PCI (Payment Card Industry)
データセキュリティ基準
サービスプロバイダ用
自己問診
(Self-Assessment
Questionnaire)D
および準拠証明書
SAQ 適用サービスプロバイダ
PCI DSS バージョン 3.2.1
2018 年 6 月
この文書について
この文書(「公式日本語訳」)は、https://www.pcisecuritystandards.org/document_library , © 2006-2018 PCI Security Standards Council, LLC (「審議会」)で入手可能な SAQ と記される文書の公式の日本 語訳です。この公式日本語訳は、JCDSC(「団体」)の承認と支援により情報提供のみを目的として、 審議会と団体間の契約に基づいて提供されるものです。この翻訳に関して、本文書に記述された仕様を 実装する権利は認められません。そのような権利は、 https://www.pcisecuritystandards.org/document_library で入手可能な使用許諾契約書の条項に同意するこ とによってのみ確保されます。本文書の英語版は、 https://www.pcisecuritystandards.org/document_library で入手できるもので、本文書の完全版であるとみ なされます。不明瞭な点および日本語訳と英語版における不一致については英語版が優先され、日本語 訳はいかなる目的であっても依拠することはできません。審議会も団体も、本文書に含まれるいかなる 誤りや不明瞭さにも責任を負いません。
About this document
This document (the “Official Japanese Translation") is the official Japanese language translation of the document described as SAQ, available at https://www.pcisecuritystandards.org/document_library , © 2006-2018 PCI Security Standards Council, LLC (the “Council”). This Official Japanese Translation is provided with the approval and support of JCDSC (“the Company”), as an informational service only, under agreement between the Council and the Company. No rights to implement the specification(s) described in this document are granted in connection with this translation; such rights may only be secured by agreeing to the terms of the license agreement available at
https://www.pcisecuritystandards.org/document_library . The English text version of this document is available at https://www.pcisecuritystandards.org/document_library and shall for all purposes be regarded as the definitive version of this document. To the extent of any ambiguities or inconsistencies between this version and such English text version of this document, the English text version shall control, and accordingly, this version shall not be relied upon for any purpose whatsoever. Neither the Council nor the Company assume any responsibility for any errors or ambiguities contained herein.
文書の変更
日付 PCI DSS バージョ ン SAQ 版 説明 2008 年 10 月 1.2 内容を新しい PCI DSS v1.2 にあわせて改訂、および元の v1.1 以降に加えられた若干の変更を追加。 2010 年 10 月 2.0 内容を新しい PCI DSS v2.0 の要件とテスト手順にあわせて改訂。 2014 年 2 月 3.0 内容を PCI DSS v3.0 の要件とテスト手順にあわせて改訂し、追加の回答オプションを組み込んだ。 2015 年 4 月 3.1 内容を PCI DSS v3.1 にあわせて改訂。PCI DSS 変更の詳細 は、『PCI DSS バージョン 3.0 から 3.1 への変更点のまと め』 を参照してください。 2015 年 7 月 3.1 1.1 2015 年 6 月 30 日までの「ベストプラクティス」に対する参 考情報を削除、および要件 11.3 に対する PCI DSS v2 報告書 オプションを削除するために更新。 2016 年 4 月 3.2 1.0 PCI DSS v3.2 にあわせて更新。詳細については、『PCI DSS – PCI DSS バージョン 3.1 から 3.2 への変更点のまとめ』を 参照してください。 2017 年 1 月 3.2 1.1 他の SAQ に合わせてバージョンナンバーを改訂。 2018 年 6 月 3.2.1 1.0 PCI DSS v3.2.1 にあわせて更新。 詳細については、「PCI DSS - PCI DSS バージョン 3.2 から 3.2.1 への変更点のまと め」を参照してください。目次
文書の変更 ...iii
開始する前に ...vi
PCI DSS 自己評価の記入方法 ... vi 自己問診(SAQ)について ... vi必要なテスト
... vii 自己問診の記入方法 ... vii 特定の要件が適用されない場合 ... vii「該当なし」と「未テスト」の違いについて
... viii 法的例外 ... viiiセクション 1:
評価の情報 ... 1
セクション 2:
自己問診 D - サービスプロバイダ用 ... 7
安全なネットワークとシステムの構築と維持 ... 7要件
1:カード会員データを保護するために、ファイアウォールをインストールして維持す
る
... 7要件
2:システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォ
ルト値を使用しない
... 13 カード会員データの保護 ... 19要件
3:保存されるカード会員データを保護する
... 19要件
4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
... 27 脆弱性管理プログラムの維持 ... 29要件
5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプロ
グラムを定期的に更新する
... 29要件
