Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る

PCIコンプライアンスの概要:要件、規格、ソリューション

ホーム 用語集 PCIコンプライアンス概要:要件、基準、ソリューション

あなたの会社がクレジットカードデータを扱っており、PCIコンプライアンス基準に従っていない場合、これらの規制が是正されないと大きな罰金を科される可能性があります。

PCIコンプライアンスとは何ですか?支払いカード業界のコンプライアンスは、PCIセキュリティ基準評議会によって作成された一連の要件であり、クレジットカードデータを扱うすべての企業が消費者情報を保護するために特定のルールに従うことを求めています。

PCIコンプライアンスとは?

PCIコンプライアンスは、クレジットカード情報を処理、保存、または送信する企業が安全な環境を維持することを保証するために設計された一連のセキュリティ基準です。これには、ファイアウォールの設置、暗号化、システムの定期的なテストなどのセキュリティ要件に従うことが求められます。これらの基準に従わないと、高額な罰金やその他のペナルティが科される可能性があります。

PCI DSS 4.0コンプライアンス:知っておくべき変更点

PCI DSS 4.0のリリースは、支払いカードデータのセキュリティを強化することを目的としたいくつかの重要な更新を導入しています。企業は、より厳格な暗号化プロトコルを実装し、多要素認証(MFA)をより広く採用する必要があります。

改訂された基準は、継続的な監視とテストを強調し、動的なリスク評価と緩和戦略を強化しています。これらの更新により、組織は最新のPCI基準に準拠するための強化されたガイドラインを見つけ、潜在的なデータ侵害に対する強固な保護を確保できます。これらの新しい要件を理解し、従うことは、PCI DSSコンプライアンスを維持し、機密性の高いクレジットカードデータを保護するために重要です。

PCIコンプライアンスの利点

PCIコンプライアンスに取り組む組織は、多くのビジネス上の利点を挙げています。以下はその一部です:

  1. 支払いカードデータのセキュリティ: PCI DSSの要件に従うことで、顧客の支払いカードデータをセキュリティの脅威や脆弱性から保護します。
  2. 顧客の信頼の向上: PCI DSSコンプライアンスを達成し維持することは、顧客の支払いカードデータを保護するための措置を講じていることを示し、顧客の信頼を高めます。
  3. 詐欺防止: PCIコンプライアンスは、犯罪者が支払いカードデータにアクセスするのを困難にすることで、詐欺のリスクを減少させます。
  4. 非コンプライアンスの罰金の削減: もしあなたのビジネスがPCI DSS基準に準拠していないと判断された場合、高額な罰金やペナルティを受ける可能性があります。積極的にPCIコンプライアンスを達成し維持することで、非コンプライアンスの罰金のリスクを減少させることができます。
  5. 効率の向上: PCI DSSの要件を採用し従うことで、支払いカードデータの取り扱いに関連するプロセスを合理化し改善することができます。

PCIコンプライアンス概要:要件、基準、ソリューション

PCIコンプライアンスの要件

PCIコンプライアンスを達成するための要件は多く、厳しいものですが、それでも達成可能です。以下は、あなたとあなたの組織がPCIコンプライアンスへの道を進むためのいくつかの重要な要件です:

  1. 安全なネットワークを確立する: すべてのカード会員データおよびその他の機密情報は、セキュリティの脅威から保護された安全なネットワーク環境に保持されなければなりません。これには、ファイアウォール、侵入検知システム、およびカード会員データを保護するために設計されたその他の対策が含まれます。
  2. 保存データを保護する: すべての保存されたカード会員データは暗号化され、安全な環境で維持されなければなりません。
  3. 脆弱性管理プログラムを維持する: 組織は、システムの脆弱性や弱点を特定し対処するためのプログラムを持っていなければなりません。これには、アンチウイルスおよびアンチマルウェアソフトウェアの定期的な更新、および特定された脆弱性に対処するためのセキュリティパッチの実装が含まれます。
  4. 強力なアクセス制御措置を実施する: カード会員データおよびその他の機密データへのアクセスは、業務を遂行するために必要な従業員にのみ制限されなければなりません。組織は、認証、認可、および従業員の活動の監視を含むアクセス制御のシステムを持っていなければなりません。
  5. ネットワークを定期的に監視しテストする: 組織は、すべてのネットワークトラフィックを監視し、セキュリティ対策を定期的にテストして、潜在的な脆弱性や弱点を特定しなければなりません。これには、すべてのシステムの内部および外部のスキャンを含め、無許可のアクセスを検出することが含まれます。
  6. 情報セキュリティポリシーを維持する: 組織は、セキュリティ対策と手順を概説した情報セキュリティポリシーを持っていなければなりません。すべての従業員および第三者プロバイダーは、このポリシーを理解し、その要件に従わなければなりません。
  7. コンプライアンスを確保する: 組織は、支払いカードセキュリティに関連するすべての適用法および規制に準拠していることを確認しなければなりません。これには、PCI DSS(支払いカード業界データセキュリティ基準)コンプライアンスが含まれます。

