PCI DSS準拠 PCI DSSとは
クレジットカード グローバルセキュリティ基準「PCI DSS 」とは
近年、外部からの金銭目的の攻撃による、カード情報が流出する被害が増えています。
2008年以降、国内でも10万件規模のカード情報漏洩が多発しています。カード情報漏洩が発生すると、被害者への損害賠償、カード決済の利用停止による営業機会損失など、企業が受ける被害は甚大なものとなります。
こうした多発するカード情報漏洩被害を受けて、国際的なクレジット産業向けのデータセキュリティ基準「PCI DSS」が策定され、国内でもPCI DSSの早急な準拠対策が必要となっています。
PCI DSSとは
Payment Card Industry Data Security Standardsの頭文字をとったもの。
国際カードブランド5社(VISA、MasterCard、American Express、JCB、Discover)が作成した世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークを指す。
内容は、カード会社やカード取扱い加盟店が、クレジットカード会員データを安全に取扱う事を目的として策定された情報システムに対するリスク対策集です。
PCI DSSに対応するための6つの目標とそれに関する12のデータセキュリティ要件
| 統制目標 | 要件 |
|---|---|
| 安全なネットワークの構築・維持 |
1. カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること 2. システム・パスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと |
| カード会員データの保護 |
3. 保存されたカード会員データを安全に保護すること 4. オープンなパブリック・ネットワーク経由で転送されるカード名義人データを暗号化する |
| 脆弱性を管理するプログラムの整備 |
5. 保存されたカード会員データを安全に保護すること 6. オープンなパブリック・ネットワーク経由で転送されるカード名義人データを暗号化する |
| 強固なアクセス管理手法の導入 |
7. カード会員データへのアクセスを業務上の必要範囲内に制限すること 8. コンピュータにアクセスする利用者ごとに個別のIDを割り当てること 9. カード会員データへの物理的アクセスを制限すること |
| 定期的なネットワークの監視およびテスト |
10.ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること 11.セキュリティ・システムおよび管理手順を定期的にテストすること |
| 情報セキュリティ・ポリシーの整備 |
12.情報セキュリティに関するポリシーを整備すること |
TISのPCI DSS対応ソリューションで課題を解決
- PCI DSS準拠の要件定義から対応後の運用に至るまで、PCI DSS完全準拠の阻害となっている課題を解決。お気軽にお問い合わせください。
PCI DSSに対応するメリット
企業価値(信用、ブランド)の向上
ISMS(ISO27001)やプライバシーマークのマネジメントシステム(JISQ15001)と比較して、PCI DSSはクレジットカード情報保護の範囲に特化し、かつ深さが要求されているのが特徴です
高水準でのセキュリティ対策実現
これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します
流出時の損害補償義務が免責
加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、その管理責任のあるカード会社に求められる損害の補償の義務が免責されます
TISのPCI DSS対応ソリューションで課題を解決
- PCI DSS準拠の要件定義から対応後の運用に至るまで、PCI DSS準拠のハードルとなっている課題を解決。お気軽にお問い合わせください。
関連記事
TISプラットフォームサービス
