PCI DSSとは? | Cloud Payment 公式ブログ

PCI DSSとは?

[記事更新日]

Share on Facebook
Pocket

クレジットカードのセキュリティ基準「PCI DSS」とは

クレジットカードのセキュリティ基準「PCI DSS」とは

インターネットが普及するにつれ、オンラインで決済できるサービスやECサイトも増え続けています。便利になった反面、会員データ流出事件などの問題も後を絶たず、セキュリティ対策について関心が集まっていると言えるでしょう。
今回は、クレジットカードの国際セキュリティ基準である「PCI DSS」とはどのようなものかについてご説明します。

クレジットカード業界の国際セキュリティ基準

PCI DSSとは、Payment Card Industry Data Security Standardsを略したもの。その名称どおり、「クレジットカード業界のセキュリティ基準」を意味しています。

クレジットカード決済において会員データを安全に取り扱うことを目的として定められたもので、主要な国際クレジットカードブランドである5社(VISA、MasterCard、JCB、Diners Club、American Express)が設立した米国PCIセキュリティ基準審議会(PCI SSC=Payment Card Industry Security Standards Council)によって運用されています。

PCI DSSが生まれた背景

PCI DSSが最初に定められたのは2004年12月。それ以前は、各カード会社が独自に安全基準を定めており、加盟店にはそれぞれのブランドの定める基準に対応することが求められていました。複数のカードを取り扱う加盟店は、複数のカード会社の基準を満たす必要があり、コストや労力の面で負担が大きいという問題があったのです。

その一方で、従来の各カード会社による安全基準では対応しきれないデータ流出など、クレジットカード被害は国内外問わず増加している状況でした。

こうした状況に対応すべく、「世界的に統一された強固なセキュリティ基準」として生み出されたのがPCI DSSなのです。

PCI DSSの定める12の要件とは

クレジットカードのセキュリティ基準「PCI DSS」とは

PCI DSSは、会員データを安全に取り扱うための基準を6つの目的に分類される12の要件として定めています。この12の要件は、さらに詳細な約300の項目によって構成されています。

【安全なネットワークの構築と維持】

要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2:システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

【カード会員データの保護】

要件3:保存されるカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

【脆弱性管理プログラムの維持】

要件5:すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する

【強力なアクセス制御手法の導入】

要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:システムコンポーネントへのアクセスを確認・許可する
要件9:カード会員データへの物理アクセスを制限する

【ネットワークの定期的な監視およびテスト】

要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティシステムおよびプロセスを定期的にテストする

【情報セキュリティポリシーの維持】

要件12:すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSS準拠は、訪問審査、サイトスキャン、自己問診などの方法の組み合わせによって認定されます。いずれの認定方法となるかは、カード情報の取り扱い方法や規模により異なります。

認定取得により、信用の向上およびリスク軽減につながります。また、加盟店等がPCI DSSに準拠していた場合、情報流出などによる被害が起きた際、管理責任のあるカード会社に求められる損害の補償の義務が免責されます。

ebookダウンロード
ebookダウンロード
PAGE TOP