クレカ決済を扱う事業者に求められるPCIコンプライアンスとは? 必要要件とチェック項目を解説
PCIコンプライアンスは、PCI DSS(編注:クレジットカード情報保護のためのペイメントカード業界におけるデータセキュリティ基準)に規定されている基本ルールに準拠しています。この規定では、クレジットカードを取り扱うベンダーが、カードデータを盗難や悪用から確実に保護するために、クレジットカードデータだけでなく自社のネットワークも管理する方法が定義されています。
誰がPCI DSSを開発しているのか?
PCI DSSは、PCI安全対策理事会によって開発されました。同会は、すべての主要クレジットカード会社(MasterCard、Visa、American Express、Discover、JCB)で構成され、クレジットカードを取り扱うすべての加盟店が同じセキュリティガイドラインに従えるように、プライバシーの基準を設定しています。
クレジットカードの利用件数が増えれば増えるほど、プライバシーに関するガイドラインは厳しくなります。
PCI DSS以前は、西部開拓時代のような状況で、販売者が独自の方法でクレジットカードのデータを管理するか、利用しているカード会社のルールに準じてデータを管理していました。安全対策理事会はカード会社にかかわらず、決済時、データ保管中のいずれにおいても、クレジットカードデータの保護方法の一貫性を確保するために作られました。
カード利用事業者に求められるPCI DSSとは? PCIコンプライアンスのチェックリスト
安全なネットワークとシステムにおけるプライバシーの構築と保守
- カードデータを保護するためのファイアウォールのインストールと保守
- ベンダーが提供するデフォルト機能をパスワードやその他のセキュリティ・パラメータに使用しない
- 保管中のカードデータの保護
- オープンなパブリック・ネットワーク経由で転送されるカードデータの暗号化
脆弱性管理プログラムの保守
- マルウェアからすべてのシステムを保護し、ウイルス対策ソフトウェアまたはプログラムを定期的にアップデートする
- 安全なシステムとアプリケーションの開発と保守
強力なアクセス制御とプライバシー対策の実装
- 必要な情報以外のカードデータへのアクセスを制限
- システム・コンポーネントへのアクセスの特定と認証
- カードデータへの物理的アクセスを定期モニタリングとテストにより制限する
- ネットワークリソースとカードデータへのすべてのアクセスを追跡し、モニタリングする
- セキュリティシステムとプロセスを定期的にテストする
情報セキュリティプライバシーポリシーの保守
- 全従業員を対象とした情報セキュリティポリシーの保守
加盟店によって違いはあるのか? PCIコンプライアンスのチェックリスト
はい、確かにあります。加盟店には4つのレベルがあり、それぞれが厳しいガイドラインに準拠し、PCI DSS要件を満たす必要があります。クレジットカードの利用件数が増えれば増えるほど、プライバシーに関するガイドラインは厳しくなります。
加盟店のレベルは以下のとおりです。
レベルごとに異なるPCIコンプライアンス要件はあるか?
はい、あります! レベル1、または情報漏洩があった加盟店は、認定セキュリティ評価機関(QSA)と連携する必要がありますが、レベル4の加盟店は、自己評価アンケートと呼ばれる書面を埋めるだけで済みます。
認定スキャンベンダー(ASV)と呼ばれる評価機関も存在します。ビジネス規模に関係なく、ほとんどの加盟店が対象システムに対して自動化された脆弱性診断ツールとウェブスキャナーを実行するために、これらの機関を利用しています。
「範囲内システム」とは?
「範囲内システム」とは、カードデータを保存、処理、転送する組織のネットワーク上のシステムを指します。通常、他のネットワークから分離されていて、企業がインフラストラクチャ全体の評価に時間とコストをかける必要がないようになっています。
残念ながら、一部の企業は「フラットな」ネットワークを構築しているため、カードデータが危険にさらされることのないよう、プリンタに至るまでのすべてのシステムを評価する必要があります。
基準に満たなかった場合の対処方法は?
もし組織が評価基準を満たせなかった場合、組織はQSAまたはASVによって検出された脆弱性を、再テストの前に修正する必要があります。場合によっては、修復時に複数のツールを使用して、最初に検出された問題が修正されたことを確認します。評価作業をお願いするQSAまたはASVによっては、このコストが非常に高くなる場合があります。
組織が問題を解決できなければ、消費者のクレジットカードの取り扱いができなくなる可能性があります。そうなれば組織にとって壊滅的な打撃になり、場合によっては会社を畳まざるを得なくなることさえあるのです。
組織が評価テストに合格すると、PCI認定を受けていることを証明する文書が発行され、それを銀行に提出するよう求められます。
企業が評価テストに合格するための方法とは?
評価テストで失敗しないためにできる常識的なことを、いくつかご紹介します。
- クレジットカードネットワークを他のネットワークから分離する
- 脆弱性診断ツールとウェブアプリケーションスキャンを繰り返し実行して、タイムリーに脆弱性が検出され、修正されていることを確認する
- 組織内でのクレジットカードデータの利用方法を規定するルールと手順を開発・実装して、カードデータが危険にさらされないようにする
- 評価を行うために適切なQSAまたはASVを選択する。PCI DSSは世界中に存在する評価機関のリストを管理しているので、あなたの地域でも見つけられるはずです
- 評価テストに不合格になる可能性のある脆弱性が発見された場合は、できるだけ早く修正する。再テストで合格する可能性を高め、クレジットカードの取り扱いを続けることができるようにする
- カード処理ネットワークシステムに影響を与える可能性のある脆弱性を監視し、最もリスクの高い脆弱性をできるだけ迅速に修正する
最後に
PCIに準拠した状態を維持することは困難な場合もありますが、克服できない課題ではありません。QSAでもASVでも、評価を受けるたびに一度で合格するためには、組織側の入念な努力が必要なのです。