PCI DSS: クレジットカードコンプライアンス

あなたのビジネスがクレジットカード取引を扱っており、PCI DSSに準拠していない場合、法的な影響を避けるために読み続ける必要があります。

PCI DSSは、Payment Card Industry Data Security Standard（支払いカード業界データセキュリティ基準）です。これは、クレジットカード取引をビジネスで扱うために、加盟店が特定の基準を満たすことを要求することで、クレジットカードユーザーを保護します。

PCI DSSコンプライアンスとは何ですか？

Payment Card Industry Data Security Standard（PCI DSS）は、Payment Card Industry Security Standards Councilによって策定、公開、管理されている情報セキュリティフレームワークです。PCI DSSは、クレジットカード取引やその他のカードベースの支払い（クレジットバックデビットカード、オンライン購入など）に関するセキュリティを明確に規定しています。

アメリカン・エキスプレス、ディスカバー・ファイナンシャル・サービス、JCBインターナショナル、ビザ、マスターカードによって形成されたPCI協議会は、進化する支払い処理業界における情報セキュリティを管理しています。

クレジットカードやオンライン支払いが過去数十年で標準となったため、PCI協議会は、加盟店や支払い処理業者が顧客データを保護し、盗難や詐欺を防ぎ、クレジットカード支払い処理に対する消費者の信頼を維持するために導入できる技術的およびコンプライアンスの保護策に対処するために設立されました。

PCI DSSは、支払いを処理するための法的要件ではありません。代わりに、主要なクレジットカードプロバイダーの要請によりPCI協議会によって導入されています。これらのプロバイダーは支払いネットワークを管理し、加盟店や支払い処理業者がこれらのネットワークを使用するために満たすべき要件に対する権限を持っています。PCI DSSに従わない加盟店やその他の処理業者は、ますます厳しい罰則を受けるか、クレジットカードを支払いとして受け入れる能力を完全に失う可能性があります。

PCI DSS 4.0コンプライアンス: 新しい点

PCI DSS 4.0は、カード支払いを扱うビジネスにとってクレジットカードコンプライアンスに影響を与える重要な変更を導入します。更新された基準は、より柔軟でカスタマイズされたアプローチを強調し、組織が特定の環境に基づいてセキュリティ対策を調整できるようにします。また、クレジットカード処理のセキュリティを強化するために、多要素認証、暗号化、システムの継続的な監視の要件を強化しています。

さらに、PCI DSS 4.0は、堅牢な支払いカードコンプライアンスを確保するために、脆弱性スキャンやペネトレーションテストを含む、より厳格なテスト手順を義務付けています。PCI DSSに準拠し続けることを目指す企業は、これらの新しいガイドラインに精通し、カードホルダーデータを効果的に保護し、非準拠に関連する厳しい罰則を回避する必要があります。

PCIレベルとは何ですか？監査にどのように影響しますか？

クレジットカード支払いを受け入れることを期待するすべての加盟店や支払い処理業者は、コンプライアンスを示すコンプライアンスレポートを持っている必要があります。コンプライアンスレポートは、コンプライアンス監査を通じて毎年必要です。監査は、内部またはPCI協議会によって登録および認定された認定セキュリティ評価者（QSA）によって実施される調査です。企業が第三者監査を受けるか、内部監査を受けるかは、PCIメトリクスに基づく組織の評価によります。

4つのコンプライアンスレベルは、年間に公開される取引量に基づいており、以下の通りです：

• レベル4: 最低レベルで、レベル4の加盟店は年間20,000件未満の取引を処理します。
• レベル3: この段階では、加盟店は年間20,000件から100万件の取引を処理します。
• レベル2: レベル2では、加盟店は年間100万件から600万件の取引を処理します。
• レベル1: 最大の小売業者および加盟店で、レベル1は年間600万件以上の取引を処理する加盟店に適用されます。

レベル1の加盟店は、QSAによる第三者評価を受ける必要があります。しかし、レベル2、3、4の加盟店は、自己評価質問票と共に自己評価を完了することができます。セキュリティ侵害を受けたレベル3以上の加盟店は、一時的により高いレベルの要件を満たす必要があるかもしれません。

