SlideShare a Scribd company logo

PCI DSSでよくある質問と回答トップ10

Download as PPTX, PDF
Yuki Kawashima
Yuki Kawashima

とはいっても私が受ける質問ではなく、PCI SSCが公開している「PCI DSS FAQ Top10」、日本語版が出る気配はないので抄訳したものです。少し古い情報もあり、切り口がバラバラですが、人によっては面白い話題もあるかもしれません。

Technology
1 of 14
PCI DSSでよくある 質問と回答トップ10 Yuki Kawashima 2012/2/6
注意事項  本資料および筆者は、読者に対して何の保証もし ません  抜粋、引用などはしていただいて構いませんが、 すべて自己責任で行う必要があります  本資料は、あくまで著者の執筆時点での個人的な 見解であり、所属もしくは関連する企業や組織、 個人の見解を示すものではありません  本資料内の企業名、システム名、製品名は各社の 登録商標もしくは商標です
本資料について  本資料は、PCI Security Standards CouncilのWebサイト (http://www.pcisecuritystandards.org/)にて掲載されてい るTop 10 Frequently Asked Questionsを抄訳したものです  PCI DSSの実装レベルの細かい判断は、システム、ネット ワーク含む周辺環境に強く依存するため、この内容があらゆ る場面でそのまま適用されるわけではありません  筆者や筆者の所属する組織が行う審査やコンサルティングに おける判断を保証するようなものではありません  本資料の元資料は、PCI SSCによる公開資料です。地域や カードブランド、カード会社によって異なる可能性があり、 対応が記載されている通りであることを保証するものではあ りません
【補足】カード会員データの定義 これらの要素が登場します。あらかじめ目を通しておくことをおすすめします 保管時、要件3.4に従って判読不能にする データ要素 保管して良いか 必要があるか 会員番号(PAN) 保存しても良い 判読不能にする必要がある カ ー カード会員氏名 保存しても良い 判読不能にする必要はない ド 会 員 サービスコード 保存しても良い 判読不能にする必要はない ア デ カ ー ウ タ ン 有効期限 保存しても良い 判読不能にする必要はない ト デ ー セ 完全な磁気ストライプデータ 保存してはならない (そもそも保存してはならない) タ ン デシ CAV2/CVC2/CVV2/CID 保存してはならない (そもそも保存してはならない) ーテ タィ (セキュリティコード) ブ 認 PIN/PINブロック 保存してはならない (そもそも保存してはならない) 証
1. 完全な審査が必要になるか、もしくは自 己問診で済むのかをどう判断したら良いか  決済会員データを保存する加盟店は、アクワイアリング を行う金融機関に問合せるべきである  アクワイアリング金融機関(アクワイアラ)はコンプラ イアンスの検証の要否や、コンプライアンス検証の要件 が加盟店契約に記載されている  サービスプロバイダは、より詳細についてペイメントブ ランドに問い合わせるべきである
2. PCI DSSに準拠しなかったらどのような 結果になるのか  PCIセキュリティスタンダードカウンシルでは、アカ ウントデータの危殆(漏洩など)による企業ブランド イメージの低下や金銭的なリスクを低減できるため、 決済カードの会員データを保存しているすべてのビジ ネス(企業)はPCI DSSに準拠することを奨励してい る(だけである)  PCI SSCはコンプライアンスプログラムを管理してい るわけではなく、非準拠の結果について何かを課すこ とはない  しかしながら、ペイメントブランドは、コンプライア ンスに関する主導権があり、非準拠の企業に対して金 銭的、もしくは運用的な何らかの義務を課す可能性が ある
3. Payment Card Industry(PCI) Data Security Standard(DSS)とは何か  PCI DSSとは、センシティブな情報を安全に取り扱っ ているということを確認するための、業界向けのツー ルと指針である  当初はVisaのAccount Information Security(AIS、ア カウント情報セキュリティ)およびCardholder Information Security(CISP)とMasterCardのSite Data Protection(SDP)プログラムを合わせて作られた ものである  この基準は強固なアカウントデータセキュリティのプ ロセスを構築するための実行可能なフレームワークを 提供するものである  PCI SSCの創立メンバーによって作られ、PCI SSCの立 ち上げと同時にPCI SSCのバージョン1.1が公開された
4. PCI DSS非準拠に対する罰金や罰則はど のようなものか  PCI DSS非準拠やセキュリティ事故に対する罰金や罰 則は、ペイメントカードブランド毎に定義されている  詳細情報は個別に問い合わせる必要がある  American Express – Data Security Operating Policy  DSOP http://www.americanexpress.com/datasecurity Email: American.Express.Data.Security@aexp.com  Discover - DISC  http://discovernetwork.com/fraudsecurity/disc.html Email: askdatasecurity@discover.com  JCB –JCB Data Security Program  http://partner.jcb.jp/security/jcbprogram/index.html Email: riskmanagement@jcbati.com  MasterCard – Site Data Protection (SDP)  http://www.mastercard.com/sdp Email: sdp@mastercard.com  Visa - Account Information Security (AIS) と Cardholder Information Security Program (CISP)  Visa AIS - Asia Pacific http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais.shtml  