCI DSS 準拠を評価します。 ASV は PCI SSC の承認を受けて加盟店およびサービスプロバイダのインター ネット環境に対する脆弱性スキャンを実施し、PCI DSS スキャン要件への準拠を検証します。 詳細につい ては、PCI SSC の Web サイトをご覧ください: www.pcisecuritystandards.org/qsa_asv/find_one.shtml 自己問診: 自己問診（SAQ）は、PCI DSS 準拠のオンサイト評価を受ける必要がない組織向けの検証ツー ルです。 事業の状況に応じて SAQ の内容は異なります。詳細については、PCI SSC の Web サイトをご覧く ださい: www.pcisecuritystandards.org/saq/index.shtml 組織の加盟店金融機関が SAQ を実施する必要 があるかどうかを決定することもできます。

10

ペイメントアプリケーションデータセキュリティ基準

PA-DSS は、ペイメントアプリケーションの開発者を対象とした基準です。 PA-DSS の目的は、禁止されてい るデータを保存せず、ペイメントアプリケーションが PCI DSS の準拠をサポートしていることを確認でき る安全な市販ペイメントアプリケーションの開発を促進することです。 加盟店およびサービスプロバイダ は、使用しているペイメントアプリケーションが PCI SSC によって承認されたものであることを確認する必 要があります。承認済みアプリケーションの実装に関する要件とタイムフレームについては、加盟店金融 機関に確認してください。 PA-DSS には 14 の要件があります。 詳細および承認済みペイメントアプリケー ションのリストについては、次の情報をご覧ください: www.pcisecuritystandards.org/security_standards/pa_dss.shtml

PIN

トランザクション（PTS）セキュリティ要件

この要件は PCI PTS（旧 PCI PED）と呼ばれ、PIN を使用するトランザクションおよびその他の支払い処理 関連行為の一部として個人識別番号を受け付ける、または処理する装置またはコンポーネントの製造業 者に適用されます。 承認された PTS ラボラトリが PTS 要件の準拠を検証します。 金融機関、プロセサー、 加盟店、サービスプロバイダは、使用している装置またはコンポーネントが PTS によって承認されたもの であることを確認する必要があります。 金融機関以外の場合、準拠に関する要件とタイムフレームについ ては、加盟店金融機関に確認してください。 PTS 要件は、装置コンポーネントの物理的および論理的なセ キュリティ特性や装置の管理など、装置を対象とした要件を規定しています。 詳細および承認済み PTS 装 置とそのコンポーネントのリストについては、次の情報をご覧ください: www.pcisecuritystandards.org/security_standards/ped/index.shtml

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

11

PCI DSS 要件に対応 するセキュリティ管理お よび処理

PCI DSS

要件に対応する

セキュリティ管理および処理

データセキュリティ基準バージョン 1.2（PCI DSS）の目的は、加盟店が処理、保存、または伝送するカード会 員データを保護することです。 セキュリティ管理と処理に関する PCI DSS の要件は、PAN（ペイメントカー ドの表に印字されたプライマリアカウント番号）など、カード会員のアカウントデータを保護するためにき わめて重要です。 ペイメントカードの処理に関与する加盟店およびその他のサービスプロバイダは、承認 後にセンシティブ認証データを保存することを禁じられています。 対象となるデータには、カードに印字さ れたセンシティブデータ、カードの磁気ストライプまたはチップに保存されたセンシティブデータ、カード 会員が入力した個人識別番号などがあります。 この章では、PCI DSS の目的と、関連する 12 の要件につい て説明します。 CID （American Express） 有効期限 磁気ストライプ （トラック 1 と 2 のデータ） PAN チップ （磁気ストライプイメ ージのデータ） CAV2/CID/CVC2/CVV2

（Discover、JCB、MasterCard、Visa） ペイメントカードのデータの種類

12

安全なネットワークの構築と維持

かつては、犯罪者が金融記録を盗むには社屋に侵入する必要がありましたが、 現在は多くのペイメント カードトランザクション（米国のデビットカードやヨーロッパの「チップアンドピン」など）で PIN 入力装置と ネットワーク接続されたコンピュータを使用します。 組織はネットワークセキュリティ制御を利用して、ペ イメントシステムネットワークに仮想的にアクセスした犯罪者によるカード会員データの盗難を阻止する ことができます。 要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する ファイアウォールは組織のネットワークのコンピュータトラフィック、および組織の内部ネットワーク内の 機密エリアへのトラフィックを制御する装置です。 ルーターは、2 つ以上のネットワークを接続するハード ウェアまたはソフトウェアです。 1.1 ファイアウォールおよびルーター構成基準を確立する場合は、構成が変更されるたびにテストを定 式化し、ワイヤレスを含む、カード会員データへのすべての接続を示し、実装ごとに異なる技術設定 を使用し、構成のルールセットを少なくとも 6 カ月ごとにレビューする。 1.2 カード会員データ環境に必要なプロトコルを除き、信頼できないネットワークおよびホストからのす べてのトラフィックを拒否するファイアウォール構成を構築する。 1.3 インターネットとカード会員データ環境内のすべてのシステムコンポーネント間の、直接的なパブリ ックアクセスを禁止する。 1.4 インターネットに直接接続するすべてのモバイルコンピュータまたは従業員所有のコンピュータ（あ るいはその両方）で、企業ネットワークへのアクセスに使用されるものに、パーソナルファイアウォー ルソフトウェアをインストールする。 ネットワークセキュリティの制御 ファイアウォール ネットワーク間および内部ネットワ ーク内のトラフィックの通過を制御 する装置 ルーター 2 つ以上のネットワークを接続する ハードウェアまたはソフトウェア 図 / 写真: Wikimedia Commons

