PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とは、電子決済するときの個人情報流出を避けるためのフレームワークです。
2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されています。現在はその5社が共同設立した組織であるPCI SSC(PCI Security Standards Council)によって運営/管理されています。
あなたはクレジットカードで家具を買ったとします。買った情報が、金融機関、カード会社、家具屋などいくつもの組織を経由することになります。組織や管理異なるシステムのを跨ぐことで、不用意な個人情報の流出につながります。そのため、クレジットカード業界で統一の決まりを作ったわけです。
例えば、クレジットで支払った時、そのクレジット番号やセキュリティコードが正しいかを確認する必要があります。ただ、家具屋にクレジット番号に渡してしまうと悪用や漏洩につながる可能性があります。そのため、クレジットの検証はクレジットカード管理会社であり、家具屋には購入したという履歴のみを通知しなければなりません。
PCI DSSの要件
PCI DSSの要件は以下のようになっています。
- 安全なネットワークとシステムの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの整備
- 強力なアクセス制御手法の導入
- ネットワークの定期的な監視およびテスト
- 情報セキュリティポリシーの整備
PCI DSSの認定
PCI DSSの認定にはいくつかの方法があります。
- 自己問診 自己評価問診票の設問に回答することにより、文面上でPCI DSS基準をどれだけ満たしているか確認することができます。
- リモートによる脆弱性スキャン ASV(Approved Scanning Vendor)が遠隔地からの操作することによりインターネットに接続されているネットワーク機器やサーバー機器の脆弱性をチェックできます。
- 訪問審査 QSA(Qualified Security Assessor)が各事業者に実地訪問し、セキュリティ対策、運用及び情報の取り扱い状況に関するインタビューや検査を実施します。