Visa AIS - Canada http://www.visa.ca/ais  Visa AIS - Central Europe, Middle East, & Africa http://www.visacemea.com/ac/ais/data_security.jsp Email: CemeaAIS@visa.com  Visa AIS - Europe http://www.visaeurope.com/aboutvisa/security/ais Email: datasecuritystandards@visa.com  Visa AIS - Latin America & Caribbean www.visalatam.com/ais Email: aislac@visa.com  Visa CISP - United States http://www.visa.com/cisp Email: cisp@visa.com
5. クレジットカード番号全桁をブラウザの ウィンドウに表示しても良いのか  PCI DSSの要件3.3では、全桁を見る必要が無い場合、 PANは(画面、ログ、レポート、レシートなどへの)表 示時にマスキングすることを要求しているが・・・  例えばカスタマーサービスなどでは、トランザクショ ン完了前に、正しい番号が入力されたことを検証する ことが、業務上どうしても必要かもしれない  そのようなケースでは、画面上のPANをマスキングす るかわりに、TTL(Time To Live)値もしくはWebページ のタイムアウトを設定するなどして、無期限にカード 番号が表示されることを避けるといった対応が必要  さらに、カード会員データを伝送するすべてのwebサ イトにおいて、PANを表示する画面ではSSLを有効にす るべきである ※訳注:「べき」とあるが必須と考えて良い
6. “加盟店(Merchant)”の定義とは  PCI DSSにおいては、加盟店とは、商品やサービスの支払 いに、PCI SSCのメンバーである5ブランドのいずれかの ロゴが記されてる支払い用カードを受け入れている(使 える)すべての事業体と定義される  ただし、加盟店として商品やサービスの支払いに支払い 用カードを受け入れている事業体でも、加盟店であると 同時にサービスプロバイダとなることも考えられる  商品やサービスを販売したとき、他の加盟店やサービスプロ バイダの代わりにカード会員データを補完、処理、伝送する ような場合がそれにあたる  例えばISP(インターネットサービスプロバイダ)は、月額費 用の支払いを受けるために加盟店となるが、顧客として加盟 店を抱えていれば、サービスプロバイダともなる
7. PCI Security Standards CouncilはPCI 準拠を要求/強制するのか  いいえ  PCI SSCは、ブランドそれぞれが持つコンプライアンスプ ログラムを上書きするようなことはしない  PCI SSCに参加しているどの事業体が準拠しなければなら ず、ブランド特有のプログラムの「義務化」をするのは 個々のペイメントブランドである
8. カード会員データやセンシティブ認証 データが含まれている音声の録音データ は、PCI DSSのスコープに含まれるか  本回答は、「カード会員データを音声データとして録音するコールセン ター」について明確化するもので、CAV2、CVC2、CVV2、CIDといっ たセキュリティコードの保管に関してのみ適用される  オーソリゼーション後のセンシティブ認証データの保存は、暗号化されて いようとも、PCI DSS要件3.2に違反することになるため、いかなる形式の デジタル音声データの場合も、CAV2、CVC2、CVV2、CIDコードを保管 してはならない  ただしこの考え方は、そのデータが「問合せできる(検索できる)」場合 にのみ当てはまる  「問合せできる」とは、「デジタル音声データに対して検索がかけられるよ うな複数のツールがある」ことを指す  データ要素の録音を防止するような技術が存在する場合、活用すべきである  問合せできない場合、セキュリティコードの保管は許容されるが、PCI DSS で定義されているその他の物理的保護や論理的保護は施さなければならない  上記の考え方は、地域や国において法律等で制限や要求があれば、それ を超えるものではない
9. 管理者はパスワードを共有しても良いか  PCI DSS要件8.5(および関連するサブ要件)はもちろん 管理者にも適用される。管理者はパスワードを共有し てはならない  この要件の意図は、一意のユーザIDと複雑なパスワー ドによりユーザを一意に識別することである  それは組織でアカウンタビリティを維持するためであ り、従業員毎の監査証跡を有効なものにするのに重要 である  これにより誤使用や不正使用があった時の問題解決の スピードを早めることができる  まず一意のユーザIDでログインし、その後suコマンド やsshでrootになる方法は、一意性を保つことができる ので許容される
10. カード番号をFAXしているような場 合、PCI DSSに準拠できるのか  カード会員データは、保存、処理、伝送される際はPCI DSSに従って保護されなけれ ばならない(が・・)  モデムを通じてFAXやEメールで送受信されるような場合は、「公共ネットワークを経 由している」と考えないで良い  FAXやEメールがインターネット越しのハイスピード接続等で送受信されのであれば、 「公共ネットワークを経由している」と考える必要があり、要件4.1や4.2に従って暗号 化が求められる  いずれの場合も、FAXやEメールで伝送されるカード会員データが電子的に保存される 場合、判読不能の状態にしなければならない(たとえば暗号化など)  要件3.2では、オーソリゼーション完了後のセンシティブ認証データ(磁気ストライ プデータ、CAV2、CVC2、CVV2、CID、PINブロック)の保存が禁止されている  保存が禁止されているデータをFAX受信時に保存しないためには、紙で保存する場合、 保管する紙は該当箇所を黒く潰すなどして保管し、FAXの通信で使われた元のデータは 復元できないようにシステムから削除すべきである  紙データについても、カード会員データを含むものはPCI DSS要件9.6〜9.10に従っ て保護すべきである ※訳注:「すべき」とあるが基本的には「する必要がある」  例えば要件9.6には次の記載がある「〜すべての媒体(コンピュータ、リムーバブル電 子メディア、紙の受領書、紙のレポート、FAX など)を物理的にセキュリティで保護 する〜」