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

13

要件 2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値 を使用しない ハッカーが内部ネットワークにアクセスする最も簡単な方法は、ペイメントカードインフラストラクチャ内 でデフォルトパスワードを試すか、デフォルトのシステムソフトウェア設定を利用することです。 加盟店が 導入時のデフォルトのパスワードまたは設定を変更しないケースがあまりに多く見うけられます。 これは、 夜になって帰宅するときに店の鍵を開けたままにしておくのと同じことです。 多くのネットワーク装置のデ フォルトのパスワードおよび設定は広く知られています。 デフォルト値を変更していなければ、この情報と ネットワーク上の装置を識別するハッカーツールを使用して、たやすく不正侵入することが可能になりま す。 2.1 システムをネットワークに導入する前に、ベンダ提供のデフォルト値を必ず変更する。 これには、 カード会員データ環境に接続されている、またはカード会員データを伝送するワイヤレス装置が含 まれる。 2.2 すべてのシステムコンポーネントについて、すべての既知のセキュリティ脆弱性をカバーし、また業 界で認知された定義と一致する構成基準を作成する。 2.3 ブラウザや Web ベースの管理ツールなど、すべてのコンソール以外の管理アクセスを暗号化する。 2.4 共有ホスティングプロバイダは、各事業体のホスト環境およびカード会員データを保護する必要が ある（詳細は、PCI DSS の付録 A 「共有ホスティングプロバイダ向けの PCI DSS 追加要件」を参照）。

変更する必要がある一般的

なデフォルトパスワード

[なし] [製品名またはベンダ] 1234 または 4321 access admin anonymous database guest manager pass password root sa secret sysadmin user

14

カード会員データの保護

カード会員データとは、ペイメントカードに何らかの形式で印字、処理、伝送、または保存された情報のこ とです。 ペイメントカードを受け付けた組織は、ローカルに印字または保存されたデータであれ、公共 ネットワーク上でリモートサーバまたはサービスプロバイダに伝送されたデータであれ、カード会員デー タを保護し、不正使用を防止する必要があります。 要件 3: 保存されるカード会員データの保護 一般に、カード会員データは業務上必要な場合を除き、保存しないでください。 磁気ストライプまたはチッ プ上の機密データを保存することは禁じられています。 PAN を保存する場合は必ず読み取り不能にする 必要があります（3.4 および次の表を参照）。 3.1 データ保存ポリシーに従って、保存するカード会員データと保存期間を、業務上、法律上、規則上必 要な範囲に限定する。 3.2 承認後にセンシティブ認証データを保存しない（暗号化されている場合でも）。 次の表を参照。 3.3 表示時に PAN をマスクする（最初の 6 桁と最後の 4 桁が最大表示桁数）。 業務上の合法的な必要性 により権限のある者が PAN 全体を見る必要がある場合、この要件は適用されない。 カード会員デー タの表示に関するこれより厳しい要件（POS レシートなど）がある場合は、そちらに置き換えられる。 3.4 すべての保存場所で PAN を少なくとも読み取り不能にする（ポータブルデジタルメディア、バックア ップメディア、ログのデータ、ワイヤレスネットワークから受信または保存されるデータを含むが、こ れらに限定されない）。 この要件を満たすテクノロジソリューションとして、強力な一方向のハッシュ 関数、切り取り、インデックストークン、安全に保存されたパッド、強力な暗号化などがあります （強力 な暗号化の定義については、PCI DSS の用語集を参照）。

暗号化の基礎

暗号化技術 数式を用いて、「キー」 と呼ばれる特殊な情報がなければ プレーンテキストデータを読み取 ることができないようにします。 暗 号化技術はローカルに保存され たデータにも、ネットワークを経由 して伝送されたデータにも適用さ れます。 暗号化 プレーンテキストを暗号化 テキストに変換します。 暗号解除 暗号化テキストをプレー ンテキストに戻します。 機密情報につき、PSE は…しないでください。 機密情報につき、PSE は…しないでください。 図: Wikimedia Commons

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

15

3.5 カード会員データの暗号化に使用される暗号化キーを、漏洩と誤使用から保護する。 3.6 カード会員データの暗号化に使用されるキーの管理プロセスおよび手順をすべて文書化し、 実装する。 カード会員データ要素に関するガイドライン データ要素 保存の許可 保護の必要性 PCI DSS _{要件 3.4} カード会員データ プライマリアカウント番号（PAN） はい はい はい カード会員名1 _{はい はい}1 _いいえ サービスコード1 _{はい はい}1 _いいえ 有効期限1 _{はい はい}1 _いいえ センシティブ認証 データ2 完全な磁気ストライプデータ3 _{いいえ N/A N/A} CAV2 / CVC2 / CVV2 / CID いいえ N/A N/A PIN / PIN ブロック いいえ N/A N/A

