【セキュリティ】 PCIDSS
■ PCIDSS(The PCI Data Security Standard )について
(ポイント)
カード番号や情報を処理、伝送、保管するすべての企業が準拠する必要があるデータセキュリティ基準。
MasterCardとVISAが開発し、その他のカードブランドも支持。
2005年1月に初版発行され、2006年9月にv1.1が発行されている。
世界中が対象で、具体的な要件となっており異業種からも注目されている。
企業はカード取り扱い件数に応じてLevel1〜Level4に分類され監査条件が定められている。
カード情報および取り引き情報を保護するため、12の要件が規定されている。
安全なネットワークの構築・維持
要件1:データを保護するためにファイアウォールを導入し最適な設定を維持すること
要件2:システムまたはソフトウエアの出荷時のデフォルト値をそのまま利用しないこと
カード会員情報の保護
要件3:保存されたデータを安全に保護すること
要件4:公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合は暗号化をすること
脆弱点を管理するプログラムの維持
要件5:アンチウイルスソフトを利用し定期的にソフトを更新すること
要件6:安全性の高いシステムとアプリケーションを開発し保守すること
強固なアクセス制御手法の導入
要件7:業務目的別にデータアクセスを制限すること
要件8:コンピュータにアクセスする際利用者毎に識別IDを割り当てること
要件9:カード会員情報にアクセスする際、物理的なアクセスを制限すること
定期的なネットワークの監視およびテスト
要件10:ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
要件11:セキュリティシステムおよび有事の対応手順を定期的にテストすること
情報セキュリティポリシーの保有
要件12:情報セキュリティに関するポリシーを保持すること