Recommended

Overview pcidss
Overview pcidssOverview pcidss
Overview pcidsstakashiinada
 
PCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことPCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことYuki Kawashima
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことYuki Kawashima
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携ymita
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
アカデミックIDaaS最前線
アカデミックIDaaS最前線アカデミックIDaaS最前線
アカデミックIDaaS最前線Egawa Junichi
 

Recommended

Overview pcidss
Overview pcidssOverview pcidss
Overview pcidsstakashiinada
 
PCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことPCI DSSで定期的にやるべき10のこと
PCI DSSで定期的にやるべき10のことYuki Kawashima
 
PCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことPCI DSSについて知っておくべき10のこと
PCI DSSについて知っておくべき10のことYuki Kawashima
 
クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁クラウドセキュリティ 誤解と事実の壁
クラウドセキュリティ 誤解と事実の壁KVH Co. Ltd.
 
Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携Horizon 6 と_rsa_secur_id_の連携
Horizon 6 と_rsa_secur_id_の連携ymita
 
フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014フェデレーションビジネスとIDaaS_JICS2014
フェデレーションビジネスとIDaaS_JICS2014Egawa Junichi
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
アカデミックIDaaS最前線
アカデミックIDaaS最前線アカデミックIDaaS最前線
アカデミックIDaaS最前線Egawa Junichi
 
20110125 idm wg-fujie
20110125 idm wg-fujie20110125 idm wg-fujie
20110125 idm wg-fujieNaohiro Fujie
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Egawa Junichi
 
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 Tomoyoshi Amano
 
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションアカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションEgawa Junichi
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
Digital transformation と クラウド と IDaaS
Digital transformation と クラウド と IDaaSDigital transformation と クラウド と IDaaS
Digital transformation と クラウド と IDaaSEgawa Junichi
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイントKotaro Tsukui
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vaultjunichi anno
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)Masanori KAMAYAMA
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active DirectoryID-Based Security イニシアティブ
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)Yoko TAMADA
 
PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編Nobuhiro Nakayama
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 Masahiro NAKAYAMA
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編Yurika Kakiuchi
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #apiTatsuo Kudo
 
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッTech Summit 2016
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡Tech Summit 2016
 
CASB Cloud Service / Identity Cloud Service ご紹介
CASB Cloud Service / Identity Cloud Service ご紹介CASB Cloud Service / Identity Cloud Service ご紹介
CASB Cloud Service / Identity Cloud Service ご紹介オラクルエンジニア通信
 
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...Fumitoshi Taoka
 
TGM_salessheet
TGM_salessheetTGM_salessheet
TGM_salessheetssuser5e752e1
 

More Related Content

What's hot

20110125 idm wg-fujie
20110125 idm wg-fujie20110125 idm wg-fujie
20110125 idm wg-fujieNaohiro Fujie
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Egawa Junichi
 
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 Tomoyoshi Amano
 
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションアカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションEgawa Junichi
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...junichi anno
 
Digital transformation と クラウド と IDaaS
Digital transformation と クラウド と IDaaSDigital transformation と クラウド と IDaaS
Digital transformation と クラウド と IDaaSEgawa Junichi
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイントKotaro Tsukui
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】Tomoyoshi Amano
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)Masanori KAMAYAMA
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active DirectoryID-Based Security イニシアティブ
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)Yoko TAMADA
 
PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編Nobuhiro Nakayama
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 Masahiro NAKAYAMA
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編Yurika Kakiuchi
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #apiTatsuo Kudo
 
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]日本マイクロソフト株式会社
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッTech Summit 2016
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡Tech Summit 2016
 

What's hot (20)

20110125 idm wg-fujie
20110125 idm wg-fujie20110125 idm wg-fujie
20110125 idm wg-fujie
 
Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」Axies2017 「クラウド時代の認証基盤10のポイント」
Axies2017 「クラウド時代の認証基盤10のポイント」
 
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】 フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイントCASBのご紹介 (2017年11月版)【本資料は古い情報です】
 
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションアカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
 
Digital transformation と クラウド と IDaaS
Digital transformation と クラウド と IDaaSDigital transformation と クラウド と IDaaS
Digital transformation と クラウド と IDaaS
 
20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント20120225_クラウド導入におけるポイント
20120225_クラウド導入におけるポイント
 
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
フォースポイント ウェブセキュリティクラウド (SaaS型ウェブゲートウェイサービス) のご紹介 (2017年11月版)【本資料は古い情報です】
 
Azure Key Vault
Azure Key VaultAzure Key Vault
Azure Key Vault
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
 
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
20171011_ID-based Securityにおける中核サービスとしてのAzure Active Directory
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
 
PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編PCI DSSにおける認証認可 インフラ編
PCI DSSにおける認証認可 インフラ編
 
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」 #qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
#qpstudy 2016.07 第一部 基礎知識編 「ご認証は認可ですか?」
 
プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編プラットフォームセキュリティin Windows ブートタイム保護 概要編
プラットフォームセキュリティin Windows ブートタイム保護 概要編
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
 
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
S12_Azure AD 活用術!アプリケーション認証を ADFS から移行しましょう。 [Microsoft Japan Digital Days]
 
Sec009 これがハイブリッ
Sec009 これがハイブリッSec009 これがハイブリッ
Sec009 これがハイブリッ
 
Sec013 その資格情報、簡
Sec013 その資格情報、簡Sec013 その資格情報、簡
Sec013 その資格情報、簡
 
CASB Cloud Service / Identity Cloud Service ご紹介
CASB Cloud Service / Identity Cloud Service ご紹介CASB Cloud Service / Identity Cloud Service ご紹介
CASB Cloud Service / Identity Cloud Service ご紹介
 

Similar to PCI DSSでよくある質問と回答トップ10

サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...Fumitoshi Taoka
 
情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAML情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAMLhigher_tomorrow
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからTatsuo Kudo
 