1 _{これらのデータ要素は、PAN と共に保存される場合は保護が必要です。 この保護は、カード会員データ環境の全般的な保護に関する PCI} DSS 要件に従います。 さらに、他の法律（消費者の個人データ保護、プライバシ、ID 盗難、またはデータセキュリティに関連するものなど） により、このデータの特定の保護、または取引過程で消費者関連の個人データが収集される場合は会社の実施方法の適切な開示が必要 になる可能性があります。 ただし、PCI DSS は、PAN が保存、処理、または伝送されない場合は適用されません。 2 _{センシティブ認証データは承認後、（たとえ暗号化していても）保存してはなりません。} 3 _{磁気ストライプのすべてのトラックのデータ、チップなどに存在する磁気ストライプイメージ}

16

要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する サイバー犯罪者によってオープンな公共ネットワークを経由してカード会員データを傍受される可能性が あるため、データを読み取り不能な状態にすることが重要です。 暗号化は、伝送されるデータを不正ユー ザが読み取ることができないようにするテクノロジです。 4.1 オープンな公共ネットワーク経由で機密性の高いカード会員データを伝送する場合、強力な暗号化 と SSL/TLS または IPSEC などのセキュリティプロトコルを使用する。 オープンな公共ネットワーク の例として、インターネット、ワイヤレス技術、Global System for Mobile Communications（GSM） 、General Packet Radio Systems（GPRS）が挙げられる。 カード会員データを伝送する、またはカ ード会員データ環境に接続しているワイヤレスネットワークには、業界のベストプラクティス（IEEE 802.11ix など）を使用して、認証および伝送用に強力な暗号化を実装する。 新しいワイヤレス実装に おいて、2009 年 3 月 31 日以降は WEP を実装できない。 現在のワイヤレス実装において、2010 年 6 月 30 日以降は WEP を使用できない。 4.2 暗号化されていない PAN をエンドユーザメッセージングテクノロジで送信してはならない。

脆弱性管理プログラムの整備

脆弱性管理は組織のペイメントカードインフラストラクチャシステムの弱点を系統的かつ継続的に発見 するプロセスです。 このプロセスには、システムセキュリティポリシーに違反するために利用可能なセ キュリティ手順、システム設計、実装、または内部制御が含まれます。 要件 5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 多くの脆弱性および悪意のあるウィルスは、従業員の電子メールなどのオンライン活動を通じてネット ワークに侵入します。 マルウェアの影響を受けやすいすべてのシステムで、ウィルス対策ソフトウェアを使 用して、最新の進化するマルウェアソフトウェアの脅威からシステムを保護する必要があります。 脆弱性の管理 業界標準のベストプラクティス （IEEE 802.11ix など）に従ってセ キュリティを制御するポリシーを 作成する システムの脆弱性を定期的にスキ ャンする リスクと優先順位に基づいて改善 スケジュールを立てる 予備テストとパッチの導入を行う 再スキャンを実行して準拠を検証 する 最新の署名とテクノロジでセキュリ ティソフトウェアを更新する 業界標準のベストプラクティスに従 って開発された安全なソフトウェア またはシステムのみを使用する

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

17

5.1 悪意のあるソフトウェアの影響を受けやすいすべてのシステム（特にパーソナルコンピュータとサー バ）に、ウィルス対策ソフトウェアを導入する。 5.2 すべてのアンチウィルスメカニズムが最新で、有効に実行されており、監査ログが生成できる。 要件 6: 安全性の高いシステムとアプリケーションを開発し、保守する システムやアプリケーションにセキュリティの脆弱性が存在すると、犯罪者がこれを利用して、PAN などの カード会員データにアクセスできるようになる可能性があります。 このような脆弱性の多くは、ベンダが提 供するセキュリティパッチをインストールすることによって解消されます。パッチは特定のプログラミング コードに対する高速修復処理を実行します。 すべての重要なシステムに最新リリースの適切なソフトウェ アパッチを適用し、不正使用を防止する必要があります。 重要性の低いシステムには、リスクベースの脆 弱性管理プログラムに基づいて、できるだけ速やかにパッチを適用する必要があります。 ペイメントアプ リケーションを開発するための安全なコーディング手法、変更管理手順、およびその他のソフトウェア開発 手法に必ず従う必要があります。 6.1 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供の最新セキュリティパッチを適用す る。 重要なパッチは、リリース後 1 カ月以内に導入する。 6.2 新たに発見された脆弱性を特定するためのプロセスを確立する（警告サービスへの加入や脆弱性 スキャンサービスまたはソフトウェアの使用など）。 新しい脆弱性の問題に対処するプロセスを更新 する。 6.3 PCI DSS に従い、業界のベストプラクティスに基づいてソフトウェアアプリケーションを開発し、ソフ トウェア開発ライフサイクル全体を通して情報セキュリティを実現する。 6.4 システムコンポーネントへのすべての変更において、変更管理手順に従う。