6:安全性の高いシステムとアプリケーションを開発し、保守する
... 31 強力なアクセス制御手法の導入 ... 40要件
7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
... 40要件
8:システムコンポーネントへのアクセスを識別・認証する
... 42要件
9:カード会員データへの物理アクセスを制限する
... 49 ネットワークの定期的な監視およびテスト ... 57要件
10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および
監視する
... 57要件
11:セキュリティシステムおよびプロセスを定期的にテストする
... 65 情報セキュリティポリシーの維持 ... 74要件
12:すべての担当者の情報セキュリティに対応するポリシーを維持する
... 74 付録 A: 追加の PCI DSS 要件 ... 83付録
A1:共有ホスティングプロバイダ向けの
PCI DSS追加要件
... 83付録
A2: SSL /初期の
TLSを使用している事業体向けの
PCI DSS追加要件
... 85付録
A3:指定事業体向け追加検証
(DESV) ... 86付録 B: 代替コントロールワークシート ... 87
付録 C: 適用されない理由についての説明 ... 88
付録 D: 未テスト要件の説明 ... 89
開始する前に
サービスプロバイダ用 SAQ D は、ペイメントブランドにより SAQ 対象として定義されたすべてのサー ビスプロバイダに適用されます。 SAQ D をを完成させる会社の多くは各 PCI DSS 要件への準拠を検証する必要がありますが、特定のビ ジネスモデルの会社には適用されない要件もあります。特定要件の除外については、以下のガイダンス を参照してください。PCI DSS 自己評価の記入方法
1. あなたの会社の環境が適切に範囲指定されていることを確認してください。 2. 適用される PCI DSS 要件への準拠状況について、あなたの環境を評価します。 3. この文書のすべてのセクションを完成させます。 • セクション 1 (AOC パート 1 & 2) – 評価の説明と概要 • セクション 2 – PCI DSS 自己問診 (SAQ D) • セクション 3 (AOC パート 3 & 4) – 検証と準拠証明の詳細および非準拠要件に対するアクショ ンプラン(該当する場合) 4. SAQ および準拠証明書を ASV スキャンレポート等、他の必須文書とともに、ペイメントブランドま たは他の要求者に提出します。自己問診(SAQ)について
この自己問診の「PCI DSS 質問」欄にある質問は、PCI DSS の要件に基づくものです。 PCI DSS 要件と自己問診の記入方法に関するガイダンスを提供するその他のリソースが評価プロセスを 支援するために用意されています。これらのリソースの概要を以下に示します。 文書 内容 PCI DSS (PCIデータセキュリティ基準の要件と
セキュリティ評価手順
) • 範囲設定のガイダンス • すべての PCI DSS の趣旨に関するガイダンス • テスト手順の詳細 • 代替コントロールに関するガイダンス SAQ 説明およびガイドライン文書 • すべての SAQ とその適格性基準についての情報 • どの SAQ があなたの組織に適しているかを判断する 方法 PCI DSSと
PA-DSSの用語集(用語、
略語、および頭字語)
• PCI DSS と自己問診で使用されている用語の説明と定 義 これらのリソースおよび他のリソースは PCI DSS ウェブサイト (www.pcisecuritystandards.org) でご覧 いただけます。評価を開始する前に PCI DSS および付属文書を読むことを推奨します。必要なテスト
「必要なテスト」欄では、PCI DSS に記載されているテスト手順に基づくもので、要件が満たされてい ることを確認するために実施すべきテストの種類に関する概要を説明しています。各要件のテスト手順 の詳細説明は PCI DSS に記載されています。自己問診の記入方法
各質問に対し、その要件に関するあなたの会社の準拠状態を示す回答の選択肢が与えられています。各
質問に対して回答を一つだけ選択してください。
各回答の意味を次の表に説明します。 回答 説明 はい 必要なテストが実施され、要件の全要素が記載されているとおり満たさ れました。 はい、CCW 付 (代替コントロール ワークシート) 必要なテストが実施され、代替コントロールの助けを借りて要件が満た された。 この欄の回答にはすべて、SAQ の付録 B の代替コントロールワークシ ート (CCW) への記入が必要です。 代替コントロールの使用に関する情報とワークシートの記入方法につい てのガイダンスは、PCI DSS に記載されています。 いいえ 要件の要素の全部または一部が満たされていないか、導入中、あるいは 確立したかを知るためにさらにテストが必要です。 N/A (該当なし) この要件は会社の環境に該当しません(「特定の要件が適用されない場 合」を参照)。 この欄に回答した場合はすべて、SAQ 付録 C の説明が必要です。 未テスト この要件は評価の対象に含まれておらず、全くテストされていません。 (このオプションを使用する場合の例は、下の「該当なしと未テストの
違いについて
」を参照してください。) この欄に回答した場合はすべて、SAQ 付録 D の説明が必要です。特定の要件が適用されない場合
SAQ D を完成させる会社の多くは各 PCI DSS 要件への準拠を検証する必要がありますが、特定のビジ ネスモデルの会社には適用されない要件もあります。たとえば、ワイヤレス技術をまったく使用しない 会社は、ワイヤレス技術の管理に特化した PCI DSS セクションへの準拠を検証する必要がありません。 同様に、カード会員データを決して電子形式で保存しない会社は、カード会員データの安全な保管に関 連する要件を検証する必要はありません(要件 3.4 など)。 特定の適用条件のある要件の例 ▪ ワイヤレス技術のセキュリティ保護に固有の質問には、ネットワークでワイヤレスを使用していいワイヤレスアクセスポイントを識別するプロセスの使用)は、ワイヤレス技術がネットワーク 内で使用されていない場合でも回答する必要があります。このプロセスは知らないうちに追加さ れた可能性がある不正デバイスを検出するためのものです。 ▪ アプリケーション開発および安全なコーディングに固有の質問には、あなたの会社が独自のカス タムアプリケーションを作成している場合にのみ回答してください(要件 6.3 と 6.5)。 ▪ 要件 9.1.1 と 9.3 の質問には、以下に定義する「機密エリア」にある設備についてのみ回答して ください。「機密エリア」とは、データセンタ、サーバルーム、またはカード会員データを保 存、処理、または伝送するシステムが設置されているエリアのことである。これには、小売店の レジなど、POS 端末のみが存在する一般公開エリアは含まれませんが、小売店でカード会員デ ータを保存するバックオフィスのサーバルームおよび大量のカード会員データの保管エリアはこ れに含まれます。 要件があなたの会社の環境に該当しない場合、その要件に対して「N/A」オプションを選択し、「N/A」 を選択した各項目について付録の「適用されない理由についての説明」ワークシートに説明を入力しま す。
「該当なし」と「未テスト」の違いについて