Fido紹介資料
Fido紹介資料 Fido紹介資料
Fido紹介資料 daiyaito
 
20220419_Webinar.pdf
20220419_Webinar.pdf20220419_Webinar.pdf
20220419_Webinar.pdfKanako2
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際de:code 2017
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...日本マイクロソフト株式会社
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020OpenID Foundation Japan
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理Naohiro Fujie
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介shigeya
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
Security days 2015
Security days 2015Security days 2015
Security days 2015Manabu Kondo
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実Naohiro Fujie
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 

Similar to PCI DSSでよくある質問と回答トップ10 (20)

サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
サーバーレスなPCI DSS対応クレジットカード決済基盤システムを運用しながら、みんなでわいわいDIYの精神で、新しいモバイル決済サービス6gramを作っ...
 
TGM_salessheet
TGM_salessheetTGM_salessheet
TGM_salessheet
 
情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAML情報処理技術者試験で学ぶ SAML
情報処理技術者試験で学ぶ SAML
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれからアイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
 
Fido紹介資料
Fido紹介資料 Fido紹介資料
Fido紹介資料
 
20220419_Webinar.pdf
20220419_Webinar.pdf20220419_Webinar.pdf
20220419_Webinar.pdf
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
[SC05] 株式会社アシックス様における Azure AD 導入プロジェクトの実際
 
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
S13_レガシー ID 管理者でも分かる Verifiable Credentials のセッション [Microsoft Japan Digital D...
 
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
次世代 IDaaS のポイントは本人確認 NIST と、サプライチェーンセキュリティと、みなしご ID - OpenID Summit 2020
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
Office365のIdentity管理
Office365のIdentity管理Office365のIdentity管理
Office365のIdentity管理
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
 
CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak CSS2020 Client Policies on keycloak
CSS2020 Client Policies on keycloak
 
Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介Infomation Card と Windows CardSpace のご紹介
Infomation Card と Windows CardSpace のご紹介
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
 
Security days 2015
Security days 2015Security days 2015
Security days 2015
 
ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実ID管理/認証システム導入の理想と現実
ID管理/認証システム導入の理想と現実
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 