18

6.5 すべての Web アプリケーションを安全なコーディングガイドラインに基づいて開発し、カスタムアプ リケーションコードをレビューしてコードの脆弱性を識別する。 6.6 少なくとも年 1 回コードをレビューし、一般公開されている Web アプリケーションの前面に Web ア プリケーションファイアウォールをインストールすることによって、Web に公開されているすべての アプリケーションを既知の攻撃から保護する必要がある。

強固なアクセス制御手法の導入

アクセス制御によって、加盟店は PAN などのカード会員データにアクセスするための物理的または技術 的な手段の使用を許可または拒否できます。 アクセスの許可は、業務上必要な範囲内に制限する必要が あります。 物理的なアクセス制御には、ロックを使用する方法や、ペーパーベースのカード会員記録また はシステムハードウェアへのアクセスを制限する方法などがあります。 論理的なアクセス制御では、PIN 入 力装置、ワイヤレスネットワーク、PC などの装置の使用を許可または拒否します。 また、カード会員データ が含まれるデジタルファイルへのアクセスを制御します。 要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 権限を与えられた担当者のみが重要なデータにアクセスできるように、システムおよびプロセスでは、職責 に応じて必要な範囲にアクセスを制限する必要があります。 「必要な範囲」とは、アクセス権が職務の実行 に必要な最小限のデータ量および特権にのみ付与されることを示します。 7.1 システムコンポーネントとカード会員データへのアクセスを、業務上必要な人に限定する。 7.2 複数のユーザが使用するシステムコンポーネントで、ユーザの必要性に基づいてアクセスが制限さ れ、特に許可のない場合は「すべてを拒否」に設定された、アクセス制御システムを確立する。

アクセスの制限

は重要

アクセスを、RBAC（ロールベースアクセ ス制御）などのアクセス制御を実装して いるカード会員データ環境に制限する アクセスを、業務上必要な人に限定する 特定のカード会員データへのアクセスを 許可されるユーザのリストを含むアクセ ス制御ポリシーを定式化する カード会員データへのアクセスを許可さ れるユーザ以外からのすべてのアクセ スを拒否する 写真: Wikimedia Commons

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

19

要件 8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる アクセスが可能な各ユーザに一意の ID を割り当てることで、重要なデータおよびシステムに対するアク ションは既知の承認されたユーザによって実行され、そのユーザを追跡することが可能になります。 8.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザに 一意のユーザ名を割り当てる。 8.2 パスワードまたはパスフレーズ、2 因子認証（例: トークンデバイス、スマートカード、生体認証、公開 鍵）など、すべてのユーザを認証する方法を少なくとも 1 つ導入する。 8.3 従業員、管理者、および第三者によるネットワークへのリモートアクセスには 2 因子認証を実装 する。 RADIUS（Remote Authentication and Dial-In Service）またはTACACS（Terminal Access Controller Acceess Control System）とトークン、または VPN（Virtual Private Network）と個々の証明 書などのテクノロジを使用する。 8.4 承認済みの標準に基づく強力な暗号化を使用して、保存時と送信時にすべてのシステムコンポーネ ントのすべてのパスワードを読み取り不能にする。 8.5 すべてのシステムコンポーネントで、消費者以外のユーザおよび管理者に対して適切なユーザ認証 とパスワード管理を確実に行う。

すべてのユーザに一意の ID

を割り当てる

ペイメントシステムのすべてのユ ーザに一意の ID を割り当てる必要 があります。 これによって、特定の 作業者のすべてのアクションを追 跡することができます。

20

要件 9: カード会員データへの物理アクセスを制限する データまたはカード会員データを格納するシステムへの物理アクセスは、デバイス、データ、システムまた はハードコピーにアクセスしたり、これらを削除する機会をユーザに提供するため、適切に制限する必要 があります。 9.1 適切な施設入館管理を使用して、カード会員データ環境内のシステムへの物理アクセスを制限およ び監視する。 9.2 カード会員データにアクセス可能なエリアでは特に、すべての担当者が従業員と訪問者を容易に区 別できるような手順を開発する。 9.3 すべての訪問者に対して、カード会員データが処理または保守されているエリアに入る前に承認を 行い、有効期限があり、訪問者を非従業員として識別する物理トークンを与え、施設を出る前、または 期限切れの日に物理トークンの返却を求める。 9.4 訪問者ログを使用して、訪問者の情報および行動の物理的な監査証跡を保持する。 法律によって別 途定められていない限り、ログを少なくとも 3 カ月間保管する。 9.5 メディアバックアップを安全な場所に保管する（オフサイト施設が望ましい） 9.6 カード会員データを含むすべての紙および電子媒体を物理的にセキュリティで保護する。 9.7 カード会員データを含むあらゆる種類の媒体の内部または外部での配布に関して、厳格な管理を維 持する 9.8 安全なエリアから移動されるカード会員データを含むすべての媒体を管理者が承認するようにする （特に媒体が個人に配布される場合）。

ペイメントシステムを物理的

にセキュリティで保護する

企業は、カード会員データへのアクセス に対して、物理的なセキュリティを設定 するか、アクセス範囲を印字出力、保存 メディア、およびアクセスまたは保存に 使用している装置に制限する必要があ ります。 PCI は電子データと紙の領収書 の両方の保護を目的としていることを理 解することが重要です。 図: Wikimedia Commons