有る環境に適用されないと見なされる要件はその旨を検証する必要があります。上記のワイヤレスの例 を使用して、会社が要件 1.2.3、2.1.1、4.1.1 に対して「N/A」を選択するには、その会社はまずワイヤ レス技術が カード会員データ環境(CDE)で使用されていないか、CDE に接続されていないことを実証す る必要があります。これが実証されたら、会社はその要件に対して「N/A」を選択できます。 ある要件が適用されるかどうかについて全く考慮せずにレビューから完全に外す場合、「未テスト」オ プションを選択します。これが起こり得る状況の例には次のようなものがあります。 ▪ 会社がアクワイアラーから要件の一部を検証するように依頼された場合 - 例えば、特定のマイル ストンを検証するために優先されたアプローチを使用する場合などがあります。 ▪ 会社が、要件の一部のみに影響する新しいセキュリティ制御を検証する場合 - 例えば、PCI DSS の要件 2、3、4 の評価を要求する暗号化方法の実装等があります。 ▪ サービスプロバイダは、限られた数だけの PCI DSS 要件のみをカバーするサービスを提供して いる場合があります - 例えば、物理ストレージプロバイダはそのストレージ設備における PCI DSS 要件 9 に準拠する物理セキュリティ制御のみを検証したい場合があります。 これらのシナリオでは、他の要件も会社の環境に適用される可能性があるにも関わらず、会社は特定の PCI DSS 要件のみの検証を望んでいます。法的例外
あなたの会社が法的制限を受けており、PCI DSS の要件を満たすことができない場合は、その要件の 「いいえ」の欄にチェックマークを付け、該当する証明書をパート 3 に記入してください。セクション 1:
評価情報
提出に関する指示
この文書は、PCI データセキュリティ基準(PCI DSS)の要件とセキュリティ評価手順によるサービスプロバ イダの自己評価結果を表明するものとして完成されねばなりません。この文書のすべてのセクションの記入が 必要です。サービスプロバイダは、該当する場合、各セクションが関連当事者によって記入されることを確認 する責任を負います。レポートおよび提出手順については、要求元のペイメントブランドに問い合わせてくだ さい。パート 1. サービスプロバイダと認定セキュリティ評価機関(QSA)の情報
パート 1a. サービスプロバイダの組織情報 会社名: DBA (商号): 名前: 役職: 電話番号: 電子メール: 会社住所: 市区町村: 都道府県: 国: 郵便番号: URL: パート 1b. 認定セキュリティ評価機関(QSA)の会社情報 (該当する場合) 会社名: QSA リーダーの名前: 役職: 電話番号: 電子メール: 会社住所: 市区町村: 都道府県: 国: 郵便番号: URL:パート 2. 概要
パート 2a. 評価範囲の検証 PCI DSS 評価範囲に含まれていたサービス(該当するものすべてにチェック): 評価したサービスの名前: 評価したサービスの種類: ホスティングプロバイダ: アプリケーション/ソフトウ ェア ハードウェア インフラ / ネットワーク 物理空間 (コロケーション) ストレージ Web セキュリティサービス 3D セキュア・ホスティング プロバイダ 共有ホスティングプロバイ ダ その他のホスティング(具体 的に記入してください): 管理サービス(具体的に記入して ください): システムセキュリティサービス IT サポート 物理セキュリティ 端末管理システム その他のサービス(具体的に記入 してください): 支払の処理: POS / カード提示 インターネット / 電子商取引 通信販売 / コールセンター ATM その他の処理(具体的に記入し てください): アカウント管理 不正行為および返金サービス ペイメントゲートウェイ / スイ ッチ バックオフィスサービス イシュアの処理 プリペイドサービス 請求管理 ロイヤルティプログラム 記録管理 清算と決済 加盟店のサービス 税金 / 政府支払い ネットワークプロバイダ その他 (具体的に記入してください): 注: これらのカテゴリは一般的な例としてのみ提供されており、事業体のサービスの説明を制限したり 事前指定するものではありません。これらのカテゴリがあなたの会社のサービスに適合しない場合 は、"その他" に記入してください。あるカテゴリがあなたの会社のサービスに適格かわからない場合 は、該当するペイメントブランドにご確認ください。パート 2. 概要 (続き)
パート 2a. 評価範囲の検証(続き
) サービスプロバイダによって提供されているが、PCI DSS 評価範囲に含まれていなかったサービス (該当するもの全てにチェック): 評価しなかったサービスの名前: 評価しなかったサービスの種類: ホスティングプロバイダ: アプリケーション/ソフトウ ェア ハードウェア インフラ / ネットワーク 物理空間 (コロケーション) ストレージ Web セキュリティサービス 3D セキュア・ホスティング プロバイダ 共有ホスティングプロバイ ダ その他のホスティング (具体 的に記入してください): 管理サービス(具体的に記入して ください): システムセキュリティサービス IT サポート 物理セキュリティ 端末管理システム その他のサービス(具体的に記入 してください): 支払の処理: POS / カード提示 インターネット / 電子商取引 通信販売 / コールセンター ATM その他の処理 (具体的に記入し てください): アカウント管理 不正行為および返金サービス ペイメントゲートウェイ / スイ ッチ バックオフィスサービス イシュアの処理 プリペイドサービス 請求管理 ロイヤルティプログラム 記録管理 清算と決済 加盟店のサービス 税金 / 政府支払い ネットワークプロバイダ その他(具体的に記入してください): 選択したサービスが評価に含まれていない理由の短い 説明: パート 2b. 支払カードビジネスの説明 カード会員データをどのように、またどのような理由 で保存、処理、伝送しているか説明してください。 あるいは、どのような立場で、カード会員データのセ キュリティに関わっている、または影響を及ぼすこと ができるか説明してください。 パート 2c. 場所 PCI DSS レビューに含まれている施設の種類(例えば、小売店、事業所、データセンター、コールセンタパート 2. 概要 (続き)
施設の種類 該当する施設の数 施設の場所(市区町村、国) 例: 小売店 3 米国マサチューセッツ州ボストン パート 2d. ペイメントアプリケーション 対象組織は一つまたは複数のペイメントアプリケーションを使用していますか? はい いいえ 対象組織が使用するペイメントアプリケーションについて次の情報を記入してください: ペイメントアプリケーシ ョンの名前 バージョ ン番号 アプリケーショ ンベンダ アプリケーション は PA-DSS 登録済 みですか? PA-DSS 登録の有効期限 (該当する場合) はい いいえ はい いいえ はい いいえ はい いいえ はい いいえ はい いいえ はい いいえ はい いいえ パート 2e. 環境の説明 この評価の対象となる環境の概要を説明してください。 例: • カード会員データ環境(CDE)との接続 • POS デバイス、データベース、Web サーバーなど、 CDE 内の重要なコンポーネント、および該当する場合 に必要となる他の支払要素 あなたの会社は、PCI DSS 環境の評価範囲に影響するようなネットワークセグメンテー ションを使用していますか? (ネットワークセグメンテーションについては、PCI DSS の「ネットワークセグメンテー ション」セクションを参照してください。) はい いいえパート 2f. サードパーティサービスプロバイダ あなたの会社は、ここで検証しているサービスの目的で、認定インテグレータとリセラー (QIR)と関係がありますか? はい いいえ 関係がある場合: QIR 会社の名前: QIR 個人名: QIR から提供されたサービスの説明: あなたの会社は、ここで検証しているサービスの目的で、1 つ以上のサードパーティサー ビスプロバイダと関係がありますか(例えば、認定インテグレータとリセラー(QIR)、 ゲートウェイ、ペイメントプロセサー、ペイメントサービスプロバイダ(PSP)、Web ホスティング会社、航空券予約代理店、ロイヤルティプログラム代理店など)? はい いいえ 「はい」と答えた場合: サービスプロバイダの名前: 提供されるサービスの説明: 注: 要件 12.8 は、このリスト上のすべての事業体に適用されます。