PCIコンプライアンスレベル:あなたのビジネスに適用されるものはどれですか?

あなたのビジネスに適したPCIコンプライアンスレベルを決定することは、クレジットカードデータを安全に取り扱うために必要なすべての基準を満たすために重要です。PCIセキュリティ基準評議会は、年間取引量に基づいて企業を4つのレベルに分類しています。各レベルの内訳は以下の通りです:

レベル1: このレベルは、すべてのチャネルで年間600万件以上の取引を処理する商人、またはデータ侵害を経験した商人に適用されます。このレベルでのPCIコンプライアンスには、資格のあるセキュリティアセッサー(QSA)によって実施される年間コンプライアンス報告書(ROC)または会社の役員によって署名された内部監査、および承認されたスキャンベンダー(ASV)による四半期ごとのネットワークスキャンが必要です。

レベル2: 年間100万から600万件の取引を処理する商人はこのカテゴリーに該当します。これらの企業は、年間自己評価質問票(SAQ)を完了し、ASVによる四半期ごとのネットワークスキャンを実施しなければなりません。さらに、コンプライアンスの証明書(AOC)を提出する必要があります。

レベル3: このレベルは、年間20,000から100万件のeコマース取引を行う商人に適用されます。レベル3の商人は、年間SAQを完了し、四半期ごとのASVスキャンを受け、レベル2と同様にAOCを提出する必要がありますが、特定の取引量と潜在的なリスク要因に合わせて調整されています。

レベル4: 年間20,000件未満のeコマース取引を処理する商人、または他のチャネルで最大100万件の取引を行う商人はレベル4に該当します。PCIコンプライアンス要件には、年間SAQ、四半期ごとのASVスキャン、およびAOCの提出が含まれます。小規模な企業は、SAQを利用してPCIコンプライアンスの状態を評価することができ、広範な外部監査を必要としないことが多いです。

適切なPCIコンプライアンスレベルを選択することは、顧客データを保護するだけでなく、非コンプライアンスによる高額な罰金やペナルティを回避するために重要です。

どのレベルに従う必要があるかに関係なく、すべてのレベルで共有される要件があります。これには、ファイアウォールの実装、暗号化、および最新のアンチウイルスソフトウェアの維持が含まれます。適切なレベルでビジネスがコンプライアンスを遵守することは、安心感を提供し、組織の評判を保護し、カード会員の支払い処理を中断なく行うことを保証し、潜在的な中断から運営を保護します。

誰があなたのPCIコンプライアンスレベルを評価しますか?

PCIコンプライアンスレベルを決定するには、いくつかの団体が関与し、ビジネスの特定の状況に応じて異なる形式の文書が必要になる場合があります。評価は、取引量が少ない小規模商人向けの自己評価質問票(SAQ)または取引量が多い大規模企業向けのコンプライアンス報告書(ROC)を通じて実施されることがあります。

ほとんどの中小企業にとって、SAQはビジネスがPCI DSS要件に準拠しているかどうかを自己評価するための手段です。このプロセスには、現在のセキュリティ慣行と改善が必要な領域を概説する一連の質問に回答することが含まれます。しかし、大規模な組織にとっては、包括的なROCが必要です。この報告書は、PCI DSS基準に準拠していることを評価し証明する資格のあるセキュリティアセッサー(QSA)によって完了されなければなりません。

これらの評価に加えて、コンプライアンスの証明書(AOC)が必要になる場合があります。これは、取得銀行によってしばしば要求されるコンプライアンスの正式な宣言です。承認されたスキャンベンダー(ASV)は、システムが安全であることを確認するためにネットワークの脆弱性スキャンを実施する重要な役割を果たします。