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

21

9.9 カード会員データを含む媒体の保管およびアクセスに関して厳格な管理を維持する。 9.10 ビジネスまたは法律上の理由で不要になったカード会員データを含む媒体を破棄する。

ネットワークの定期的な監視およびテスト

物理ネットワークおよびワイヤレスネットワークは、ペイメントインフラストラクチャ内のすべてのエンド ポイントおよびサーバを連結する役割を果たします。 ネットワーク装置およびシステムの脆弱性は、ペイ メントカードアプリケーションやカード会員データに犯罪者が不正アクセスする隙を生み出します。 不正 アクセスを防ぐには、ネットワークを定期的に監視およびテストして、脆弱性を検出し、修正する必要があ ります。 要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視 する ログ記録メカニズムおよびユーザの行動を追跡する機能は、フォレンジックおよび脆弱性管理を効果的 に行うために不可欠です。 すべての環境でログが存在することにより、何か不具合が発生した場合に徹底 的な追跡および分析が可能になります。 侵害の原因の特定は、システムアクティビティログなしでは非常 に困難です。 10.1 システムコンポーネントへのすべてのアクセス（特に、管理権限を使用して行われたアクセス）を各 ユーザにリンクするプロセスを確立する。 10.2 カード会員データへのすべての個人ユーザアクセス、ルート権限または管理権限を持つ個人によっ て行われたすべてのアクション、すべての監査証跡へのアクセス、無効な論理アクセス試行、識別お よび認証メカニズムの使用、監査ログの初期化、システムレベルオブジェクトの作成および削除の イベントを再現するためにすべてのシステムコンポーネントの自動監査証跡を実装する。

すべてのアクティビティを監

視する

組織は、店舗、地域オフィス、本社などの リモートアクセスによる、カード会員デ ータおよび関連するネットワークリソー スへのすべてのアクセスを追跡および 監視する必要があります。 写真: Wikimedia Commons

22

10.3 イベントごとに、すべてのシステムコンポーネントについて少なくともユーザ ID、イベントの種類、日付と時 刻、成功または失敗を示す情報、イベントの発生元、影響を受けるデータ、システムコンポーネント、または リソースの ID または名前などの監査証跡エントリを記録する。 10.4 すべての重要なシステムクロックおよび時間を同期する。 10.5 変更できないよう、監査証跡をセキュリティで保護する。 10.6 少なくとも日に一度、セキュリティ機能に関連するすべてのシステムコンポーネントのログを確認する。 10.7 監査証跡の履歴を少なくとも 1 年間保持し、少なくとも 3 カ月は履歴をすぐに分析できる状態にしておく。 要件 11: セキュリティシステムおよびプロセスを定期的にテストする 脆弱性は、悪意のある個人や研究者によって絶えず検出されており、新しいソフトウェアによって広められていま す。 システムコンポーネント、プロセス、およびカスタムソフトウェアを頻繁にテストして、セキュリティを継続的 に維持する必要があります。 セキュリティ管理のテストは、新しいソフトウェアの導入やシステム構成の変更な ど、環境が変更される場合に特に重要です。 11.1 無線アナライザを少なくとも四半期に一度使用して、または使用中のすべての無線デバイスを識別するた めの無線 IDS/IPS を導入して、無線アクセスポイントの存在をテストする。 11.2 内部および外部のネットワーク脆弱性スキャンを、少なくとも四半期に一度およびネットワークの大幅な変 更後に実行する。 ASV は内部スキャンを実行する必要がない。 11.3 少なくとも年に一度、およびインフラストラクチャまたはアプリケーションの大幅なアップグレードまたは 変更後に、ネットワークインフラストラクチャおよびアプリケーションに対して外部および内部のペネトレー ションテスト（ネットワーク層およびアプリケーション層のペネトレーションテストなど）を実施する。 脆弱性スキャンの重大度レベル 5 緊急: トロイの木馬、ファイルの 読み取り / 書き込み攻撃、リモート コマンド実行 4 重大: トロイの木馬、ファイル の読み取り / 書き込み攻撃の可能 性がある 3 高: 限定的な読み取り攻撃、ディ レクトリ・ブラウジング、DoS 2 中: 機密構成情報がハッカーに 入手される可能性がある 1 低: 構成情報がハッカーに入手 される可能性がある 「準拠を認定されるには、レベル 3 、4、または 5 に指定された脆弱性 が存在しないことが不可欠です。 また、顧客インフラストラクチャ内 のすべてのコンポーネントが準拠 している必要があります。 スキャ ンレポートには、PCI DSS 要件に違 反する可能性がある機能や構成を 示す脆弱性が含まれていてはなり ません。」

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

23

11.4 ネットワークの侵入検知システムや侵入防止システムを使用して、カード会員データ環境内のすべ てのトラフィックを監視し、侵害の疑いがある場合は担当者に警告する。 IDS/IPS エンジンを最新状 態に保つ 11.5 ファイル整合性監視ソフトウェアを導入して、重要なシステムファイル、構成ファイル、またはコンテ ンツファイルの不正な変更を担当者に警告する。 重要なファイルの比較を少なくとも週に一度実行 するようにソフトウェアを構成する。