パート 2g. テストした要件の概要 各 PCI DSS 要件に対して、以下のうちから 1 つ選んでください。: • 完全 – その要件およびその下位要件すべてを評価し、SAQ で「未テスト」または「該当なし」とマー クした下位要件はない。 • 部分的 – その要件の下位要件のうちの 1 つ以上に対し、SAQ で「未テスト」または「該当なし」とマ ークした。 • なし – その要件のすべての下位要件に対し、SAQ で「未テスト」または「該当なし」とマークした。 「部分的」または「なし」とマークしたすべての要件に対し、以下を含む詳細を「アプローチの正当理由」 欄に記入してください。: • SAQ で「未テスト」または「該当なし」としてマークした下位要件の詳細 • その下位要件が未テスト、または該当なしである理由
注
:この
AOCの対象となる各サービスに対してそれぞれ
1つの表に記入してください。このセクショ
ンの追加コピーは
PCI SSCの
Webサイトにあります。
評価したサービスの名前: PCI DSS 要件 評価した要件の詳細 完全 部分的 なし アプローチの正当理由 (「部分的」と「なし」回答すべてに必要。どの下位要件 が未テストまたは該当なしであるか、及びその理由を記 入。) 要件 1: 要件 2: 要件 3: 要件 4: 要件 5: 要件 6: 要件 7: 要件 8: 要件 9: 要件 10: 要件 11: 要件 12: 付録 A1: 付録 A2:セクション 2:
自己問診 D - サービスプロバイダ用
注
:以下の質問は、『
PCI DSS要件とセキュリティ評価手順』に定義されているとおり、
PCI DSS要件とテスト手順に従って採番されていま
す。
自己問診の完了日:安全なネットワークとシステムの構築と維持
要件
1:
カード会員データを保護するために、ファイアウォールをインストールして維持する
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 1.1 確立され実装されたファイアウォールおよびルーター 構成基準には、以下が含まれていますか? 1.1.1 すべてのネットワーク接続およびファイアウォール/ル ーター構成への変更を承認およびテストする正式なプ ロセスがありますか? ▪ 文書化されたプロセスのレビュー ▪ 担当者のインタビュー ▪ ネットワーク構成の調査 1.1.2 ワイヤレスネットワークを含め、カード会員データ環 境と他のネットワークとの間のすべての接続を文書化 した最新のネットワーク図はありますか? ▪ 最新のネットワーク図のレビュー ▪ ネットワーク構成の調査 図が最新に保たれていることを確認するプロセスがあ りますか? ▪ 責任者のインタビュー 1.1.3 システムとネットワーク内でのカード会員データ のフローを示す最新の図がありますか? ▪ 最新のデータフロー図のレビュー ▪ ネットワーク構成の調査 (b) 図が最新に保たれていることを確認するプロセス がありますか? ▪ 担当者のインタビューPCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 1.1.4 (a) 各インターネット接続、および DMZ (demilitarized zone)と内部ネットワークゾーン との間にファイアウォールが要求され、実装され ていますか? ▪ ファイアウォール構成基準のレビ ュー ▪ 対象範囲内のファイアウォールが 確認できるネットワーク構成の観 察 現在のネットワーク図は、ファイアウォール構成 基準と一致していますか? ▪ ファイアウォール構成基準と最新 のネットワーク図の比較 1.1.5 ファイアウォール/ルーター構成基準に、ネットワーク コンポーネントの論理的管理のためのグループ、役 割、責任に関する記述が含まれていますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー ▪ 担当者のインタビュー 1.1.6 ファイアウォール/ルーター構成基準に、業務に必 要なサービス、プロトコル、ポートと業務におけ る各々の必要性と承認を含むリストが文書化され ていますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー 安全でないサービス、プロトコル、およびポート はすべて特定され、それぞれについてセキュリテ ィ機能が文書化され、特定された各サービスで実 装されていますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー ▪ ファイアウォールおよびルータ構 成の調査 1.1.7 ファイアウォール/ルーター構成基準で、ファイア ウォールおよびルーターのルールセットを少なく とも 6 カ月ごとにレビューするように要求してい ますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー ファイアウォールおよびルーターのルールセット は少なくとも 6 カ月ごとにレビューされています か? ▪ ファイアウォールレビューの記録 の調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 1.2 信頼できないネットワークとカード会員データ環境内 のすべてのシステム間の接続が、次のように、ファイ アウォール/ルーター構成によって制限されています か? 注: 「信頼できないネットワーク」とは、レビュー対象 の事業体に属するネットワーク外のネットワーク、ま たは事業体の制御または管理が及ばないネットワーク (あるいはその両方)のことです。 1.2.1 (a) 着信および発信トラフィックが、カード会員デー タ環境に必要なトラフィックに制限されています か? ▪ ファイアウォールおよびルータ構 成基準のレビュー ▪ ファイアウォールおよびルータ構 成の調査 たとえば明示の「すべてを拒否」、または許可文 の後の暗黙の拒否を使用することで、他のすべて の着信および発信トラフィックが明確に拒否され ていますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー ▪ ファイアウォールおよびルータ構 成の調査 1.2.2 ルーター構成ファイルが不正アクセスから安全に保護 されており、同期化されていますか—たとえば、実行 (アクティブ)構成が起動構成(マシンの再起動時に 使用)に一致していますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー ▪ ルータ構成ファイルおよびルータ 構成の調査 1.2.3 すべてのワイヤレスネットワークとカード会員データ 環境の間に境界ファイアウォールがインストールされ ており、これらのファイアウォールはワイヤレス環境 とカード会員データ環境間のトラフィックを拒否また は(業務上必要な場合)承認されたトラフィックのみ を許可するように構成されていますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー ▪ ファイアウォールおよびルータ構 成の調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 1.3 インターネットとカード会員データ環境内のすべての システムコンポーネント間の、直接的なパブリックア クセスは禁止されていますか? 