最後に、アメリカン・エキスプレス、ディスカバー、JCBインターナショナル、マスターカード、ビザなどの主要なクレジットカード会社によって設立されたPCIセキュリティ基準評議会がこれらの基準を監督し定義していることに注意することが重要です。彼らはPCI DSSを強制することはありません。コンプライアンスの強制は通常、クレジットカード会社と取得銀行によって処理されます。あなたのビジネスがPCI DSS要件を満たすことは、高額な罰金を回避するだけでなく、データ侵害からシステムを保護し、顧客の機密性の高いクレジットカード情報を保護します。

各レベルのPCIコンプライアンス:主要な戦略

PCIコンプライアンスを達成することは、組織の規模や取引量によって大きく異なる場合があります。PCIセキュリティ基準評議会は、商人を異なるレベルに分類し、それぞれに特定の要件があります。以下は、どのレベルでもPCIコンプライアンスを達成するために役立ついくつかの主要な戦略です:

  1. 商人レベルを理解する: 最初のステップは、あなたの組織がどの商人レベルに該当するかを特定することです。レベルは1から4まであり、レベル1は通常、年間600万件以上のカード取引を処理する企業に適用されます。あなたのレベルを知ることで、コンプライアンス義務の範囲を理解するのに役立ちます。
  2. ギャップ分析を実施する: 現在のセキュリティ慣行をPCI DSS要件と比較して詳細なギャップ分析を実施します。これにより、改善が必要な領域を特定し、コンプライアンスプロセスを導くことができます。
  3. SAQまたはROCを完了する: 商人レベルに応じて、自己評価質問票(SAQ)を完了するか、コンプライアンス報告書(ROC)を作成するための包括的な監査を受ける必要があります。レベル1の商人は通常、ROCが必要ですが、低いレベルではSAQのみが必要な場合があります。
  4. 安全なネットワークアーキテクチャを実装する: ファイアウォールの効果的な設定と管理を含む、安全なネットワークアーキテクチャを設計し維持します。これにより、クレジットカードデータが安全に送信および保存されることを保証し、PCIコンプライアンスの基盤を形成します。
  5. 暗号化とマスキング: 送信および保存中にすべてのカード会員データが暗号化で保護されていることを確認します。さらに、PCI DSSのガイドラインに従って、表示される際に機密認証データがマスクされていることを確認します。
  6. 定期的なテストと脆弱性スキャン: 承認されたスキャンベンダー(ASV)を雇い、ネットワークの定期的な脆弱性スキャンを実施します。システムとプロセスを定期的にテストして、セキュリティの脆弱性を特定し修正します。
  7. マルウェア保護のためのアンチウイルスと高度な脅威対策を使用する: アンチウイルス(AV)ソフトウェアを継続的に更新し、システム全体で強力な高度な脅威対策(ATP)を採用して、無許可のアクセスやデータ侵害を防ぎます。
  8. アクセス制御措置: データへのアクセスを業務を遂行するために必要な個人に限定するために、強力なアクセス制御を実施します。多要素認証(MFA)と定期的な監査を使用して、ユーザーの権限を効果的に管理します。
  9. 従業員のトレーニングと意識向上: 従業員にPCIコンプライアンス要件とデータセキュリティの重要性を教育します。定期的なセキュリティ意識向上トレーニングセッションは、すべての人がコンプライアンスを維持する上での役割を認識するのに役立ちます。
  10. 情報セキュリティポリシーを維持する: データ保護とPCI DSS要件のすべての側面に対処する包括的な情報セキュリティポリシーを開発し維持します。このポリシーは定期的にレビューされ、更新されるべきです。

    11. これらの主要な戦略に従うことで、組織はPCIコンプライアンスを達成し維持し、機密性の高いクレジットカードデータを保護し、アメリカン・エキスプレス、ディスカバー、JCBインターナショナル、マスターカード、ビザなどの支払いカードネットワークの期待に応えることができます。

    PCIコンプライアンスのコスト:予想される支出

    PCIコンプライアンスを確保することは、かなりのコストを伴う可能性がありますが、これらの費用は機密性の高いクレジットカードデータを保護し、重大なペナルティを回避するために必要です。PCIコンプライアンスに関連する財政的な支出は、いくつかの主要なカテゴリーに分けられます。

    まず、技術とインフラに関連するコストがあります。ファイアウォール、暗号化、アンチウイルスソフトウェアなどの強力なセキュリティ対策を実装するには、先進的なITシステムとツールへの投資が必要です。これらのシステムの定期的な更新とメンテナンスは、進化するセキュリティ脅威に先んじるために重要です。

