PCI DSS クレジットカード情報 PCIデータセキュリティ基準 顧客情報

PCI DSS ~クレジットカード業界のセキュリティ基準~

PCI DSSとは

 電子商取引の拡大、さらに各種社会インフラ(電気、水道、ガス、各種交通機関)等、クレジットカードを利用できる店舗、 機会の拡大により、クレジットカードの取扱高は増加傾向にあります。それに伴い、 クレジットカード情報の偽造や不正利用等のリスクもまた増加傾向にあり、クレジットカード情報や顧客情報等の管理面が重要視されています。
 そこでクレジットカード情報および取引情報の安全な管理を目的に、国際カードブランドによりクレジットカード業界におけるセキュリティ基準 「PCI DSS(Payment Card Industry Data Security Standard)」が策定されました。
  PCI DSSはクレジットカード情報を扱う全ての加盟店・決済代行事業者を対象としており、該当する全ての企業に対し準拠することを求めています。
  要求項目は、ネットワークのセキュリティ、カード会員データの保護、システムの保守管理、セキュリティ・ポリシーの整備など、クレジットカードを取り扱う業務全般に及ぶ6項目、12の要件で構成されています。
  ISMSやプライバシーマークなど、他のセキュリティ基準に比較すると、使用するプロトコルやソフトウェアの種類、設定方法など、より具体的な内容まで踏み込んでいる点が特徴です。

PCI DSSの12要件

PCI DSSの12要件
Ⅰ.安全なネットワークの構築・維持

1.カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
2.システムパスワードと他のセキュリティ・パラメータに、ベンダー提供のデフォルトを使用しないこと
Ⅱ.カード会員データの保護

3.保存されたカード会員データを安全に保護すること
4.公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
Ⅲ.脆弱性を管理するプログラムの整備

5.アンチウィルス・ソフトウェアを利用し、定期的に更新すること
6.安全性の高いシステムとアプリケーションを開発し、保守すること
Ⅳ.強固なアクセス制御手法の導入

7.カード会員データへのアクセスを業務上の必要範囲内に制限すること
8.コンピュータにアクセスする利用者毎に個別のIDを割り当てること
9.カード会員データへの物理アクセスを制限すること
Ⅴ.定期的なネットワークの監視およびテスト

10.ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
11.セキュリティ・システム、および管理手順を定期的にテストすること
Ⅵ.情報セキュリティ・ポリシーの整備

12.情報セキュリティに関するポリシーを整備すること

マクニカネットワークスが提供するPCI DSSへの準拠を支援する製品

Citrix
PCI DSS 要件6 安全性の高いシステムとアプリケーションを開発し、保守すること
「Webアプリケーションファイアウォール」
  • Webアプリケーションの脆弱性対策専用アプライアンス
  • 独自機能「Deep Stream Inspection」によりレイヤーの高い攻撃に対応
  • 外部からの攻撃をブロックし、カード番号等の内部からの情報漏えいを防ぐ
  • 優れた運用機能により、複数のアプリケーションを1台で管理
  • Citrix Application Firewallは、Web Application Firewall市場の草分け的存在であり、 WAF市場をリードする製品です。独自機能「Deep Stream Inspection」をベースに、 高いレイヤーでパケットの検査を行い、SQLインジェクションやクロスサイトスクリプティング、なりすましといった、今まで防ぐことができなかった高度な攻撃をブロックし、情報漏えいを防ぎます。
製品詳細はこちら
PGP
PCI DSS 要件4 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
「メールの暗号化」
  • 電子メール暗号技術のデファクトスタンダード「PGP」
  • コーポレートワイドの電子メール暗号インフラ構築に最適なゲートウェイ方式 PGP Universalは、全世界で3万社・120万人以上の利用実績を誇る電子メール暗号技術のデファクトスタンダード「PGP」をベースとした、ゲートウェイタイプの電子メール暗号化ソリューションです。
    PCI DSS準拠で必要となる電子メール暗号化対策において、高い信頼性と容易な運用を可能とする、コーポレートワイドの電子メール暗号化インフラの構築を実現いたします。
製品詳細はこちら
上に戻る