何らかの方法でクレジットカードの支払いを受け付けている組織は、PCI DSS コンプライアンスが求められます。顧客やパートナー会社のクレジットカード情報を保護する上で非常に重要なステップであり、データ侵害発生に起因する様々な弊害を避けるためにも必要なステップです。
PCI DSS に関してはいろいろな誤解があり、それについては別ブログに概説があります。今回のブログでは、PCI DSS とは何か、規制がさまざまな規模のビジネスにどのように影響するか、そして、PCI DSS の12のルールについて説明します。
PCI DSS とは何か?
よく PCI と略称される PCI DSS(Payment Card Industry Data Security Standard)は、ペイメントカード業界セキュリティスタンダード協議会 (PCI Security Standards Council、PCI SSC) が定めるクレジットカード処理に関する一連のセキュリティ基準であり、クレジットカードデータを収集、転送、保存、処理する企業が安全な環境を維持するために必要とされています。PCI SSC は2004年に主要なクレジットカードブランド(Visa、MasterCard、American Express、Discover、JCB)によって設立され、その年の12月に PCI DSS 1.0 が規定されました。
それ以降、基準の更新は8回行われ、現バージョンは PCI DSS 3.2.1 になっています。
コンプライアンス要件はビジネスの規模に依存
個々のビジネスに適用される要件を決定するために、PCI SSC は、ビジネスを規模とリスクで分類して4レベルのシステムを作成しました。レベルは、企業が一年間に行うクレジットカード・トランザクションの総数に基づいており、レベル4が最低レベル、レベル1が最高レベルです。
おおむね、中小企業はレベル4に属し、レベル1は Amazon や Walmart などの大規模な多国籍小売業者が対象になります。ただし、データ侵害があった組織は、年間トランザクションの総数に関係なく、レベル1が適用されます。
4つのレベルの内訳は次のとおりです。
レベル 1: 年間6,000,000を超えるトランザクションがある企業、または過去にデータが侵害された企業
レベル 2: 年間150,000から6,000,000のトランザクションがある企業
レベル 3: 年間20,000から150,000のトランザクションがある企業
レベル 4: トランザクションが年間20,000未満の企業
また、PCI SSC は、e-コマーストランザクションを対面トランザクションよりもリスクが高いと見なしているため、より高い PCI コンプライアンスレベルのためには、e-コマーストランザクションが少ないことも要件になります。
PCI DSS コンプライアンスの12の基本ルール
PCI データセキュリティ基準は、次の6つの目標を達成するために12の基本ルールを設けています。
- 安全なネットワークの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの維持
- 強力なアクセスコントロール手段の実装
- ネットワークの定期的な監視とテスト
- 情報セキュリティポリシーの維持
これらの目標を達成し、PCI DSS に準拠するための12のルールは、以下の通りです。
- カード会員データを保護するためにファイアウォールを構築して維持管理する。これは、保護されていないネットワークにカード会員データを保存できないことを意味します。単にファイアウォールを持っているだけでは、基準を満たしません。適切な手順を実行し、ファイアウォールが適切に設定されていることを確認する必要があります。
- システムのパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しない。自明なことであっても、わざわざ指摘しておかなければならない事情があることは嘆かわしいです。いかなる状況においても、デフォルトのパスワードは使用しないでください。
- 保存されたカード会員データを保護する。このルールは、ネットワークに保存されているカード会員データを保護する必要があることを規定しています。通常、上記のファイアウォールのような境界防御と、ネットワークに保存されているカード会員データの暗号化を意味します。
- オープンなパブリックネットワークを介したカード会員データの送信を暗号化する。保存中のカード会員データを暗号化する必要があるのと同様に、転送中データも暗号化する必要があります。オープンなパブリックネットワークを介して送信する場合、安全でない FTP サーバーなどを使えば特に、データは非常に脆弱になります。カード会員データを安全に、コンプライアンスを満たして転送するには、セキュアなファイル転送ツールを使うのがベストです。
- ウイルス対策ソフトウェアやプログラムを使用し、定期的に更新する。このルールは、定期的に更新されるウイルス対策プログラムをインストールして維持する必要があることを規定しています。
- 安全なシステムとアプリケーションを開発して維持管理する。重要なセキュリティパッチを常に把握して、システムにパッチを適用する必要があることを意味するルールです。
- カード会員データへのアクセスを知る必要のある場合のみに限定する。カード会員データへのアクセスは、職務の遂行に必要な範囲でのみ許可され、必要がなくなったら取り消される必要があります。
- コンピュータにアクセスできる各ユーザーに一意のIDを割り当てる。カード会員データへのアクセス権を持つユーザーは、一意に識別可能なアクセス方法を持っている必要があり、パスワードまたは多要素認証によってアクセスの各インスタンスを適切に検証する必要があります。
- カード会員データへの物理的アクセスを制限する。この要件には、カード会員データへのアクセスを制限するために使用されるすべての物理的方法が含まれます。この要件を満たすための方法は、クイックリファレンスガイドにリストされています。
- ネットワークリソースとカード会員データへのすべてのアクセスを追跡し監視する。ログを生成し、セキュリティシステムの障害を検出および報告できるネットワーク監視システムを設置する必要があるだけでなく、重要なシステムへのすべてのアクセスを追跡し、そのアクセスを監査できる必要があります。
- セキュリティシステムとプロセスを定期的にテストする。ネットワークの脆弱性を定期的にスキャンする必要があり、企業のリスクレベルによってはペネトレーションも必要になります。
- 社員と請負業者の情報セキュリティに対処するポリシーを維持する。企業内のすべての人に適用される情報セキュリティポリシーを保持して徹底する必要があります。
なぜコンプライアンスを満たさなければならないか
PCI DSS は法律ではないので、PCI コンプライアンス違反が直接罰金の対象となることはありません。ですが、コンプライアンス違反の結果として、連邦規制への違反と同じくらい深刻な悪影響があります。
PCI DSS を遵守しないということは、データ侵害への脆弱性が高いということであり、データ侵害が発生すれば罰金の対象になり得ます。また、クレジットカード会社とのパートナーシップが終了する可能性もないとは言えません。