pci dssサービス紹介サイト - ペイメントワールド

[ 2018年06月06日 - paymentnavi ]PCI DSSの最新動向と国内での今後の方向性(下)

2018年6月6日8:00

■日本カード情報セキュリティ協議会

PCI DSS情報(期限付き要件、P2PEなど)

どうしても非保持にできない加盟店、カード会社、サービスプロバイダ(PSP)はPCI DSSに取り組む必要があります。PCI DSSは、2004年12月施行、2016年4月にv3.2がリリースされています(2018年5月にv3.2.1が発表済み)。カード情報の漏えいリスクを減じ、不正なアクセスによる被害を拡大させないための合理的な基準です。世界的に統一された基準としてのメリットがあり、記載されるセキュリティ対策は具体的です。

Payment Card Industry Data Security Standard

PCI DSS v3.2の期限付き要件についてご紹介します。6月30日までに対応する要件として、SSL/初期のTLSとTLS1.0以前のバージョン廃止があります。新規の場合、SSLとTLS1.0以前を使用してはならないことになっています。サービスプロバイダは、2016年6月30日までにTLS1.1以降を選択できるサービスを提供すること、既存の実装におけるSSLとTLS1.0以前のバージョンは、2018年6月30日までに廃止しなければならないことになっています。(POS POI端末は条件付きで容認)。6月まではPCI DSSの審査でもセーフでしたが、7月以降の審査では準拠できなくなります。

また、次のとおり2月1日までの期限付きの要件として、BAU (Business As Usual) としてのPCI DSS維持、多要素認証の必須化があります。

システムに変更があった際には変更管理のプロセスに従う必要がありますが、要件6.4.6では、正しいシステムの設定や、ネットワーク図の更新がなされているかを検証することにより、PCIDSS要件へ影響分析を行うことを求めています。

要件12.4.1では、正式なPCI DSS準拠プログラムの確立として、PCI DSS準拠維持に関わる全体の責任を経営層が割り当てることが求められます。また、要件12.11、12.11.1では、四半期ごとの従業員のポリシー遵守状況チェックとして、運用が手順どおりに実施されているかをレビューする要件となっています。(いずれもサービスプロバイダのみの要件)

また、カード情報を大量に扱う事業体、情報漏えいを起こした事業体で、指定事業体向け補足検証のA3.1~A3.5の追加要件への対応が必要です。

多要素認証については、これまでリモートアクセスの際に適用されていた二要素認証が、用語変更となっています。ただし、要件8.3.1にあるとおり、内部のネットワークでも管理アクセスの場合は多要素認証が必要となりました。

これらはシステム投資がありますので、時間的な猶予が必要になります。PCI DSSは日々の運用に気を使っており、リスクが大きくなるとわかっていても運用側の声を聞いて猶予期間を持たせています。PCI DSSの要件は、参加企業となる大手加盟店、システム会社、コンサルティング会社等がワーキングに参加し決められる民主的なものです。

カード情報の保護を高めるための「PCI P2PE(Point-to-Point Encryption)」は、カード情報を読み取ってからセンターまでの間を暗号化するものです。米国では何千という拠点を保有している加盟店企業があり、各拠点のPOSレジやLANなどもPCI DSSの対象となりますが、P2PE認定ソリューションを使用することでPCI DSSスコープの縮小が可能となります。国内の実行計画でもPCI P2PE認定ソリューションを使用している場合、「非保持同等/相当」とみなされます。2018年2月26日現在、グローバルで51のソリューションが認定されており、日本でも認定審査機関が登場しています。

PCI P2PE(PCI Point to Point Encryption)とは?

そのほか、PCI SSCでは、FAQのページを作っており、役立つ情報を提供されています。また、JCDSCのWebサイトでも質問を受け付けていますので、お困りの際はアクセスしてみてください。

割賦販売法や実行計画は遵守しなければいけないもの

まとめとして、割賦販売法や実行計画は遵守しなければいけないものとなっています。まずは、自社のカード情報がどのように管理され、使われているかなど、対象となりうるシステムや業務フローを把握する必要があります。そのために、アクワイアラやベンダーなどの協力を得ることも重要です。

また、自社でPCI DSSを取得する際は、コンサルタントやQSAなどの専門家だのみではなく、PCI SSCなどの公開情報も活用していくことも大切です。また、加盟店は自社でPCI DSSの審査が可能なISAを育成するのも一案です。何よりクレジットカード情報の保護は義務であるため、会社の経営層を巻き込めば、より対応は早く進むでしょう。

▶▶前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」の日本カード情報セキュリティ協議会の講演をベースに加筆を加え、紹介しています。

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド