TOPセキュリティ > カード業界のセキュリティ基準、PCI DSSの概要(中)

セキュリティ

カード業界のセキュリティ基準、PCI DSSの概要(中)

2020/08/19

Josh Fruhlinger CSO

 その中には、PCI DSSの罰金の不明瞭な部分が脚光を浴びたケースもある。2012年には、米ユタ州でレストランを経営するStephen McComb氏とCissy McComb氏が、証拠もなしにセキュリティの不備の責任を負わされたと主張し、決済業者が銀行口座の1万ドルを罰金として不当に没収したと訴えた。また2013年には、米テネシー州の小売企業Genescoが、大規模なデータ侵害の後でPCI DSS違反の罰金として科された1300万ドルを不服とする裁判を起こし、最終的に900万ドルを取り戻した。

 こうした事例もあるものの、大半の加盟店は、罰金を払わなくて済むようにPCI DSSを遵守する道を選ぶ。PCI DSSの基準には何が定められているのか、要件を見ていくことにしよう。

PCI DSSの要件

 PCI DSSには、12項目の基本要件がある。

1:カード会員のデータを守るために、ファイアウォールを導入し、構成を維持する
2:システムのパスワードやその他のセキュリティパラメーターには、ベンダーが定めたデフォルト値は使わない
3:保存しているカード会員のデータを保護する
4:オープンなパブリックネットワークで転送するカード会員データを暗号化する
5:ウイルス対策ソフトウエアを使用し、定期的に更新する
6:セキュアなシステムやアプリケーションを開発し保守する
7:カード会員データへのアクセスは業務上の必要最小限に制限する
8:コンピューターにアクセスする一人ひとりに、それぞれ異なるIDを割り当てる
9:カード会員データへの物理アクセスを制限する
10:ネットワークリソースやカード会員データへのすべてのアクセスを追跡し監視する
11:セキュリティのシステムやプロセスを定期的にテストする
12:情報セキュリティに関するポリシーを保持する

翻訳:内山卓則=ニューズフロント

↑ページ先頭へ