PCI DSS準拠 PCI DSSとは
PCI DSSとは
PCI DSSとは「Payment Card Industry Data Security Standards」の頭文字をとったものです。国際カードブランド5社(VISA、MasterCard、American Express、JCB、Discover)が作成した世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークを指します。
内容はカード会社やカード取扱い加盟店が、クレジットカード会員データを安全に取扱う事を目的として策定された情報システムに対するリスク対策集です。
2022年3月に一般社団法人日本クレジット協会から、昨年のクレジットカード不正利用被害額が公開されました。2021年のカード不正利用の被害額は、コロナ渦やDXの拡大に伴い事業者のEC展開が増えたことやそれを狙ったカード不正が増加したことが影響し、前年よりも77億円増となりました。2022年度においても過去最高の不正利用被害額が予測されており、カード不正のターゲットは、クレジットカード以外も含めたペイメント業界全体に及んでいます。
そのような中、2022年3月31日に、クレジット業界におけるグローバルセキュリティ基準のPCI DSSがv3.2.1からv4.0にメジャーバージョンアップされました。本バージョンアップは、昨今の背景を踏まえた大幅な要件改変となり、複雑化するサイバーセキュリティに対応した内容になっています。
PCI DSSに対応するための6つの目標とそれに関する12のデータセキュリティ要件
| 統制目標 | 要件 |
|---|---|
| 安全なネットワークとシステムの構築と維持 | 1.ネットワークセキュリティコントロールのの導入と維持 2.全てのシステムコンポーネントにセキュアな設定を適用する |
| アカウントデータの保護 | 3.保存されたアカウントデータの保護 4.オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する |
| 脆弱性管理プログラムの維持 | 5.悪意のあるソフトウェアから全てのシステムおよびネットワークを保護する 6.安全なシステムおよびソフトウェアの開発と維持 |
| 強固なアクセス制御の実施 | 7.システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲によって制限する 8.ユーザの識別とシステムコンポーネントへのアクセスの認証 9.カード会員データへの物理アクセスを制限する |
| ネットワークの定期的な監視とテスト | 10.システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること 11.システムおよびネットワークのセキュリティを定期的にテストする |
| 情報セキュリティポリシーの維持 | 12.組織の方針とプログラムによって情報セキュリティをサポートする |
TISのPCI DSS対応ソリューションで課題を解決
PCI DSS準拠の要件定義から対応後の運用に至るまで、PCI DSS準拠のハードルとなっている課題を解決。お気軽にお問い合わせください。
PCI DSSに対応するメリット
企業価値(信用、ブランド)の向上
ISMS(ISO27001)やプライバシーマークのマネジメントシステム(JISQ15001)と比較して、PCI DSSはクレジットカード情報保護の範囲に特化し、深さが要求されているのが特徴です。
高水準でのセキュリティ対策実現
これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。
流出時の損害補償義務が免責
加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、その管理責任のあるカード会社に求められる損害の補償の義務が免責されます。
TISのPCI DSS対応ソリューションで課題を解決
PCI DSS準拠の要件定義から対応後の運用に至るまで、PCI DSS準拠のハードルとなっている課題を解決。お気軽にお問い合わせください。
関連記事
ダウンロード資料
TISでは、PCI DSS準拠に関するさまざまな課題に対する疑問にお答えする「PCI DSS準拠 虎の巻」をご用意しております。
PCI DSSの準拠対応をご検討中の企業様にとって、お役立ちいただける内容になっているかと考えておりますので、是非ダウンロードの上ご一読ください。
