PCI-DSS要件と対応製品
クレジットカード情報取り扱い事業者にとってPCI DSSコンプライアンスの遵守は不可欠です。
2011年、日本クレジット協会は「日本におけるクレジットカード情報管理強化に向けた実行計画」で情報保護としてPCI DSSを基準とすると表明しました。
政府(経済産業省)も強力にクレジットカードの普及を推進しております。2014年7月には「クレジットカード決済の健全な発展に向けた研究会」の中間報告を発表しました。
キーワードは「世界で最もクレジットカード利用が安心・安全な国 日本」です。
さらに2015年3月には「クレジット取引セキュリティ対策協議会」が設立されました。いずれにおいても情報保護のベースラインはPCI DSSであると明記されています。
弊社は日本国内においてカードセキュリティ推進のための「日本カード情報セキュリティ協議会」に加盟しております。
PCI DSSとは
PCI DSSはPayment Card Industry Data Security Standsrdの略称です。
PCI DSSはPCI-SSC (PCI Security Standards Council)が運用、管理しているセキュリティ基準です。
PCI DSSは、カード会員データのセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するために策定されました。PCI DSS はカード会員データを保護するために規定された技術面および運用面の要件のベースラインとして利用できます。
PCI DSS は加盟店、プロセサー、アクワイアラー、発行者、サービスプロバイダのほか、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信するその他の事業体などの、ペイメントカードの処理を行うすべての事業体に適用されます。
クレジットカード情報を扱う組織は、PCI DSSの定める要件に準拠するようにデータを管理することが求められます。要件は以下の12項目で構成されています。
安全なネットワークとシステムの構築と維持
1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持する
2:システムパスワードと他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない
カード会員データの保護
3:保存されたカード会員データを保護する
4:公共ネットワーク経由でカード会員データを送信する場合、暗号化する
脆弱性を管理するプログラムの維持
5:ウイルス対策ソフトウェアを利用し、定期的に更新する
6:安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
7:カード会員データへのアクセスを業務上必要な範囲内に制限する
8:システムコンポーネントへのアクセスを識別・認証する
9:カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
10:ネットワークリソースおよびカード会員データに対するすべてのアクセスを追跡し、監視する
11:セキュリティシステムおよび管理手順を定期的にテストする
情報セキュリティポリシーの整備と維持
12:全ての担当者の情報セキュリティに関するポリシーを整備し維持する
「PCI Security Standards Council」
https://ja.pcisecuritystandards.org/minisite/en/index.php
実際にこのような要件を満たすためにはいくつもの対策が不可欠です。
弊社ではこれらの要件に準拠するために複数の製品をご提案します。
PCI-SSCは、2006年にアメリカ合衆国デラウェア州で公認された有限責任会社(LLC)である PCI Security Standards Councilのことで、PCI セキュリティ基準の開発、管理、教育、 および認知を担当する、オープンなグローバルフォーラムです。
PCI-SSCは、American Express、 Discover Financial Services、JCB International、MasterCard、Visa Inc. によって設立されました。ペイメントブランド 5 社すべてが審議会の統括を平等に共有し、PCI-SSC に対してアドバイスし合い、組織の運営に関する責任を共有しています。その他のペイメント業界の利害関係者も、組織に参加し、基準について提案された追加事項や変更部分について確認することをお勧めします。
PCI-SSCが管理するPCI セキュリティ基準には、データセキュリティ基準(DSS)、ペイメントアプリケーションデータセキュリティ基準(PA-DSS)、および暗証番号入力デバイス(PED)要件が含まれます。
また、設立企業 5 社すべてが各データセキュリティ準拠プログラムの技術的要件として PCI DSS を採用することに同意しています。設立メンバーは、PCI-SSCによって承認された QSA と ASV を PCI DSS の準拠を検証するために適切であると認識しています。
ご不明な点がある方は、以下よりお気軽にお問合せください。
【参考】
「日本におけるクレジットカード情報管理強化に向けた実行計画」
http://www.j-credit.or.jp/info_management.html
経済産業省「クレジットカード決済の健全な発展に向けた研究会」中間報告
http://www.meti.go.jp/press/2014/07/20140711002/201407110022.pdf
経済産業省「クレジット取引セキュリティ対策協議会」ニュースリリース
http://www.meti.go.jp/press/2014/03/20150324003/20150324003.html
「日本カード情報セキュリティ協議会」
http://www.jcdsc.org/
ジュピターテクノロジーの PCI DSS準拠 サポート製品
Syslogサーバー
syslog-ng Store Box
高信頼ログ管理アプライアンスです、 高速でログの収集・分類、安全な保存を実現することでコンプライアンス準拠とログの一元管理をサポートします。
対応要件:要件3、4、10
標的型攻撃対策, アプライアンス
SIEM
Logpoint
次世代のSIEM製品です。ITインフラからのあらゆるログデータを収集・保存・分析して、疑わしい活動を検出することで脅威に対応できます。
対応要件:要件1、2、3、4、5、6、7、8、10、11
標的型攻撃対策
特権アクセス管理(PAM)
Safeguard for Privileged Sessions
特権IDユーザーのアクセス制御・監視・記録する証跡管理アプライアンスです。 操作ログを完全性の高い動画で記録、国際基準のコンプライアンスに対応します。
対応要件:要件2、7、8、10、11
内部不正対策, アプライアンス
証跡管理
Ekran
簡単で使いやすい証跡管理システムです。 不正操作時のアラートや自動レポート機能も装備。USB制御も可能です。
対応要件:要件8、10
内部不正対策