PCI DSSでよくある質問と回答トップ10

  • 2. 注意事項  本資料および筆者は、読者に対して何の保証もし ません  抜粋、引用などはしていただいて構いませんが、 すべて自己責任で行う必要があります  本資料は、あくまで著者の執筆時点での個人的な 見解であり、所属もしくは関連する企業や組織、 個人の見解を示すものではありません  本資料内の企業名、システム名、製品名は各社の 登録商標もしくは商標です
  • 3. 本資料について  本資料は、PCI Security Standards CouncilのWebサイト (http://www.pcisecuritystandards.org/)にて掲載されてい るTop 10 Frequently Asked Questionsを抄訳したものです  PCI DSSの実装レベルの細かい判断は、システム、ネット ワーク含む周辺環境に強く依存するため、この内容があらゆ る場面でそのまま適用されるわけではありません  筆者や筆者の所属する組織が行う審査やコンサルティングに おける判断を保証するようなものではありません  本資料の元資料は、PCI SSCによる公開資料です。地域や カードブランド、カード会社によって異なる可能性があり、 対応が記載されている通りであることを保証するものではあ りません
  • 4. 【補足】カード会員データの定義 これらの要素が登場します。あらかじめ目を通しておくことをおすすめします 保管時、要件3.4に従って判読不能にする データ要素 保管して良いか 必要があるか 会員番号(PAN) 保存しても良い 判読不能にする必要がある カ ー カード会員氏名 保存しても良い 判読不能にする必要はない ド 会 員 サービスコード 保存しても良い 判読不能にする必要はない ア デ カ ー ウ タ ン 有効期限 保存しても良い 判読不能にする必要はない ト デ ー セ 完全な磁気ストライプデータ 保存してはならない (そもそも保存してはならない) タ ン デシ CAV2/CVC2/CVV2/CID 保存してはならない (そもそも保存してはならない) ーテ タィ (セキュリティコード) ブ 認 PIN/PINブロック 保存してはならない (そもそも保存してはならない) 証
  • 5. 1. 完全な審査が必要になるか、もしくは自 己問診で済むのかをどう判断したら良いか  決済会員データを保存する加盟店は、アクワイアリング を行う金融機関に問合せるべきである  アクワイアリング金融機関(アクワイアラ)はコンプラ イアンスの検証の要否や、コンプライアンス検証の要件 が加盟店契約に記載されている  サービスプロバイダは、より詳細についてペイメントブ ランドに問い合わせるべきである
  • 6. 2. PCI DSSに準拠しなかったらどのような 結果になるのか  PCIセキュリティスタンダードカウンシルでは、アカ ウントデータの危殆(漏洩など)による企業ブランド イメージの低下や金銭的なリスクを低減できるため、 決済カードの会員データを保存しているすべてのビジ ネス(企業)はPCI DSSに準拠することを奨励してい る(だけである)  PCI SSCはコンプライアンスプログラムを管理してい るわけではなく、非準拠の結果について何かを課すこ とはない  しかしながら、ペイメントブランドは、コンプライア ンスに関する主導権があり、非準拠の企業に対して金 銭的、もしくは運用的な何らかの義務を課す可能性が ある
  • 7. 3. Payment Card Industry(PCI) Data Security Standard(DSS)とは何か  PCI DSSとは、センシティブな情報を安全に取り扱っ ているということを確認するための、業界向けのツー ルと指針である  当初はVisaのAccount Information Security(AIS、ア カウント情報セキュリティ)およびCardholder Information Security(CISP)とMasterCardのSite Data Protection(SDP)プログラムを合わせて作られた ものである  この基準は強固なアカウントデータセキュリティのプ ロセスを構築するための実行可能なフレームワークを 提供するものである  PCI SSCの創立メンバーによって作られ、PCI SSCの立 ち上げと同時にPCI SSCのバージョン1.1が公開された
  • 8. 4. PCI DSS非準拠に対する罰金や罰則はど のようなものか  PCI DSS非準拠やセキュリティ事故に対する罰金や罰 則は、ペイメントカードブランド毎に定義されている  詳細情報は個別に問い合わせる必要がある  American Express – Data Security Operating Policy  DSOP http://www.americanexpress.com/datasecurity Email: American.Express.Data.Security@aexp.com  Discover - DISC  http://discovernetwork.com/fraudsecurity/disc.html Email: askdatasecurity@discover.com  JCB –JCB Data Security Program  http://partner.jcb.jp/security/jcbprogram/index.html Email: riskmanagement@jcbati.com  MasterCard – Site Data Protection (SDP)  http://www.mastercard.com/sdp Email: sdp@mastercard.com  Visa - Account Information Security (AIS) と Cardholder Information Security Program (CISP)  Visa AIS - Asia Pacific http://www.visa-asia.com/ap/sea/merchants/riskmgmt/ais.shtml  Visa AIS - Canada http://www.visa.ca/ais  Visa AIS - Central Europe, Middle East, & Africa http://www.visacemea.com/ac/ais/data_security.jsp Email: CemeaAIS@visa.com  Visa AIS - Europe http://www.visaeurope.com/aboutvisa/security/ais Email: datasecuritystandards@visa.com  Visa AIS - Latin America & Caribbean www.visalatam.com/ais Email: aislac@visa.com  Visa CISP - United States http://www.visa.com/cisp Email: cisp@visa.com
