PCI DSS



 ◆ PCI DSSとは

 PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報や取引情報を
 保護するためにJCB、VISA、マスターカード、AMEX、Discoverの5社で2004年に共同策定した
クレジット
 業界におけるグローバルセキュリティ基準
のことです。2010年10月28日には「PCI DSS version 2.0」が
 発表されており2011年11月1日発行されています。この v2.0 は2014年度中は有効。現在は v3.0 が最新。

 クレジットカード関連のデータ情報をやりとりするネットワークシステムだけでなくそれに準ずるデータを
 やりとりするネットワークシステムを提案、設計、および構築する際にPCI DSSの知識は必須となります。
 例えばPCI DSS v2.0では、クレジットカード情報や取引情報を保護するために以下12要件を定めています。

目的 要件 説明
 安全なネットワークの構築と維持 1

 カード会員データを保護するために、ファイアウォールをインストール
 して構成を維持する

2

 システムパスワードおよびその他のセキュリティパラメータにベンダ
 提供のデフォルト値を使用しない

 カード会員データの保護 3  保存されたカード会員データを保護する
4

 オープンな公共ネットワーク経由でカード会員データを伝送する場合、
 暗号化する

 脆弱性管理プログラムの整備 5  アンチウィルスソフトウェアまたはプログラムを使用し定期的に更新する
6  安全性の高いシステムとアプリケーションを開発し、保守する
 強固なアクセス制御手法の導入 7  カード会員データへのアクセスを、業務上必要な範囲内に制限する
8  コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
9  カード会員データへの物理アクセスを制限する
 ネットワークの定期的な監視及びテスト 10

 ネットワークリソースおよびカード会員データへのすべてのアクセスを
 追跡および監視する

11  セキュリティシステムおよびプロセスを定期的にテストする
 情報セキュリティポリシーの整備 12  すべての担当者の情報セキュリティポリシーを整備する




 ◆ PCI DSS : アカウントデータ

 PCI DSSはアカウントデータが保存、処理、送信される全ての場所に適用されます。このアカウントデータは
 「カード会員データ」と「センシティブ認証データ」で構成されます。これらには、以下の情報が含まれます。

カード会員データに含まれる情報 センシティブ認証データに含まれる情報

 ・ プライマリアカウント番号(PAN)
 ・ カード会員名
 ・ 有効期限
 ・ サービスコード

 ・ 完全な磁気ストライプデータやチップ上の同等のデータ
 ・ CAV2/CVC2/CVV2/CID
 ・ PIN または PIN ブロック




ネットワークセキュリティ

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.