PCI DSSの12の要件とは何ですか？

コンプライアンスの核心は、12の主要な要件の遵守です。これらの要件は以下の通りです：

1. ファイアウォールの使用: ITの境界には、セキュリティファイアウォールが適切に設置され、不正アクセスを防ぐ必要があります。コンプライアンスには、加盟店と処理業者がファイアウォールを実装し、維持することが求められます。
2. パスワード保護: 組織は、IDおよびアクセス管理や安全なアクセスツールを使用して、ユーザーがインフラストラクチャとどのようにやり取りするかを制御する必要があります。これには、パスワードの保護と、正式な役割ベースのアクセス制御の実装が含まれます。
3. カードホルダーデータの保護: 組織は、暗号化と暗号技術を使用して、ユーザーデータを転送中および保存中に保護する必要があります。 
4. 送信データの暗号化: 特に、加盟店はネットワークを介して送信される支払い情報を暗号化し、データを未知の場所に送信してはなりません。
5. アンチマルウェアソフトウェアの使用: アンチマルウェアソフトウェアはどのシナリオでも使用するのが良いですが、PCI DSSは支払いデバイス、POSシステム、または支払い情報や顧客情報を含むインフラストラクチャにアンチマルウェアを要求します。
6. 適切に更新されたソフトウェア: ファイアウォール、アンチマルウェア、およびその他のシステムソフトウェアやファームウェアは定期的に更新される必要があります。
7. データアクセスの制限: 加盟店は、不正なデータアクセスに対する論理的な制限を持つ必要があります。これには、組織外からのアクセス制限と内部でのセグメント化されたアクセスが含まれます。
8. ユニークなアクセスID: 支払い情報にアクセスするユーザーは、認証、承認、および監視のために使用されるユニークで安全なIDを持つ必要があります。
9. 物理的アクセスの制限: デジタルアクセスの制限に加えて、コンプライアンスは支払い情報を含むシステムへの物理的アクセスを監視し、制限することも期待しています。これには、データセンターやワークステーションのセキュリティ、すべてのデバイスへのアクセスの監視、カメラやセキュリティキーパッドを使用して責任を維持することが含まれます。
10. アクセスログの維持: 支払い情報とのやり取りには、システムまたは上位者からの許可が含まれるべきです。しかし、PCI DSSは、データアクセスを含むすべてのユーザーイベントを追跡するためのログ管理ツールを実装することを企業に要求しています。
11. 脆弱性スキャンとペネトレーションテストの実施: コンプライアンスには、弱点を見つけ出すための定期的な脆弱性スキャンとペネトレーションテストが含まれます。
12. 文書化の使用: コンプライアントなビジネスは、ログ管理ツールを持っているかもしれませんが、文書化ポリシーも持っている必要があります。これには、コンプライアンス、アップグレード、故障に関するポリシーと手順の文書化が含まれます。

PCI DSS非準拠の罰則とは何ですか？

PCI DSSはビジネスを行うための法的要件ではないことに注意してください。しかし、クレジットカード支払いを受け入れるための要件です。

PCI DSSの罰則自体は公開されていませんが、非準拠（特に非準拠から生じる侵害）は重い罰金をもたらす可能性があります。

罰則には以下が含まれる可能性があります：

• 繰り返しの違反に対する月額5,000ドルから100,000ドルの罰金。大規模なレベル1の加盟店で重大な問題がある場合、より厳しい監視と高い罰則が課される可能性があります。 
• 加盟店アカウントへのダメージ。ビジネスは、より高い手数料やリスクプロファイルの難しさのために、クレジットカード支払いを受け入れ続けることが難しいまたは高価になる可能性があります。
• 支払い処理の停止または喪失。カード会社は、規制違反が特権の完全な喪失に値するほど深刻であると判断することができます。

PCI DSSコンプライアンスの利点とベストプラクティスとは何ですか？

コンプライアンスを達成または維持するために取り組んでいる加盟店は、いくつかのベストプラクティスに従うことができます：

• 支払い処理にPCI準拠のベンダーを使用する: ビジネスが自社で処理を行わずに商品やサービスを販売する場合、最初のステップとして準拠したプロバイダーと協力することが最善です。SquareやPayPalのようなプロバイダーは、小規模なビジネスにもシンプルで安全な支払い処理を提供できます。
• PCI準拠のファイル共有とストレージを使用する: 自社で支払い処理を行う企業は、準拠したファイル共有サービスを使用することをお勧めします。準拠したドキュメント管理サービス、PCI準拠のマネージドファイル転送やセキュアファイル転送プロトコル、セキュアメールなどのファイル転送機能を提供するベンダーは、コンプライアンスを簡素化し、ビジネスおよびITリーダーがより重要なことに集中できるようにします。
• コンプライアンスに関するトレーニングと教育を含める: 残念ながら、ほとんどのセキュリティおよびコンプライアンスシステムの最も弱いリンクは人間であり、これは主にプロトコルの理解不足によるものです。コンプライアントなビジネスは、チームメンバーをサポートし、組織を規制内に保つ方法を教えるために、徹底的で完全かつ進化する教育プログラムを持つ必要があります。
• 定期的なセキュリティテストと監視を維持する: 顧客のクレジットデータを扱うビジネスは、保存または処理のために、定期的なテストプログラムを持つ必要があります。これには、継続的な監視、脆弱性スキャン、およびペネトレーションテストが含まれます。最低でも年次テストは、コンプライアンスをサポートできます。

PCI DSS 4.0コンプライアンスを見据えて

多くの組織はコンプライアンスの責任を負っていないと考えていますが、クレジットカード支払いが主流であるオンラインショッピングやeコマースの増加により、ますます多くの組織がPCI要件について学ぶようになっています。

PCI DSS 4.0コンプライアンスとクラウド技術がどのようにPCI DSSコンプライアンスの取り組みをサポートできるかについてもっと知りたい場合は、Kiteworksプラットフォームの短いデモにサインアップして、すべてのコンテンツ通信を統合、追跡、制御、保護する方法を学んでください。

 

リスク＆コンプライアンス用語集に戻る