1.3.1 DMZ は、誰でもアクセス可能な承認済みのサービス、 プロトコル、ポートを提供するシステムコンポーネン トにのみ着信トラフィックを制限するように実装され ていますか? ▪ ファイアウォールおよびルータ構 成基準のレビュー 1.3.2 着信インターネットトラフィックを DMZ 内の IP アド レスに制限していますか? ▪ ファイアウォールおよびルータ構 成の調査 1.3.3 アンチスプーフィング対策を実施し、偽の送信元 IP ア ドレスを検出して、ネットワークに侵入されないよう にブロックしていますか? (たとえば、内部アドレスを持つインターネットから のトラフィックをブロックするなど) ▪ ファイアウォールおよびルータ構 成の調査 1.3.4 カード会員データ環境からインターネットへの発信ト ラフィックは明示的に承認されていますか? ▪ ファイアウォールおよびルータ構 成の調査 1.3.5 ネットワーク内への接続は確立された接続のみ許可さ れていますか? ▪ ファイアウォールおよびルータ構 成の調査 1.3.6 カード会員データを保存するシステムコンポーネント (データベースなど)は、DMZ やその他の信頼されな いネットワークから分離された内部ネットワークゾー ンに配置されていますか? ▪ ファイアウォールおよびルータ構 成の調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 1.3.7 (a) インターネットへのプライベート IP アドレスとル ート情報の開示を防ぐ方法は実施されていますか? 注: IP アドレスを開示しない方法には、以下のものが 含まれますが、これらに限定されません。 • ネットワークアドレス変換 (NAT) • カード会員データを保持するサーバをプロキシサ ーバ/ファイアウォールの背後に配置する。 • 登録されたアドレス指定を使用するプライベート ネットワークのルートアドバタイズを削除する か、フィルタリングする。 • 登録されたアドレスの代わりに RFC 1918 アドレ ス空間を内部で使用する。 ▪ ファイアウォールおよびルータ構 成の調査 プライベート IP アドレスとルート情報の外部の事 業体への開示は承認されていますか? ▪ ファイアウォールおよびルータ構 成の調査 ▪ 担当者のインタビュー 1.4 ネットワークの外側(例えば、従業員によって使 用されるラップトップ)でインターネットに接続 され、CDE へのアクセスにも使用されるポータブ ルコンピューティングデバイス(会社および/また は従業員所有を含む)にパーソナルファイアウォ ール(または同等の機能)がインストールされ、 アクティブになっていますか? ▪ ポリシーおよび構成基準のレビュ ー ▪ モバイルおよび/または従業員所有 デバイスの調査 (b) パーソナルファイアウォールソフトウェア(また は同等の機能)が所定の構成に設定され、アクテ ィブに実行されており、モバイルデバイスや従業 員所有のデバイスのユーザによって変更できない ようになっていますか? ▪ ポリシーおよび構成基準のレビュ ー ▪ モバイルおよび/または従業員所有 デバイスの調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 1.5 ファイアウォールを管理するためのセキュリティポリ シーと操作手順は以下の要件を満たしていますか? ▪ 文書化されている ▪ 使用されている ▪ 影響を受ける関係者全員に知られている ▪ セキュリティポリシーおよび運用 手順のレビュー ▪ 担当者のインタビュー
要件
2:
システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 2.1 (a) システムをネットワークに導入する前に、ベンダ提 供のデフォルト値が必ず変更されていますか? これは、オペレーティングシステム、セキュリティサー ビスを提供するソフトウェア、アプリケーション、シス テムアカウント、POS 端末、ペイメントアプリケーショ ン、簡易ネットワーク管理プロトコル(SNMP)コミュ ニティ文字列で使用されるがこれらに限定されない、す べてのデフォルトパスワードに適用されます。 ▪ ポリシーおよび手順のレビュー ▪ ベンダ文書の調査 ▪ システム構成およびアカウント 設定の観察 ▪ 担当者のインタビュー ネットワーク上にシステムをインストールする前に 不要なデフォルトアカウントを削除または無効化さ れましたか? ▪ ポリシーおよび手順のレビュー ▪ ベンダ文書のレビュー ▪ システム構成およびアカウント 設定の調査 ▪ 担当者のインタビュー 2.1.1 カード会員データ環境に接続されている、またはカード 会員データを伝送するワイヤレス環境について、すべて のベンダのデフォルト値が、以下のように変更されてい ますか? (a) 暗号鍵がインストール時のデフォルトから変更され ていて、鍵の知識を持つ人物が退社または異動する たびに、鍵が変更されていますか? ▪ ポリシーおよび手順のレビュー ▪ ベンダ文書のレビュー ▪ 担当者のインタビュー (b) ワイヤレスデバイスのデフォルトの SNMP コミュニ ティ文字列がインストール時に変更されていますか? ▪ ポリシーおよび手順のレビュー ▪ ベンダ文書のレビュー ▪ 担当者のインタビュー ▪ システム構成の調査PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト (c) アクセスポイントのデフォルトのパスワード/パスフ レーズがインストール時に変更されていますか? ▪ ポリシーおよび手順のレビュー ▪ 担当者のインタビュー ▪ システム構成の調査 (d) ワイヤレスデバイスのファームウェアが更新され、 ワイヤレスネットワーク経由の認証および伝送用の 強力な暗号化をサポートしていますか? ▪ ポリシーおよび手順のレビュー ▪ ベンダ文書のレビュー ▪ システム構成の調査 (e) その他、セキュリティに関連するワイヤレスベンダ のデフォルト値は変更されていますか?(該当する場 合) ▪ ポリシーおよび手順のレビュー ▪ ベンダ文書のレビュー ▪ システム構成の調査 2.2 (a) すべてのシステムコンポーネントについて構成基準 が作成され、業界で認知されたシステム強化基準と 一致していますか? 業界で認知されたシステム強化基準のソースには、
SysAdmin Audit Network Security (SANS) Institute, National Institute of Standards Technology (NIST), International Organization for Standardization (ISO), and Center for Internet Security (CIS) が含まれますが、これら に限定されません。 ▪ システム構成基準のレビュー ▪ 業界で認知された強化基準のレ ビュー ▪ ポリシーおよび手順のレビュー ▪ 担当者のインタビュー (b) システム構成基準が、新たな脆弱性問題が見つかっ たときに、要件 6.1 で定義されているように更新さ れていますか? ▪ ポリシーおよび手順のレビュー ▪ 担当者のインタビュー (c) 新しいシステムを構成する際に、システム構成基準 が適用されていますか? ▪ ポリシーおよび手順のレビュー ▪ 担当者のインタビュー