    次に、評価と監査に関連する費用を考慮する必要があります。組織の規模と取引量に応じて、PCI DSSは商人を異なるレベルに分け、それぞれに報告と評価のための特定の要件があります。組織は、自己評価質問票(SAQ)を完了するか、資格のあるセキュリティアセッサー(QSA)によって実施されるより広範なコンプライアンス報告書(ROC)を受ける必要があるかもしれません。QSAを雇い、必要な文書を作成することは、かなりの費用を伴う可能性があります。

    さらに、コンプライアンスのコストには、承認されたスキャンベンダー(ASV)によって提供される外部サービスの料金が含まれます。これらのベンダーは、ネットワークのセキュリティスキャンを定期的に実施し、PCI DSS基準に継続的に準拠していることを確認します。

    トレーニングと教育もPCIコンプライアンスの重要な要素であり、すべての従業員がセキュリティプロトコルを理解し従うことを保証するためのスタッフトレーニングプログラムに関連する費用が発生します。これは、データ侵害につながる可能性のある人的エラーを最小限に抑えるために不可欠です。

    最後に、ビジネスは、新しいセキュリティ対策の実施中の運用の中断や、非コンプライアンスによる潜在的な罰金などの間接的なコストに直面する可能性があります。これらの罰金は、アメリカン・エキスプレス、ディスカバー、JCBインターナショナル、マスターカード、ビザなどのクレジットカード会社によって課される可能性があり、違反が迅速に対処されない場合、すぐに増加する可能性があります。

    全体として、PCIコンプライアンスを達成し維持するためにかかるコストはかなりのものですが、機密性の高い財務情報を保護し、データ侵害の深刻な結果を回避するという利点によって相殺されます。

    PCI非コンプライアンスのコスト

    上記のようなクレジットカードプロバイダーは、PCI要件を作成、更新、施行します。非コンプライアンスのペナルティもこれらの企業によって管理されます。PCIに準拠していないと判断された商人やプロセッサーに対して課されるペナルティの一部は以下の通りです:

  • 継続的な非コンプライアンス: ビジネスが年間に処理する取引量に基づいて、月額5,000ドルから100,000ドルの料金。
  • 取引手数料の増加: 高リスクの商人やプロセッサーは、非コンプライアンスや侵害の脅威に基づいて取引手数料が増加する可能性があります。
  • 商人アカウントの喪失: 非コンプライアンスに関連する侵害、盗難、詐欺の深刻なケースでは、クレジットカード会社は組織の取引処理能力を取り消すことができます。

これらのペナルティは、直接的にはPCI DSSに関連しています。非コンプライアンスに関連する侵害は、州検事総長による訴訟や集団訴訟の一環として訴えられた場合、ビジネスに法的責任を負わせる可能性もあります。

Kiteworksは商人がPCI DSSコンプライアンスを達成し維持するのを支援します

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアなファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTPマネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がファイルを管理し、保護し、追跡することを可能にします。

Kiteworksプラットフォームは、PCI DSS 4.0を含むさまざまなコンプライアンス基準と義務を満たすために組織によって使用されています。

FIPS 140-2認証の暗号化は、Kiteworksプラットフォームのセキュリティを強化し、支払いカード情報のような機密データを扱う組織に適しています。さらに、エンドユーザーと管理者の活動はログに記録され、アクセス可能であり、ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視することを要求するPCI DSS 4.0コンプライアンスにとって重要です。

Kiteworksは、フォルダーの所有者によって指定された権限に基づいて、すべてのフォルダーへの異なるレベルのアクセスを提供します。この機能は、PCI DSS 4.0の主要な要件である強力なアクセス制御措置の実施に役立ちます。

Kiteworksの展開オプションには、オンプレミス、ホスト型、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密性の高いコンテンツへのアクセスを制御し、自動化されたエンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャの統合を使用して外部に共有される際に保護し、誰が何を誰に、いつ、どのように送信するかをすべてのファイル活動を確認、追跡、報告します。最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や基準に準拠していることを証明します。

KiteworksとPCI DSS 4.0コンプライアンスについて詳しく知るには、カスタムデモをスケジュールしてください。

 

リスク&コンプライアンス用語集に戻る

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談
Share
Tweet
Share
Explore Kiteworks