情報セキュリティポリシーの整備

強力なセキュリティポリシーは、会社全体に影響するセキュリティの方向性を設定し、従業員に対して期待 されるセキュリティ関連の責務を示します。 すべての従業員は、カード会員データの極秘性とその保護に 関する自身の責任を認識する必要があります。 要件 12: 従業員および派遣社員向けの情報セキュリティポリシーを整備する 12.1 すべての PCI DSS 要件に対応し、脆弱性を特定して正式にリスクを評価するプロセスを年に一度実 施し、少なくとも年に一度および環境が変更されたときにレビューを実施することを規定するセキュ リティポリシーを確立、公開、維持、および周知する。 12.2 PCI DSS の要件と整合する日常的な運用上のセキュリティ手順を作成する。 12.3 従業員に公開されている重要なテクノロジに関する使用ポリシーを作成して、すべての従業員およ び請負業者向けにこれらのテクノロジの適切な使用を定義する。 「重要なテクノロジ」の例として、リ モートアクセス、無線、リムーバブル電子メディア、ラップトップ、ハンドヘルドデバイス、電子メール、 インターネットなどが挙げられる。 12.4 セキュリティポリシーおよび手順に、すべての従業員および派遣社員の情報セキュリティに対する責 任を明確に定義する。 「PCI DSS は、カード会員データの 保護を強化するために役立つ最善 のフレームワークを示しています。 また、PCI DSS への準拠を通じて実 現されるカード会員データのセキ ュリティを利用して、他の機密ビジ ネスデータの保護を強化し、他の 基準や規制への準拠に対応する機 会を示しています。」 AberdeenGroup IT 業界アナリスト

24

12.5 個人またはチームに 12.5 のサブセクションに規定された情報セキュリティの責任を割り当てる。 12.6 正式なセキュリティに関する認識を高めるプログラムを実施して、すべての従業員がカード会員デ ータセキュリティの重要性を認識するようにする。 12.7 雇用する前に、従業員を選別して、内部ソースからの攻撃リスクを最小限に抑える。 12.8 カード会員データをサービスプロバイダと共有する場合は、サービスプロバイダに PCI DSS のポリ シーおよび手順の実施を義務付ける。 12.9 インシデント対応計画を実施する。 システム違反に直ちに対応できるよう準備する。

PCI

セキュリティに対応する代替コントロール

事業体が正当な技術上の制約または文書化されたビジネス上の制約のために記載されているとおりに 明示的に要件を満たすことができないが、その他の（つまり代替の）コントロールを通じて要件に関連する リスクを十分に軽減している場合、ほとんどの PCI DSS 要件に対して代替コントロールを検討することが できます。 代替コントロールが有効と認定されるためには、QSA によってレビューされる必要があります。 代替コントロールの有効性は、コントロールが実装される環境、周囲のセキュリティコントロール、および コントロールの構成の詳細によって異なります。 組織は、特定の代替コントロールが必ずしもすべての環 境において有効ではないことを認識する必要があります。 詳細については、PCI DSS バージョン 1.2 の付 録 B および C を参照してください。

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

25

PCI DSS

_{の準拠方法}

カード会員のデータの保存、処理、転送を行う加盟店および組織は、PCI DSS バージョン 1.2 に準拠する必 要があります。 PCI SSC が管理するデータセキュリティ基準以外に、各カードブランドには準拠実施のため の固有のプログラムがあります。 各カードブランドは、自己評価を行う場合と認定セキュリティ評価機関を 利用する場合の規定など、準拠の検証および報告の要件を独自に規定しています。 各カードブランドが個別に規定した組織分類またはリスクレベルに応じて、加盟店金融機関に対する準拠 および報告の検証は、通常、次の手法に従います。 1. PCI DSS 範囲設定 – PCI DSS の規定対象となるシステムコンポーネントを決定する 2. サンプリング – 対象となるシステムコンポーネントのサブセットの準拠を検査する 3. 代替コントロール – QSA が代替コントロールのテクノロジおよびプロセスを検証する 4. 報告 – 加盟店または組織が必要な文書を提出する 5. 分類 – 銀行の要求に応じて、加盟店または組織が報告書を明確化または修正する （該当する場合） PCI DSS の準拠方法

26

加盟店金融機関に準拠の検証レベルに関する疑問点を質問する。 検証レベルを加盟店に割り当てること ができるのは加盟店金融機関のみです。 カードブランドの準拠プログラムへのリンクを次に示します。 • American Express: • www.americanexpress.com/datasecurity • Discover Financial Services: • www.discovernetwork.com/fraudsecurity/disc.html • JCB International: • www.jcb-global.com/english/pci/index.html • MasterCard Worldwide: • www.mastercard.com/sdp • Visa Inc: • www.visa.com/cisp Visa Europe: • www.visaeurope.com/ais

