pci dss 一括資料請求
[ 2011年12月26日 - PAYMENT WORLD ]Telephone-based Payment Card Data(PCI SSC)
2011年12月26日19:22
コールセンターなどの業務において、カード情報の取り扱いリスクを軽減するために策定されたガイドラインである。2011年3月にPCI SSCのWebサイトで公開されている。
■Telephone-based Payment Card Data Version2.0(PCI SSC)
PCI DSS資料請求はこちら
[ 2011年11月28日 - PAYMENT WORLD ]PCI DSS Q&A
[Question]
1 PCI DSS(Payment Card Industry Data Security Standard)とはどんな基準ですか?
2 PCI DSSには必ず準拠しなければならないのでしょうか?
4 弊社はすでにISMSを取得しているのですが、PCIDSSに準拠する必要はあるのでしょうか?
5 電子マネーによる決済しか導入していない加盟店でもPCI DSSに準拠する必要はありますか?
7 PCI DSSに準拠した際に認定マークをホームページや名刺などに掲載して対外的にアピールすることはできますか?
8 弊社はペイメントカードの会員情報を外部に委託しています。そのため、カード会員情報は保持していませんがPCI DSSに準拠する必要はあるのでしょうか?
9 PCI DSSに準拠するコストはどのくらいかかりますか?
10 ISMSやPCI DSSなど、毎年複数の情報セキュリティにかかわる審査を受診するのは大変ですし、コストもかかります。負担を軽減する方法はありませんか?
14 PA-DSSに準拠したペイメントアプリケーションを導入すれば、PCI DSSに準拠できますか?
15 Visa、MasterCard、JCB、AmericanExpress、Discoverの加盟店なのですが、ブランドごとのペイメントカードの年間取引件数を知るにはどうしたらいいですか?
16 弊社はあるブランドの基準ではレベル1で訪問審査が必要となりましたが、別のブランドでは自己問診でいいとの判断でした。訪問審査を実施するとコストもかかるので緩いほうの基準を採用することは可能ですか?
18 PCI DSSのコンサルティングと審査を同一の企業に依頼することはできますか?
19 PCI DSSの基準(Version)は何年ごとに更新されますか?
20 PCI DSSの全項目のうち、システムの関係上、どうしてもオリジナルの要件では準拠できない項目があります。その場合は完全準拠は難しいでしょうか?
21 PCI DSSの12要件、280項目のうち、加盟店やサービスプロバイダなどが解釈に迷われるのはどの要件・項目でしょうか?
22 PCI DSSでは仮想化技術の使用を許可していますか?
25 ICカード端末による取引が多いとPCI DSSの訪問審査が免除されるというのは本当でしょうか?
26 2011年からPCI SSCが「フォレンジック調査機関」を認定するようになったというのは本当でしょうか?
27 PCI DSSに準拠した企業にコンサルティングなどをお願いすることはできますか?
28 PCI DSSの要件とセキュリティ評価手順の文章だけですと解釈に迷う部分があります。その際はどうしたらいいでしょうか?
PCI DSS資料請求はこちら
[ 2011年11月28日 - PAYMENT WORLD ]PCI DSSの要件とセキュリティ評価手順の文章だけですと解釈に迷うことがあります。その際はどうしたらいいでしょうか?
質問28
[Question]
PCI DSSの「要件とセキュリティ評価手順」の文章だけですと解釈に迷う部分があります。その際はどうしたらいいでしょうか?
