PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員の情報を保護するために定められた国際的なセキュリティ基準です。2004年にAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定され、現在はこれらの企業が共同設立したPCI Security Standards Council(PCI SSC)によって運営・管理されています。
背景と目的
PCI DSSは、クレジットカード情報の漏洩や不正利用を防ぐために策定されました。インターネットの普及に伴い、ECサイトなどでの決済が増加し、サイバー攻撃も巧妙化してきたため、統一的なセキュリティ基準が必要とされました。
要件
PCI DSSは、6つの目標とそれに対応する12の要件から構成されています:
- 安全なネットワークとシステムの構築と維持
- ファイアウォールのインストールと維持
- デフォルトのパスワードやセキュリティ設定の変更
- カード会員データの保護
- 保存されるカード会員データの保護
- 公共ネットワーク経由でのデータ伝送時の暗号化
- 脆弱性管理プログラムの整備
- マルウェア対策とウィルス対策ソフトの定期更新
- 安全なシステムとアプリケーションの開発と保守
- 強力なアクセス制御手法の導入
- データアクセスの制限
- システムコンポーネントへのアクセスの識別と認証
- ネットワークの定期的な監視およびテスト
- ネットワークリソースとデータアクセスの監視
- セキュリティシステムとプロセスの定期的なテスト
- 情報セキュリティポリシーの整備
- 情報セキュリティに関するポリシーの策定と実施
認証取得の方法
PCI DSSの認証を取得するためには、以下の方法があります:
- 訪問審査:認定された審査機関(QSA)による訪問審査。
- ネットワークスキャン:認定スキャニングベンダー(ASV)による外部ネットワークシステムの脆弱性スキャン。
- 自己問診:自己評価による準拠度の評価。
重要性
PCI DSSに準拠することで、クレジットカード情報の漏洩リスクを低減し、顧客の信頼を得ることができます。また、セキュリティ基準に準拠することで、企業価値やブランド力の向上にも繋がります。
