PCI DSS 4.0 (ペイメントカード業界データセキュリティ基準)

PCI DSSとは？

PCI DSS（ペイメントカード業界データセキュリティ基準）は、ペイメントカードのアカウントデータのセキュリティを推進および強化し、一貫したデータセキュリティ基準の幅広い採用をグローバルに促進するために策定されました。PCI DSS は、アカウントデータの保護を目的とする技術要件と運用要件のベースラインとして利用できます。12の主要要件は、6つの重要な原則を表しています。

PCI DSS 4.0はいつ有効になるか？

PCI DSS v3.2.1は、v4.0が公開された後も2年間有効です。この間に、組織は新バージョンについてよく理解し、必要な変更を計画し実施します。実施スケジュールは下図をご覧ください。

[図1: PCI DSS 4.0の実施スケジュール。出典:PCI SSC]
 

PCI DSSの監査とコンプライアンスに関連するリスク

• PCI DSSコンプライアンス要件に準拠しない場合、罰金、手数料の増加、さらにはペイメントカード取引の処理資格の停止につながる可能性があります。
• PCI DSS への準拠は単独で考えることはできません。組織はさまざまなセキュリティ義務や、データ保護およびプライバシーに関する法律や規制の対象となります。一方で、PCIコンプライアンスプロジェクトは、より広範なエンタープライズセキュリティの取り組みによって容易に脇道にそれる可能性があります。
• PCI DSS 要件に関連するガイダンスや推奨事項には、すでに実施されている可能性が高い一般的な慣行が含まれています。しかし、特に暗号化や多要素認証に関連するものなど、一部は組織にとって新たに対応する必要がある可能性があり、正しく設計されていない場合は実装に際して混乱が生じ、運用効率に悪影響を及ぼす恐れがあります。
• 運用が複雑で費用のかかる複数の独自ベンダーソリューションや、不十分なテクノロジーを使用すると、いとも簡単にセキュリティへのアプローチが断片的になってしまいます。
• PCI DSSコンプライアンス義務の範囲を縮小し、コストを削減して影響を軽減することは可能です。しかし、新しいシステムとプロセスがPCI DSSに準拠していると認定されるように注意義務を尽くさなければ、時間と費用を無駄にすることになります。

統合コンプライアンスソリューション

タレスは、銀行や金融機関が業界の要件に準拠できるように支援してきた数十年の経験を活かして、保存されたカード会員データを保護し、伝送用に暗号化し、必要に応じてアクセスを制限できるようにする統合製品・サービスを提供しています。さらに、タレスはパートナーと緊密に連携し、PCI DSSコンプライアンス準拠の対象範囲を縮小できる包括的なソリューションを提供しています。

PCI DSSのコア原則に対応

タレスは、PCI DSSのコア原則への対応をサポートする、包括的なPCI DSSコンプライアンスソフトウェアソリューションを提供しています。

• 保存されたカード会員データを保護する: タレスの CipherTrust Manager と Luna Hardware Security Modules (HSMs)は、オンプレミスや、タレスのData Protection Luna Cloud HSMサービスとしてのクラウドでの利用、ハイブリッド 環境での利用が可能で、これにより組織は暗号操作の実行や暗号化の一元管理を行い、さまざまな暗号化、トークン化、データマスキングソリューションを使用して、従来型環境でも、クラウドや仮想化環境でもファイル、フォルダ、アプリケーション、データベース内のカード会員データを保護することができます。
• オープンな公共ネットワークでの伝送時に、強力な暗号化技術でカード会員データを保護する: タレス の高速ネットワーク暗号化（HSE） は、オープンなネットワークを通過するカード会員データやその他の機密データを暗号化します。
• 安全なシステムとソフトウェアを開発し、保守する: タレスのLuna HSM と Luna Cloud HSMs を使用すると、署名マテリアルを信頼できるハードウェアデバイスに安全に保存できるため、アプリケーションコードの信頼性と完全性を確保できます。
• システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な範囲内に制限する: SafeNet Trusted Access を使用すると、一意のユーザーID、リスクベースの認証ポリシーを一元管理し、カード会員データ環境（CDE）内のシステムへのアクセスを追加したり取り消したりすることができます。SafeNet Trusted Accessは、多様なユーザーやユーザータイプのニーズに対応する、強力で拡張性のある先進認証機能を提供します。
• ユーザーを識別してシステムコンポーネントへのアクセスを認証する: タレスの SafeNet Trusted Access は、各ユーザーに一意の資格情報を割り当てることを保証します。SafeNet Trusted Accessは、非常に幅広い認証方式とフォームファクタをサポートしており、一元管理される統一されたポリシーによって、多様なユースケース、保証レベル、脅威ベクトルに対処できます。これは、1つの認証バックエンドから管理され、クラウドまたはオンプレミスで提供されます。サポートされる認証方式には、ステップアップ機能、ワンタイムパスワード（OTP）、X.509証明書ベースのソリューション、FIDOセキュリティ鍵を組み合わせたコンテキストベース認証などがあります。
• カード会員データへの物理的アクセスを制限する: タレスのSafeNet Trusted Accessスマートカードは、さまざまな建物アクセス技術と統合でき、従業員の物理IDとデジタルIDの両方として機能します。
• システムコンポーネントとカード会員データへのすべてのアクセスを記録して監視する: タレスポートフォリオの全製品が、暗号鍵のライフサイクル操作（作成/削除/ローテーション/失効）と認証イベントを記録する監査レコードを生成するため、フォレンジックやインシデント報告に利用できます。
• 組織のポリシーとプログラムで情報セキュリティをサポートする: CipherTrust Data Discovery and Classification (DDC: データ検出と分類）を使用すると、PAN を含む PII のすべてのソースと場所の特定が容易になり、現在定義されている CDE の外側のシステムやネットワーク上、または CDE 内の予期しない場所に存在する PAN を探すことができます。 定義された CDE を使用し、CDE の外部で PAN が見つかった場合は、CipherTrust Transparent Encryption (透過暗号化) の組み合わせソリューションを使用してデータ修復を自動化します。