[Answer]
PCI DSSの要件については、PCI SSCからリリースされている「PCI DSSナビゲート(基準要件の目的と理解)」が参考になると思われます。また、過去に審査を受けた企業は、QSA(認定セキュリティ評価機関)、コンサルティングに尋ねたり、PCI DSSに準拠した企業にヒアリングすることで要件を解釈するケースが多かったです。
■「PCI DSSナビゲート バージョン2.0(基準要件の目的の理解)」日本版(PCI SSCのWebサイト)
https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/Navigating_DSS_v2.pdf
PCI DSS資料請求はこちら
[ 2011年09月01日 - PAYMENT WORLD ]「PCI DSS Wireless Guidelines」のアップデート版を発表(PCI SSC)
PCI DSSやPCI PTS、PA-DSSなどの運営組織であるPCI SSCは、米国時間の2011年8月26日、カード決済環境の中で安全に無線技術を実装するためのガイドラインである「PCI DSS Wireless Guidelines」のアップデート版を発表した。
同ガイドラインは、2009年に発表されているが、PCI DSS Version2.0のリリースなどに伴い、Bluetoothテクノロジーや不正なワイヤレスアクセスポイントなどに関してガイダンスを追加している。
■PCI DSS Wireless Guidelines(PCI SSC)
PCI DSS資料請求はこちら
[ 2011年08月22日 - PAYMENT WORLD ]「2011年度データ漏洩/侵害調査報告書」(ベライゾンビジネス)
ベライゾンビジネスのWebサイトに「2011年度データ漏洩/侵害調査報告書」の日本語版が掲載されている。同社とシークレットサービスが2010年に発生した情報漏洩/侵害の件数や傾向をまとめたものである。これによると、データ漏洩/侵害に見られる共通点として、89%の被害者はPCI DSSへの準拠義務があったにもかかわらず未準拠だったという。
■「2011年度データ漏洩/侵害調査報告書」(日本語版)(ベライゾンビジネス)
PCI DSS資料請求はこちら
[ 2011年08月17日 - PAYMENT WORLD ]「PCI DSS Tokenization Guidelines」を公開(PCI SSC)
PCI DSSの運営組織であるPCI SSCは、米国時間の2011年8月12日、トークン化技術のガイドラインとなる「PCI DSS Tokenization Guidelines」を公開した(英語のみ)。以下のPCI SSCのサイトで閲覧できる。
■PCI DSS Tokenization Guidelines(PCI SSC)
PCI DSS資料請求はこちら
[ 2011年08月01日 - PAYMENT WORLD ]2011年からPCI SSCが「フォレンジック調査機関」を認定するようになったというのは本当でしょうか?
質問26
[Question]
2011年からPCI SSCが「フォレンジック調査機関」を認定するようになったというのは本当でしょうか?
[Answer]
EC加盟店などが情報漏洩を起こした際、フォレンジック調査を行う認定機関として、ビザ・ワールドワイド(Visa)は「QIRA(Qualified Incident Response Assessor)」、マスターカード・ワールドワイド(MasterCard)では、「QFI(Qualified Forensics Investigators)」による調査とレポートの提出が求められていました。
2011年3月からは、QIRA、QFI の各基準はPCI SSCに移管され、「PCI Forensic Investigators (PFI)」として発行され、5ブランド共通のフォレンジック調査機関としてPCI SSCが認定を開始することになりました。
PCI DSS資料請求はこちら
[ 2011年07月27日 - PAYMENT WORLD ]ICカード端末による取引が多い加盟店はPCI DSSの訪問審査が免除されるというのは本当でしょうか?
質問25
[Question]
ICカード端末による取引が多いとPCI DSSの訪問審査が免除されるというのは本当でしょうか?
[Answer]
ビザ・ワールドワイド(Visa)では、加盟店が行うVisaカード取引でチップ対応端末によるものが75%以上を占めた年については、毎年PCI DSSの訪問審査を受けなければならないという要件を免除するTIP(テクノロジー・イノベーション・プログラム)を2011年3月31日から適用しています。
免除を受けるためには、接触型、デュアルインターフェース、非接触型のいずれかのICチップに対応する決済端末が必要となります。
ただし、現状、国内の接触ICカードの発行比率は5割程度であるため、TIPが適用される可能性は低いと言えるでしょう。
PCI DSS資料請求はこちら
[ 2011年07月06日 - PAYMENT WORLD ]センシティブ認証データとは何ですか?
質問24
[Question]
センシティブ認証データとは何ですか?
[Answer]
センシティブ認証データは、完全な磁気ストライプデータ、セキュリティコードとも呼ばれる「CAV2/CID/CVC2/CVV2」、PIN/PINブロックのことを指します。PCI DSSの基準では、センシティブ認証データのオーソリ後の保管は禁止されています。なお、PCI DSS Version2.0からは、要件3.2でイシュアに限り、ビジネス上の正当性が認められればオーソリゼーション後のセンシティブ認証データの保持が認められました。
PCI DSS資料請求はこちら
[ 2011年06月28日 - PAYMENT WORLD ]代替コントロールがよく適用されるのはどの要件ですか?