認定セキュリティ評価機関の選択

認定セキュリティ評価機関（QSA）は、PCI Security Standards Council（PCI SSC）によるトレーニングを受け て認定され、オンサイトセキュリティ評価を行って PCI DSS 準拠を検証するデータセキュリティ会社です。 QSA は次の実務を行います。 • 加盟店またはサービスプロバイダから提供されたすべての技術情報を検証する • 独自の判断によって、基準が満たされていることを確認する • 準拠プロセス中のサポートとガイダンスを提供する • 必要に応じてオンサイトでの評価の検証またはオンサイト訪問を行う • PCI DSS 要件およびセキュリティ評価手順をサポートする作業生産物をレビューする • PCI セキュリティ評価手順に従う • 評価の対象範囲を決定する • サンプリングが採用されているシステムおよびシステムコンポーネントを選択する • 代替コントロールを評価する • 最終的なレポートを作成する

PCI DSS

評価の準備

文書の収集: セキュリティポリシ ー、変更管理、ネットワーク図、PCI の書簡および通知 リソースのスケジュール作成: IT、 セキュリティ、アプリケーション、 人事、法務部門のプロジェクトマ ネージャおよび主要担当者を参 加させる 環境の説明: カード会員データ環 境に関する情報（カード会員データ フロー、カード会員データリポジト リの場所など）を整理する

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

27

QSA には、対象業務を熟知し、同様の組織のセキュリティ評価を経験している評価機関を選択する必要が あります。 知識豊富な QSA は、PCI DSS に従ってカード会員データを保護する場合の業種固有のニュアン スを理解することができます。 また、評価対象企業の社風に合った QSA を選択することも重要です。 評価 は準拠の有無に関わらず完了しますが、QSA は評価対象の組織と協力して、準拠を達成および維持する 方法を模索します。 多くの QSA は、継続的な脆弱性評価や改善などのセキュリティ関連サービスも実施し ています。 QSA のリストについては、次の情報をご覧ください: www.pcisecuritystandards.org/qsa_asv/find_one.shtml.

認定スキャニングベンダの選択

認定スキャニングベンダ（ASV）は、スキャニングソリューションを利用して、顧客が PCI DSS の外部脆弱 性スキャンの要件に準拠しているかどうかを判定するデータセキュリティ会社です。 ASV は PCI Security Standards Council（PCI SSC）によるトレーニングを受けて認定され、PCI DSS に規定されたネットワークお よびシステムスキャンを実行します。 ASV は、固有のソフトウェア、あるいは承認された市販ソリューショ ンまたはオープンソースソリューションを使用して準拠を検証します。 ASV のソリューションが顧客のシ ステムおよびデータに混乱を来たすことのないようにする必要があります。システムの再起動、ドメイン ネームサーバ（DNS）のルーティング、スイッチング、アドレス解決との衝突やこれらの変更を引き起こすこ とは避けなければなりません。 ルートキットなどのソフトウェアは、ソリューションの一部に含まれ、顧客か ら事前に承認を受けている場合を除いてインストールしないでください。 ASV ソリューションで許可され ないテストには、サービス拒否、バッファオーバーフロー、パスワードロックアウトを引き起こす総当たり攻 撃、使用可能な通信帯域幅の過剰使用などがあります。 ASV のスキャニングソリューションには、スキャニングツール、関連するスキャニングレポート、スキャニン グベンダと顧客との間で交わされた情報の処理などがあります。 ASV は、加盟店またはサービスプロバイ ダを代理して加盟店機関に準拠レポートを提出することができます。 ASV のリストについては、次の情報 をご覧ください: www.pcisecuritystandards.org/qsa_asv/find_one.shtml

28

自己問診（SAQ）の使用

SAQ は、PCI DSS 準拠のオンサイト評価を受ける必要のない加盟店およびサービスプロバイダ向けの自 己検証ツールです。 SAQ は、準拠に関するはい / いいえ形式の質問の集まりです。 回答が「いいえ」の場 合は、今後の改善日と対応処置を示す必要があります。 加盟店とその準拠検証プロセスにより沿った内容 にするために SAQ は改変され、現在では、個々の加盟店またはサービスプロバイダの事業状況の複雑さ に応じた柔軟性が認められるようになっています（下の表を参照）。 SAQ 検証タイプは加盟店の分類また はリスクレベルとは関連していません。 自己問診 SAQ 検証タイプ 説明 SAQ 1 カードを提示しない（電子商取引または通信販売）加盟店で、すべてのカード会員データ 機能は外部に委託されている。 対面式の加盟店に適用されることはありません。 A 2 カード会員データを保存しない、インプリントのみの加盟店。 B 3 カード会員データを保存しない、スタンドアロン型ダイアルアップ端末の加盟店。 B 4 カード会員データを保存しない、ペイメントアプリケーションシステムがインターネット に接続された加盟店。 C 5 （上記の SAQ A ～ C の説明に含まれない）他のすべての加盟店、およびカードブランド により SAQ を完了する資格があると定義されたすべてのサービスプロバイダ。 D