  • 9. 5. クレジットカード番号全桁をブラウザの ウィンドウに表示しても良いのか  PCI DSSの要件3.3では、全桁を見る必要が無い場合、 PANは(画面、ログ、レポート、レシートなどへの)表 示時にマスキングすることを要求しているが・・・  例えばカスタマーサービスなどでは、トランザクショ ン完了前に、正しい番号が入力されたことを検証する ことが、業務上どうしても必要かもしれない  そのようなケースでは、画面上のPANをマスキングす るかわりに、TTL(Time To Live)値もしくはWebページ のタイムアウトを設定するなどして、無期限にカード 番号が表示されることを避けるといった対応が必要  さらに、カード会員データを伝送するすべてのwebサ イトにおいて、PANを表示する画面ではSSLを有効にす るべきである ※訳注:「べき」とあるが必須と考えて良い
  • 10. 6. “加盟店(Merchant)”の定義とは  PCI DSSにおいては、加盟店とは、商品やサービスの支払 いに、PCI SSCのメンバーである5ブランドのいずれかの ロゴが記されてる支払い用カードを受け入れている(使 える)すべての事業体と定義される  ただし、加盟店として商品やサービスの支払いに支払い 用カードを受け入れている事業体でも、加盟店であると 同時にサービスプロバイダとなることも考えられる  商品やサービスを販売したとき、他の加盟店やサービスプロ バイダの代わりにカード会員データを補完、処理、伝送する ような場合がそれにあたる  例えばISP(インターネットサービスプロバイダ)は、月額費 用の支払いを受けるために加盟店となるが、顧客として加盟 店を抱えていれば、サービスプロバイダともなる
  • 11. 7. PCI Security Standards CouncilはPCI 準拠を要求/強制するのか  いいえ  PCI SSCは、ブランドそれぞれが持つコンプライアンスプ ログラムを上書きするようなことはしない  PCI SSCに参加しているどの事業体が準拠しなければなら ず、ブランド特有のプログラムの「義務化」をするのは 個々のペイメントブランドである
  • 12. 8. カード会員データやセンシティブ認証 データが含まれている音声の録音データ は、PCI DSSのスコープに含まれるか  本回答は、「カード会員データを音声データとして録音するコールセン ター」について明確化するもので、CAV2、CVC2、CVV2、CIDといっ たセキュリティコードの保管に関してのみ適用される  オーソリゼーション後のセンシティブ認証データの保存は、暗号化されて いようとも、PCI DSS要件3.2に違反することになるため、いかなる形式の デジタル音声データの場合も、CAV2、CVC2、CVV2、CIDコードを保管 してはならない  ただしこの考え方は、そのデータが「問合せできる(検索できる)」場合 にのみ当てはまる  「問合せできる」とは、「デジタル音声データに対して検索がかけられるよ うな複数のツールがある」ことを指す  データ要素の録音を防止するような技術が存在する場合、活用すべきである  問合せできない場合、セキュリティコードの保管は許容されるが、PCI DSS で定義されているその他の物理的保護や論理的保護は施さなければならない  上記の考え方は、地域や国において法律等で制限や要求があれば、それ を超えるものではない
  • 13. 9. 管理者はパスワードを共有しても良いか  PCI DSS要件8.5(および関連するサブ要件)はもちろん 管理者にも適用される。管理者はパスワードを共有し てはならない  この要件の意図は、一意のユーザIDと複雑なパスワー ドによりユーザを一意に識別することである  それは組織でアカウンタビリティを維持するためであ り、従業員毎の監査証跡を有効なものにするのに重要 である  これにより誤使用や不正使用があった時の問題解決の スピードを早めることができる  まず一意のユーザIDでログインし、その後suコマンド やsshでrootになる方法は、一意性を保つことができる ので許容される
  • 14. 10. カード番号をFAXしているような場 合、PCI DSSに準拠できるのか  カード会員データは、保存、処理、伝送される際はPCI DSSに従って保護されなけれ ばならない(が・・)  モデムを通じてFAXやEメールで送受信されるような場合は、「公共ネットワークを経 由している」と考えないで良い  FAXやEメールがインターネット越しのハイスピード接続等で送受信されのであれば、 「公共ネットワークを経由している」と考える必要があり、要件4.1や4.2に従って暗号 化が求められる  いずれの場合も、FAXやEメールで伝送されるカード会員データが電子的に保存される 場合、判読不能の状態にしなければならない(たとえば暗号化など)  要件3.2では、オーソリゼーション完了後のセンシティブ認証データ(磁気ストライ プデータ、CAV2、CVC2、CVV2、CID、PINブロック)の保存が禁止されている  保存が禁止されているデータをFAX受信時に保存しないためには、紙で保存する場合、 保管する紙は該当箇所を黒く潰すなどして保管し、FAXの通信で使われた元のデータは 復元できないようにシステムから削除すべきである  紙データについても、カード会員データを含むものはPCI DSS要件9.6〜9.10に従っ て保護すべきである ※訳注:「すべき」とあるが基本的には「する必要がある」  例えば要件9.6には次の記載がある「〜すべての媒体(コンピュータ、リムーバブル電 子メディア、紙の受領書、紙のレポート、FAX など)を物理的にセキュリティで保護 する〜」