質問23
[Question]
代替コントロールがよく適用されるのはどの要件ですか?
[Answer]
PCI DSSで代替コントロールが多く適用される要件としては、要件3.4が挙げられます。
また、これまで準拠を果たした企業では、要件2.3、要件5.1、要件8.5、要件10.2なども代替コントロールを適用するケースがありました。
ただし、この部分は加盟店やサービスプロバイダのシステム環境に左右されるため、コンサルティングを行う企業やQSA(認定セキュリティ評価機関)などにご相談ください。
PCI DSS資料請求はこちら
[ 2011年06月24日 - PAYMENT WORLD ]PCI DSSの12要件、280項目のうち、加盟店やサービスプロバイダなどが解釈に迷われるのはどの要件・項目でしょうか?
質問21
[Question]
PCI DSSの12要件、280項目のうち、加盟店やサービスプロバイダなどが解釈に迷われるのはどの要件・項目でしょうか?
[Answer]
例えば、日本カード情報セキュリティ協議会の「QSA部会」では、要件2、3、6、10、11が議題にあがることが多かったそうです。ここは、遵守を目指すサービスプロバイダや加盟店側でも苦労したり、判断に迷うことが多い要件として挙げられるそうです。
要件2に関しては、Ver2.0の変更点としても組み込まれた「仮想環境ではどうしたらいいか」などが協議されたそうです。また、要件3はカード会員データの暗号化に関してですが、「イシュアの場合、センシティブ認証データ非保持要件をどう考えるか」などの議論が行われたそうです。
要件6は数多くの企業が運用面で苦労するパッチの適用、脆弱性診断と要件11のぺネトレーションテストとの違いなどの話しあいが行われました。ほかには要件10のログの取得と監視、要件11の定期的なテストと監視などが議題にあがりました。
PCI DSS資料請求はこちら
[ 2011年06月21日 - PAYMENT WORLD ]オンラインでPCI基準の基本を理解できる研修サービス(PCI SSC)
PCI DSS、PCI PTSおよびPA – DSSを管理するPCI SSC は、オンラインによるPCI啓発研修の提供を開始した。インターネット環境を利用した4時間の研修となっており、PCI基準の概要や基礎、課題と成功の実例などをそれぞれのペースで学ぶことができるように設計されている。提供価格は495ドル。 登録ページは(http://www.regonline.com/Register/Checkin.aspx?EventID=975639)となっている。
PCI DSS資料請求はこちら
[ 2011年06月17日 - PAYMENT WORLD ]PCI DSSの12要件
PCI DSSは、ペイメントカードを利用した決済に関するデータ保護が目的とされ、以下の6項目12要件が定められています。
PCI DSSの12要件
安全なネットワークの構築と維持
要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3:保存されるカード会員データの保護
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5:アンチウイルスソフトまたはプログラムを使用し、定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7:カード会員データへのアクセスを、業務上必要な範囲に制限する
要件8:コンピュータにアクセスできる各ユーザに一意のIDを割り当てる
要件9:カード会員データへの物理的アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12:すべての担当者の情報セキュリティポリシーを整備する
PCI DSS資料請求はこちら
[ 2011年06月16日 - PAYMENT WORLD ]PCI DSSでは仮想化技術の使用を許可していますか?
質問22
[Question]
PCI DSSでは仮想化技術の使用を許可していますか?
[Answer]
PCI DSS Ver.1.2の要件とセキュリティ評価手順では、仮想環境下での使用について具体的に明示されていませんでしたが、Version 2.0からは定義を拡張し、「システムコンポーネントには、仮想マシン、仮想スイッチ/ルータ、仮想アプライアンス製品、仮想アプリケーション/デスクトップ、ハイパーバイザーのような仮想コンポーネントを含む」と記載され、仮想化技術の使用が明示的に認められるようになりました。
PCI DSS資料請求はこちら
[ 2011年06月15日 - PAYMENT WORLD ]仮想化についてのガイドラインを公開(PCI SSC)
PCI DSSの運営組織であるPCI SSCは、Version2.0から明示的に認められた仮想化についてのガイドラインである「Information Supplement:PCI DSS Virtualization Guidelines」を公開した(英語のみ)。以下のPCI SSCのサイトで閲覧できる。
⇒⇒Information Supplement:PCI DSS Virtualization Guidelines(PCI SSC)
PCI DSS資料請求はこちら
[ 2011年06月13日 - PAYMENT WORLD ]PCI DSSの全項目のうち、システムの関係上、どうしてもオリジナルの要件では準拠できない項目があります。その場合は完全準拠は難しいでしょうか?
