PCI DSSとは

PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード業界のセキュリティ基準です。2018年の割賦販売法の改正により、クレジットカード情報を取り扱う会社は、PCI DSSの準拠が必須となります。

PCIDSSとは|日本カード情報セキュリティ協議会
http://www.jcdsc.org/pci_dss.php

PCI DSSのバージョン3.2では、カード情報を保護するため以下の12要件が定められています。そして、12要件を細分化した400以上の準拠すべき項目が、具体的に規定されています。

安全なネットワークの構築と維持
要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2:システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3:保存されたカード会員データを保護する
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5:アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6:安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8:コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9:カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11:セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12:すべての担当者の情報セキュリティポリシーを整備する

キーワードを整理して要約

私は、先月までクライアント企業様先でPCI DSSに関する業務支援を半年ほど行っておりました。PCI DSSは審査項目が非常に多く内容も多岐にわたるため、業務に就くにあたって要件と審査項目を個人的な視点で以下のように要約し、まずは全体像を把握することに努めました。折角なので、整理した内容を備忘録としてこのブログに残しておきたいと思います。

No. 分類 主なキーワード 項目数
要件1 ファイアウォール ACL
ネットワーク構成
37
要件2 サーバ、ソフト ソフトウェア一覧
Linux・Apache設定
34
要件3 データ保存、暗号化 (PANの)ファイル・ログ・DB保存
暗号化方式
47
要件4 インターネット https
TLS1.2以上
12
要件5 アンチウイルス アンチウイルス 11
要件6 開発 セキュアコーディング(SQLインジェクション等) 42
要件7 アクセス権 最小限のアクセス権
特権アカウント
11
要件8 アカウント 共有アカウントの禁止
パスワードポリシー
多要素認証
46
要件9 ファシリティ データセンター
監視カメラ
セキュリティカード
43
要件10 監査証跡 アクセスログ
NTP
(保管ログの)改ざん検知
45
要件11 脆弱性診断、ペンテスト 脆弱性診断
ペネトレーションテスト
(設定ファイルの)改ざん検知
35
要件12 ISMS 組織としてのセキュリティ統制
インシデント対応
52

いかがでしょう?少しはイメージが掴みやすくなったのではないでしょうか。

あくまで個人的な視点なのと、そもそも項目数が415もあるのですべてを網羅できているとは言い難いですが、何かの参考になれば幸いです。