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト (d) システム構成基準に以下がすべて含まれていますか? • すべてのベンダ提供デフォルト値を変更し、不 要なデフォルトアカウントを削除しているか? • 同じサーバに異なったセキュリティレベルを必 要とする機能が共存しないように、1 つのサー バには、主要機能を 1 つだけ実装しているか? • システムの機能に必要なサービス、プロトコ ル、デーモンなどのみを有効にしていますか? • 安全でないと見なされている必要なサービス、 プロトコル、またはデーモンに追加のセキュリ ティ機能を実装していますか? • システムのセキュリティパラメータが、悪用を 防ぐように構成されていますか? • スクリプト、ドライバ、機能、サブシステム、 ファイルシステム、不要な Web サーバなど、 不要な機能をすべて削除していますか? ▪ システム構成基準のレビュー 2.2.1 (a) 同じサーバに異なったセキュリティレベルを必要と する機能が共存しないように、1 つのサーバには、 主要機能を 1 つだけ実装していますか? 例えば、Web サーバ、データベースサーバ、および DNS は別々のサーバに実装する必要がある。 ▪ システム構成の調査 仮想化技術が使用されている場合は、1 つの仮想シ ステムコンポーネントまたはデバイスには、主要機 能が 1 つだけ実装されていますか? ▪ システム構成の調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 2.2.2 (a) システムの機能に必要なサービス、プロトコル、デ ーモンなどのみが、有効になっていますか(デバイ スの特定機能を実行するのに直接必要でないサービ スおよびプロトコルが無効になっている)? ▪ 構成基準のレビュー ▪ システム構成の調査 (b) 有効になっているが安全でないサービス、デーモ ン、プロトコルを特定し、それぞれ文書化された構 成基準に従って正当化されていることを確認しまし たか? ▪ 構成基準のレビュー ▪ 担当者のインタビュー ▪ 構成設定の調査 ▪ 有効なサービスと文書化された 正当性の比較 2.2.3 安全でないとみなされている必要なサービス、プロトコ ル、またはデーモンに追加のセキュリティ機能は実装さ れていますか? ▪ 構成基準のレビュー ▪ 構成設定の調査 2.2.4 (a) システムコンポーネントを構成するシステム管理者 または担当者(あるいはその両方)は、それらのコ ンポーネントの一般的なセキュリティパラメータ設 定に関する知識がありますか? ▪ 担当者のインタビュー システム構成基準に一般的なシステムセキュリティ パラメータ設定が含まれていますか? ▪ システム構成基準のレビュー (c) セキュリティパラメータは、システムコンポーネン トに適切に設定されていますか? ▪ システムコンポーネントの調査 ▪ セキュリティパラメータ設定の 調査 ▪ 設定とシステム構成基準の比較 2.2.5 (a) スクリプト、ドライバ、機能、サブシステム、ファ イルシステム、不要な Web サーバなど、不要な機能 がすべて削除されていますか? ▪ システムコンポーネントのセキ ュリティパラメータの調査 有効な機能が文書化され、安全な構成がサポートさ れていますか? ▪ 文書のレビュー ▪ システムコンポーネントのセキ ュリティパラメータの調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト (d) システムコンポーネントには文書化された機能のみ がありますか? ▪ 文書のレビュー ▪ システムコンポーネントのセキ ュリティパラメータの調査 2.3 すべての非コンソール管理アクセスは以下のように暗号 化されていますか? (a) すべての非コンソール管理アクセスは強力な暗号化 技術を使用して暗号化され、管理者パスワードが要 求される前に、強力な暗号化方式が実行されていま すか? ▪ システムコンポーネントの調査 ▪ システム構成の調査 ▪ 管理者ログオンの観察 (b) システムサービスおよびパラメータファイルは、 Telnet などの安全でないリモートログインコマンド を使用できないように構成されていますか? ▪ システムコンポーネントの調査 ▪ サービスおよびファイルの調査 (c) Web ベース管理インターフェースへの管理者アクセ スは、強力な暗号化技術で暗号化されていますか? ▪ システムコンポーネントの調査 ▪ 管理者ログオンの観察 (d) 使用テクノロジの強力な暗号化が業界のベストプラ クティスとベンダの推奨事項に従って導入されてい ますか? ▪ システムコンポーネントの調査 ▪ ベンダ文書のレビュー ▪ 担当者のインタビュー 2.4 (a) PCI DSS の適用範囲内にある、ハードウェアとソフ トウェアのコンポーネントとそれぞれの機能/用途 のリストを含むシステムコンポーネントのインベン トリが維持されていますか? ▪ システムインベントリの調査 (b) 文書化されたインベントリが最新状態に保たれてい ますか? ▪ 担当者のインタビュー
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 2.5 ベンダデフォルトおよび他のセキュリティパラメータの 管理に関するセキュリティポリシーと操作手順が以下の 要件を満たしていますか? ▪ 文書化されている ▪ 使用されている ▪ 影響を受ける関係者全員に知られている ▪ セキュリティポリシーおよび運 用手順のレビュー ▪ 担当者のインタビュー 2.6 共有ホスティングプロバイダの場合、各事業体のホスト 環境およびカード会員データを保護するようにシステム が構成されていますか? 満たす必要のある特定の要件については、付録 A1: 「共 有ホスティングプロバイダ向けの PCI DSS 追加要件」を 参照してください。 ▪ 付録 A1 テスト手順の完了
カード会員データの保護
要件
3:
保存されるカード会員データを保護する
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.1 データの保存と廃棄に関するポリシーと手順、およびプロセ スは以下のとおり実装されていますか: (a) 保存するデータ量と保存期間が、法律上、規制上、業務 上必要な範囲に限定されていますか? ▪ データ保管および削除ポリシ ーと手順のレビュー ▪ 担当者のインタビュー (b) 法律上、規制上、または業務上、不要になったカード会 員データを安全に削除するプロセスが定義され、実施さ れていますか? ▪ ポリシーおよび手順のレビュ ー ▪ 担当者のインタビュー ▪ 削除メカニズムの調査 (c) カード会員データの特定のデータ保存要件があります か? 例えば、カード会員データは、X の期間、Y という業務上の 理由で保存する必要がある。 ▪ ポリシーおよび手順のレビュ ー ▪ 担当者のインタビュー ▪ 保存要件の調査 (d) 定義された保存要件を超えるカード会員データを特定し て安全に廃棄する四半期ごとのプロセスがありますか? ▪ ポリシーおよび手順のレビュ ー ▪ 担当者のインタビュー ▪ 削除プロセスの観察 (e) 保存されたカード会員データがすべて、データ保存ポリ シーで定義された要件を満たしていますか? ▪ ファイルおよびシステム記録 の調査PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.2 (a) イシュアまたはイシュイングサービスをサポートし、機 密認証データを保存するイシュアまたは会社について、 機密認証データの保存に関して業務上の理由が文書化さ れていますか? ▪ ポリシーおよび手順のレビュ ー ▪ 担当者のインタビュー ▪ 文書化された業務上の正当な 理由のレビュー (b) イシュアまたはイシュイングサービスをサポートし機密 認証データを保存するイシュアや会社は以下の要件を満 たしていますか? データが安全に保存されている ▪ データ保管およびシステム構 成ファイルの調査 (c) 他のすべての事業体向け:機密認証データを承認プロセ スが完了し次第削除するか復元不可能にしていますか? ▪ ポリシーおよび手順のレビュ ー ▪ システム構成の調査 ▪ 削除プロセスの調査 (d) すべてのシステムが、(暗号化されている場合も)承認 後のセンシティブ認証データの非保持に関する以下の要 件に準拠していますか? 3.2.1 承認後にフルトラックの内容(カード裏面の磁気ストライ プ、チップ上に含まれる同等のデータ、または他の場所か ら)は承認後保存されませんか? このデータは、フルトラック、トラック、トラック 1、トラ ック 2、および磁気ストライプデータとも呼ばれます。 注: 通常の取引過程では、磁気ストライプからの以下のデー タ要素を保存する必要が生じる場合があります。 • カード会員名 • プライマリアカウント番号 (PAN) • 有効期限、および • サービスコード リスクを最小限に抑えるため、取引に必要なデータ要素のみ を保存します。 ▪ データソースとして以下を含 む調査 • 受入トランザクション データ • すべてのログ • 履歴ファイル • トレースファイル • データベーススキーマ • データベースコンテン ツ
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.2.2 カード検証コードまたは値(ペイメントカードの前面または 裏面に印字された 3 桁または 4 桁の数字)は承認後保存さ れませんか? ▪ データソースとして以下を含 む調査 • 受入トランザクション データ • すべてのログ • 履歴ファイル • トレースファイル • データベーススキーマ • データベースコンテン ツ 3.2.3 個人識別番号(PIN)または暗号化された PIN ブロックを承 認後保存されませんか? ▪ データソースとして以下を含 む調査 • 受入トランザクション データ • すべてのログ • 履歴ファイル • トレースファイル • データベーススキーマ • データベースコンテン ツ 3.3 表示時に PAN をマスクして(最初の 6 桁と最後の 4 桁が最 大表示桁数)、業務上の正当な必要性がある関係者だけが PAN の最初の 6 桁と最後の 4 桁より多くを見ることができ るようにしていますか? 注: カード会員データの表示(法律上、またはペイメントカ ードブランドによる POS レシート要件など)に関するこれ より厳しい要件がある場合は、その要件が優先します。 ▪ ポリシーおよび手順のレビュ ー ▪ PAN 全桁を表示するアクセ スが必要な役割のレビュー ▪ システム構成の調査 ▪ PAN の表示の観察
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.4 以下の手法を使用して、すべての保存場所(データリポジト リ、ポータブルデジタルメディア、バックアップメディア、 監査ログなど)で PAN を読み取り不能にしていますか? ▪ 強力な暗号化をベースにしたワンウェイハッシュ (PAN 全体をハッシュする必要がある) ▪ トランケーション(PAN の切り捨てられたセグメント の置き換えにはハッシュを使用してはいけない) ▪ インデックストークンとパッド(パッドは安全に保存す る必要がある) ▪ 関連するキー管理プロセスおよび手順を伴う、強力な暗 号化 注: 悪意のある個人がトランケーションされたPANとハッ シュ化されたPANの両方を取得した場合、元の PAN を比 較的容易に再現することができます。ハッシュ化および切り 捨てられた PAN の同じバージョンが事業体の環境に存在す る場合、元の PAN を再構築するために、ハッシュ化および 切り捨てられたバージョンを関連付けることができないこと を確実にする追加コントロールを導入する必要があります。 ▪ ベンダ文書の調査 ▪ データ保管場所の調査 ▪ リムーバブルメディアの調査 ▪ ペイメントアプリケーション ログを含む監査ログの調査 3.4.1 ディスク暗号化(ファイルまたは列レベルのデータベース暗 号化ではなく)が使用される場合、アクセスは以下のように 管理されていますか? 注: この要件はすべての他の PCI DSS 暗号化および鍵管理 要件に加えて適用されます。 (a) 暗号化されたファイルシステムへの論理アクセスは ネイティブなオペレーティングシステムの認証及び アクセス制御メカニズムとは別に管理されています か(ローカルユーザアカウントデータベースや一般 的なネットワークログイン認証情報を使用しないな どの方法で)? ▪ システム構成の調査 ▪ 承認プロセスの観察
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト (b) 暗号化鍵は安全に保存されていますか(例えば、強力な アクセス制御で適切に保護されているリムーバブル媒体 に保存されているなど)? ▪ プロセスの観察 ▪ 担当者のインタビュー (c) どこに保存されている場合でも、リムーバブル媒体のカ ード会員データは暗号化されていますか? 注: ディスク暗号化がリムーバブル媒体の暗号化に使用され ていない場合は、このメディアに保存されるデータを、他の 方法を使用して、読み取り不能にする必要があります。 ▪ システム構成の調査 ▪ プロセスの観察 3.5 カード会員データを漏えいと悪用から保護するために使用さ れる鍵を保護するための手順が以下の要件を満たしています か? 注: この要件は、保存されているカード会員データを暗号化 する鍵に適用され、またデータ暗号化鍵の保護に使用する鍵 暗号化鍵にも適用される。つまり、鍵暗号化鍵は、少なくと もデータ暗号化鍵と同じ強度を持つ必要があります。 3.5.1 サービスプロバイダのみ: 以下を含む暗号アーキテクチャの 説明を文書化して維持されていますか? • 鍵の強度や有効期限を含むカード会員データの保護に使 用されるすべてのアルゴリズム、プロトコル、鍵の詳細 • 各鍵の用途の説明 • 鍵管理に使用されるすべての HSM とその他の SCD の インベントリ ▪ 担当者のインタビュー ▪ 文書のレビュー 3.5.2 暗号化鍵へのアクセスは、必要最小限の管理者に制限されて いますか? ▪ ユーザアクセスリストの調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.5.3 カード会員データの暗号化/復号に使用される秘密暗号化鍵 は、以下のいずれかの形式(複数可)で常時保存されていま すか? ▪ 少なくともデータ暗号化鍵と同じ強度の鍵暗号化鍵で暗 号化されており、データ暗号化鍵とは別の場所に保存さ れている ▪ 安全な暗号化デバイス(ハードウェア(ホスト)セキュ リティモジュール(HSM)または PTS 承認の加盟店端 末装置など)内 ▪ 業界承認の方式に従う、少なくとも 2 つの全長鍵コン ポーネントまたは鍵共有として 注: 公開鍵がこれらの形式で保存されていることは要求され ていません。 ▪ 文書化された手順のレビュー ▪ システム構成および鍵暗号化 鍵を含む鍵の保管場所の調査 3.5.4 暗号化鍵は最小限の保存場所に保存していますか? ▪ 鍵保管場所の調査 ▪ プロセスの観察 3.6 (a) カード会員データの暗号化に使用される暗号化鍵の管理 プロセスおよび手順がすべて文書化され、実装されてい ますか? ▪ 鍵管理手順のレビュー (b) サービスプロバイダのみ: サービスプロバイダがカード 会員データの伝送に使用する鍵を顧客と共有している場 合、サービスプロバイダが顧客に提供する文書を調べ て、以下の要件 3.6.1~3.6.8 に従って、顧客の鍵(顧客 とサービスプロバイダ間でデータを伝送するために使用 される)を安全に伝送、保存、変更する方法が記述され ていますか? ▪ 顧客に提供する文書のレビュ ー 鍵管理プロセスと手順は次が要求されるように実装され ていますか? 3.6.1 暗号化鍵の手順に強力な暗号化鍵の生成が含まれています か? ▪ 鍵管理手順のレビュー ▪ 鍵生成手順の観察
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.6.2 暗号化鍵の手順に安全な暗号化鍵の配布が含まれています か? ▪ 鍵管理手順のレビュー ▪ 鍵配布方法の観察 3.6.3 暗号化鍵の手順に安全な暗号化鍵の保存が含まれています か? ▪ 鍵管理手順のレビュー ▪ 鍵の安全な保管のための方法 の観察 3.6.4 暗号化期間の終了時点に到達した暗号化鍵を変更しています か? 暗号化期間の終了時点とは、関連アプリケーションベンダま たは鍵オーナーが定義し、業界のベストプラクティスおよび ガイドライン(たとえば NIST Special Publication 800-57 な ど)に基づいた期間の経過後、および/もしくは付与された 鍵で一定量の暗号化テキストを作成した後、を指します。 ▪ 鍵管理手順のレビュー ▪ 担当者のインタビュー 3.6.5 (a) 暗号化鍵の手順に、鍵の完全性が弱くなったとき(例え ば、平文の鍵の情報を持つ従業員が業務から離れる場 合)の暗号化鍵の破棄または取替(アーカイブ、破棄、 廃止など)が含まれていますか? ▪ 鍵管理手順のレビュー ▪ 担当者のインタビュー 不要になった、または危険にさらされたことが判明もし くは疑われる暗号化鍵の取替を行う手順がありますか? ▪ 鍵管理手順のレビュー ▪ 担当者のインタビュー 破棄された、または取り替えられた暗号化鍵を保持する 場合、その鍵を(暗号化操作ではなく)暗号解除/検証 の目的にのみ使用していますか? ▪ 鍵管理手順のレビュー ▪ 担当者のインタビュー
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 3.6.6 平文暗号化の暗号化鍵の管理を手動で行う場合、次のような 暗号化鍵の知識分割とデュアルコントロールを行っています か? ▪ 鍵知識の分割は、鍵コンポーネントが 2 人以上の管理 下に置かれ、各人は自分の鍵コンポーネントに関する知 識しか持たないようにすることを要求していますか? および ▪ 鍵のデュアルコントロールにより、どのような鍵管理操 作を行う場合にも 2 人以上を必要とし、どちらも他方 の認証情報(パスワードや鍵など)にアクセスできない ようになっていますか? 注: 手動の暗号化鍵管理操作の例には、鍵の生成、伝送、読 み込み、保存、破棄などが含まれますが、これらに限定され ません。 ▪ 鍵管理手順のレビュー ▪ 担当者のインタビュー およ び/または ▪ プロセスの観察 3.6.7 暗号化鍵手順に暗号化鍵の不正置換の防止が含まれています か? ▪ 手順のレビュー ▪ 担当者のインタビュー およ び/または ▪ プロセスの観察 3.6.8 暗号化鍵管理者が、自身の責務を理解しそれを受諾(書面上 または電子的に)したことを確認していますか? ▪ 手順のレビュー ▪ 文書またはその他の証跡のレ ビュー 3.7 保存されているカード会員データを保護するためのセキュリ ティポリシーと操作手順は以下の要件を満たしていますか? ▪ 文書化されている ▪ 使用されている ▪ 影響を受ける関係者全員に知られている ▪ セキュリティポリシーおよび 運用手順のレビュー ▪ 担当者のインタビュー
要件
4:
オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 4.1 (a) オープンな公共ネットワーク経由で機密性の高いカード 会員データを伝送する場合、強力な暗号化技術と安全な プロトコルを使用して保護していますか? 注:オープンな公共ネットワークの例として、インターネッ ト、802.11 および Bluetooth を含むワイヤレス技術、携帯電話技術、例えば Global System for Mobile communications (GSM)、符号分割多元接続 (CDMA)、および General Packet Radio Service (GPRS)などが挙げられますが、これ
らに限りません。 ▪ 文書化された基準のレビュー ▪ ポリシーおよび手順のレビュ ー ▪ CHD が伝送するまたは受領 するすべての拠点のレビュー ▪ システム構成の調査 (b) 信頼できる鍵および/または証明書のみが受け付けられ ていますか? ▪ 着信および発信伝送の観察 ▪ 鍵および証明書の調査 (c) 実装されたセキュリティプロトコルは安全な構成のみ使 用され、安全でないバージョンまたは構成がサポートさ れていませんか? ▪ システム構成の調査 (d) 使用中の暗号化手法(ベンダの推奨事項/ベストプラク ティスを確認)は適切な暗号化強度が実装されています か? ▪ ベンダ文書のレビュー ▪ システム構成の調査 (e) 使用中の暗号化手法(ベンダの推奨事項/ベストプラク ティスを確認)は適切な暗号化強度が実装されています か? 例えば、ブラウザベースの実装の場合: • ブラウザの URL プロトコルとして「HTTPS」が表示さ れる、および • カード会員データは、URL に「HTTPS」が表示される場 合にのみ要求される ▪ システム構成の調査
PCI DSS 質問 必要なテスト 回答 (各質問に対して1つ回答を選んでください) はい はい、 CCW 付 いいえ N/A 未テスト 4.1.1 カード会員データを伝送する、またはカード会員データ環境 に接続しているワイヤレスネットワークには、業界のベスト プラクティスを使用して、認証および伝送用に強力な暗号化 が実装されていますか? ▪ 文書化された基準のレビュー ▪ ワイヤレスネットワークのレ ビュー ▪ システム構成設定の調査 4.2 (a) エンドユーザメッセージングテクノロジ(電子メール、 インスタントメッセージング、SMS、チャットなど) で PAN を送信する場合、常に読み取り不能にされてい るか、または強力な暗号化で保護されていますか? ▪ プロセスの観察 ▪ 発信伝送のレビュー 実施されているポリシーは、保護されていない PAN の エンドユーザメッセージングテクノロジでの送信を防ぐ ものとなっていますか? ▪ ポリシーおよび手順のレビュ ー 4.3 カード会員データの伝送を暗号化するためのセキュリティポ リシーと操作手順が以下の要件を満たしていますか? ▪ 文書化されている ▪ 使用されている ▪ 影響を受ける関係者全員に知られている ▪ セキュリティポリシーおよび 運用手順のレビュー ▪ 担当者のインタビュー