質問⑳
[Question]
PCI DSSの全項目のうち、システムの関係上、どうしてもオリジナルの要件では準拠できない項目があります。その場合は完全準拠は難しいでしょうか?
[Answer]
PCI DSSでは、従来の要件の目的や厳密さを満たし、要件に記載されているリスクを十分に軽減し、要件以上のことを実現できた場合、「代替コントロール」が認められています。
ただし、オリジナルの要件通りに準拠するのがベストであることも認識しておく必要があるでしょう。
PCI DSS資料請求はこちら
[ 2011年06月10日 - PAYMENT WORLD ]PCI DSSの基準(Version)は何年ごとに更新されますか?
質問⑲
[Question]
PCI DSSの基準(Version)は何年ごとに更新されますか?
[Answer]
PCI DSSのバージョンアップサイクルは、現行のPCI DSS Ver.2.0からは3年のサイクルとなりました(前バージョンまでは2年)。なお、Ver.1.2は2011年末まで有効となっています。つまり、2011年末までは加盟店とサービスプロバイダが Ver.2.0とVer.1.2のどちらで審査を行うかを選択できます。
PCI DSS資料請求はこちら
[ 2011年06月09日 - PAYMENT WORLD ]PCI DSSのコンサルティングと審査を同一の企業に依頼することはできますか?
質問⑱
[Question]
PCI DSSのコンサルティングと審査を同一の企業に依頼することはできますか?
[Answer]
PCI DSSのコンサルティングと審査を同一の企業に依頼することは可能です。国内にも コンサルティング、ソリューション提供、認定審査、維持支援をトータルに行う企業は複数あります。
例えば、アリコジャパンやNECビッグローブといった大型加盟店は、コンサルティングと審査を同一の企業に依頼しており、アリコは保険業界初、NECビッグローブはインターネットサービスプロバイダで初の準拠を達成しています。
PCI DSS資料請求はこちら
[ 2011年06月08日 - PAYMENT WORLD ]PCI DSSではサービスプロバイダの準拠が必要となっていますが、弊社はカード会員データを受託しているだけなので決済処理を行っていません。また、ブランドやアクワイアラからは特に弊社の存在が見えず、要請もないので準拠しなくても大丈夫でしょうか?
質問⑰
[Question]
PCI DSSではサービスプロバイダの準拠が必要となっていますが、弊社はカード会員データを受託しているだけなので決済処理を行っていません。また、ブランドやアクワイアラからは特に弊社の存在が見えず、要請もないので準拠しなくても大丈夫でしょうか?
[Answer]
PCI DSSはカード会員情報を伝送/処理/保存するすべての加盟店やサービスプロバイダが対象となります。そのため、決済代行事業者、カード会社はもちろん、印刷会社、データセンター、コールセンターなどがサービスプロバイダの対象に含まれます。カード会員データを受託するデータセンタなども当然、PCI DSSの準拠の対象に含まれると思われます。
PCI DSS資料請求はこちら
[ 2011年06月07日 - PAYMENT WORLD ]弊社はあるブランドの基準ではレベル1で訪問審査が必要となりましたが、別のブランドでは自己問診でいいとの判断でした。訪問審査を実施するとコストもかかるので緩いほうの基準を採用することは可能ですか?
質問⑯
[Question]
弊社はあるブランドの基準ではレベル1で訪問審査が必要となりましたが、別のブランドでは自己問診でいいとの判断でした。訪問審査を実施するとコストもかかるので緩いほうの基準を採用することは可能ですか?
[Answer]
各ブランドではPCI SSCの設立以前からそれぞれのセキュリティプログラムを設けていました。そのため、年間の取引件数など、ブランドによって定義が異なっていますが、セキュリティを維持するためにはより厳しい基準に合わせて対応を進めることが大切であると考えられます。
また、あるブランドでは、他のブランドでたとえレベル3加盟店であったとしてもそのブランドの取引件数がレベル1あるいはレベル2であった場合、遵守期限が設けられており、対応が必要になると発表しています。
PCI DSS資料請求はこちら
