エミリー・リチュソ | タレス社、シニア プロダクト マーケティング マネージャー
ペイメントカード情報を保存、処理、送信するあらゆるビジネスにとって、ペイメントカード業界データセキュリティ基準 (PCI DSS) に準拠することは不可欠です。消費者の支払いデータは、IT セキュリティ防御を回避し続ける犯罪者にとって魅力的な標的です。事実、主要な金融機関、小売業者、および多くの決済処理業者がデータ侵害の被害に遭い、経済的損害と風評被害の両方を被っています。
2022 年タレス データ脅威レポート – 金融サービス編によると、米国の金融サービス機関の52%が過去にデータ侵害を経験したと報告しています。さらに憂慮すべきことに、43%が昨年のサイバー攻撃の量、重大度、範囲が増加したと報告しています。さらに、IBMの2023年データ侵害のコストに関する調査レポートでは、データ侵害の平均コストに関して金融サービスが業界トップで、その額は590万ドルであり、ヘルスケアに次いで2位となっていることが示されています。
PCI DSS 4.0 遵守期限間近
PCI データ セキュリティ標準 (PCI DSS) は、カード所有者データと機密認証データが保存、処理、送信される場所に関係なく保護するために、ペイメントカードデータを処理する企業が実施する必要があるセキュリティ管理を標準化するために 2008 年に開発されました。標準の新バージョンである PCI DSS 4.0 は 2022 年 3 月 31 日にリリースされ、企業はいつの間にか2024 年 3 月 31 日のコンプライアンス遵守期限を迎えることになります。言い換えれば、改訂された基準に完全に準拠するまであと 7 か月しかないということです。
新しいバージョンには多くの更新が含まれており、詳細は変更点の概要で確認することができます。このブログでは、2 つの要件に焦点を当て、タレスのデータセキュリティプラットフォーム「CipherTrust Data Security Platform」ソリューションが企業のコンプライアンス遵守の合理化や効率化にどのように役立つかを示します。
要件 3: 保存されたアカウントデータを保護する
カード会員データを受け入れ、処理するエンティティは、カード会員データがローカルに保存されているか、社内のプライベートまたは外部のパブリックネットワークを介してリモートサーバーやサービスプロバイダーに送信されているかに関係なく、データを保護し、不正な公開や使用を防止することが期待されています。
要件 3.2 では、データの保存と廃棄のポリシー、手順、プロセスを実装することにより、アカウントデータの保存を最小限に抑えることが義務付けられています。これらのポリシーでは、法的およびビジネス上の要件を満たすために、データストレージのボリュームと保存期間の削減を絶対最小限に強制する必要があります。このデータを保存する必要がなくなった場合、組織は安全な削除プロセスを確立し、データを回復不可能にする必要があります。
安全なデータストレージは、暗号化とキー管理に密接に関連しています。データ保持期間の終了後は、データがどこに保存されているか、バックアップされているか、移行されているかに関係なく、暗号化キーを破棄し、すべてのデータ インスタンスをデジタル的にシュレッドする必要があります。制御とテクノロジーを使用してアカウントデータの保存を最小限に抑えるデータセキュリティプログラムを確立するには、組織はまず機密データがどこに存在するかを把握する必要があります。
データの検出と分類が可能なタレスのCipherTrust Data Discovery and Classificationは、組織が修復に優先順位を付けるために、複数のクラウドプラットフォームや従来のデータストア全体で規制対象の構造化データと非構造化データを効率的に見つけ出すことができます。
要件 3.4.1 および 3.5.1 では、プライマリアカウント番号 (PAN) が表示されるときにマスクされる必要があります。銀行識別番号 (BIN) と最後の 4 桁が表示される最大桁数です。コンピュータ画面、支払いカードの領収書、紙のレポートなどに完全な PAN が表示されると、このデータが権限のない個人によって取得され、不正に使用される可能性があります。完全な PAN が正当なビジネス ニーズを持つユーザーにのみ表示されるようにすることで、権限のないユーザーが PAN データにアクセスするリスクを最小限に抑えます。
タレスの暗号化ソリューションCipherTrust Tokenizationには、ユーザーの役割に応じていくつかの動的データ マスキングオプションが含まれています。セキュリティ管理者は、フィールド全体をトークン化して返すか、フィールドの一部を動的にマスクするポリシーを確立できます。たとえば、セキュリティチームは、顧客サービス担当者の資格情報を持つユーザーには下 4 桁が表示されたクレジットカード番号のみを受け取り、顧客サービス監督者は完全なクレジット カード番号に平文でアクセスできるようにポリシーを確立できます。
要件 12: 組織のポリシーとプログラムによる情報セキュリティのサポート
組織の全体的な情報セキュリティポリシーは、ビジネス全体の方針を決定し、従業員に何が期待されているかを通知します。すべてのスタッフは、カード会員データの機密性とそれを保護する責任を認識する必要があります。
要件 12.5 では、PCI DSS の範囲が少なくとも 12ヶ月に 1 回、およびカード会員データ環境 (CDE) の大幅な変更時に組織によって文書化および確認されることがさらに詳しく規定されています。変化するビジネスとリスクの状況にポリシーと手順を適応させることが必要です。少なくとも、範囲の評価と検証には、さまざまな支払い段階と受け入れチャネルのすべてのデータフローを特定することが含まれる必要があります。
CipherTrust Data Discovery and Classificationは、プライマリアカウント番号 (PAN) を含む、PII (個人を特定できる情報) のすべてのソースと場所の特定を容易にします。このソリューションは、定義された CDE の外部のシステムおよびネットワーク上、または定義された環境内の予期しない場所に存在する PAN を検索することもできます。このソリューションにより、企業はすべての保管場所にわたる構造化データと非構造化規制データを効率的に見つけることができるようになり、不一致の修正に関してより適切かつ優先順位を付けた意思決定が可能になります。
タレスのデータ保護ソリューションで PCI DSS 4.0 への準備をしましょう
これらは、注目に値する PCI DSS 4.0 要件の 2 つだけです。要件の完全なリストと、2024 年 3 月 31 日の期限に間に合うようにコンプライアンスまでの時間を短縮するためにタレスのデータ保護ソリューションがどのように役立つかについては、当社のホワイトペーパーをご覧ください。