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

29

Web リソース

報告

報告は、加盟店およびその他の組織が加盟店金融機関に対して PCI DSS 準拠を確認する正式な手段で す。 カードブランドの要件に応じて、加盟店およびサービスプロバイダは SAQ またはオンサイト評価によ る年 1 回の準拠証明書の提出が必要になる場合があります（詳細については、PCI DSS バージョン 1.2 の 付録 D および E を参照）。 また、四半期に一度、ネットワークスキャンレポートを提出する必要があります。 カードブランドが独自にその他の文書の提出を要求する場合もあります。詳細については、各カードブラ ンドの Web サイトをご覧ください（URL は上記のとおり）。 PCI DSS レポートに記載する情報 • 発見内容の概要（全般的な記述、セキュリティ評価の詳細） • ビジネス情報（連絡先、業務内容、プロセサー関係） • カード決済インフラストラクチャ（ネットワーク図、トランザクションのフロー図、使用している POS 製 品、ワイヤレス LAN またはワイヤレス POS 端末、あるいはその両方） • 外部関係（カード会員データを共有しているサービスプロバイダ、カード決済会社との関係、PCI DSS 準拠が要求される国内および海外の 100% 出資子会社のリスト）

準拠プログラム

評価 ネットワークと IT リソースの脆弱性を評 価します。 カード会員データへのアクセ スと使用を常に監視する必要がありま す。 分析用にデータのログを記録する 必要があります 是正 カード会員データへの不正アクセスの 脅威をもたらす脆弱性を修正する必要 があります 報告 準拠レポートを提出し、データ保護の管 理が行われていることを証明します

30

Web

_リソース

PCI Security Standards Council（PCI SSC） の Web サイト www.pcisecuritystandards.org よくある質問（FAQ） www.pcisecuritystandards.org/faq.htm メンバシップ情報 www.pcisecuritystandards.org/participation/join.shtml ウェビナーwww.pcisecuritystandards.org/news_events/events.shtml トレーニング（評価機関が対象） QSA: www.pcisecuritystandards.org/education/qsa_training.shtml PA-DSS: www.pcisecuritystandards.org/education/pa-dss_training.shtml PTS 認定装置 PIN トランザクションセキュリティ（PTS）装置: www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html ペイメントアプリケーション: www.pcisecuritystandards.org/security_standards/pa_dss.shtml PCI データセキュリティ基準バージョン 1.2（PCI DSS） 基準: www.pcisecuritystandards.org/tech/download_the_pci_dss.htm サポート文書: www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml 認定された評価機関およびスキャニングベンダ: www.pcisecuritystandards.org/about/resources.shtml 基準のナビゲート: www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml 自己問診: www.pcisecuritystandards.org/saq/index.shtml 用語集: www.pcisecuritystandards.org/security_standards/pci_dss_supporting_docs.shtml 認定 QSA: www.pcisecuritystandards.org/qsa_asv/find_one.shtml ASV: www.pcisecuritystandards.org/qsa_asv/find_one.shtml

31

このガイドは補足情報の提供を目的とするもので、PCI DSS バージョン 1.2 に取って代わるものではありません。

PCI Security Standards Council

について

PCI Security Standards Council

_について

PCI Security Standards Council（PCI SSC）は、支払い口座のセキュリティに関するセキュリティ基準につい ての理解を育成、強化、普及、および支援することを目的に結成された国際的でオープンな団体です。 PCI SSC は、Payment Card Industry セキュリティ基準を維持、発展、推進しています。 また、評価およびスキャ ンのガイドライン、自己問診、トレーニングと教育、製品認定プログラムなど、基準の実装に必要なツール も提供しています。

PCI SSC の設立メンバである American Express、Discover Financial Services、JCB

International、MasterCard Worldwide、Visa Inc. は、各データセキュリティ準拠プログラムの技術的要件と して PCI データセキュリティ基準を採用することに同意しています。 また、設立メンバは、PCI SSC によって 承認された認定セキュリティ評価機関と認定スキャニングベンダを PCI DSS の準拠を評価するために適 切であると認識しています。 PCI SSC の設立メンバである各カードブランドは PCI SSC の統括と運営を平等に分担しています。 レビューにはその他の業界関係者（加盟店、ペイメントカード発行銀行、プロセサー、ハードウェアおよび ソフトウェア開発者、その他のベンダなど）も参加し、基準の追加や変更の提案が出されました。

PCI SSC

の設立メンバ 参加組織 加盟店、銀行、プロセサー、ハードウェア およびソフトウェア開発者、POS ベンダ

PCI

_{データセキュリティ基準}

PCI DSS バージョン 1.2 は、支払い口座データのセキュリティを強化するための包括的な要件を規定しています。 PCI DSS は最善のセキュリティ慣行 を反映した常識的な手順を示しています。 この『PCI クイックリファレンスガイド』に記載されている PCI DSS の要件、セキュリティ管理および処理、 準拠の評価手順について、さらに知識を深めてください。 目的 PCI DSS 要件 安全なネットワークの構築と維持 1. カード会員データを保護するために、ファイアウォールをインストールして構成を維持する システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 2. カード会員データの保護 3. 保存されるカード会員データを保護する オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する 4. 脆弱性管理プログラムの整備 5. アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する 安全性の高いシステムとアプリケーションを開発し、保守する 6. 強固なアクセス制御手法の導入 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する コンピュータにアクセスできる各ユーザに一意の 8. ID を割り当てること カード会員データへの物理アクセスを制限する 9. ネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する セキュリティシステムおよびプロセスを定期的にテストする 11. 情報セキュリティポリシーの整備 12. 従業員および派遣社員向けの情報セキュリティポリシーを整備する