PCI DSS 4.0の要件
決済カード業界データセキュリティ基準(PCI DSS)は情報セキュリティ基準であり、決済データの保護とクレジットカード詐欺の低減を目的に指定された技術上および運用上の基本要件を定めています。PCI DSSは、カード会員データ(CHD)や機密認証データ(SAD)を保存、処理、または送信するすべての事業体を対象としています。
新バージョンの基準は2022年3月31日に発表されました。前バージョン3.2.1からの変更点は以下のとおりです:
- カード会員データ環境へのすべてのアクセスに多要素認証(MFA)を実装するための要件8の拡張。
- ファイアウォールの用語をネットワークセキュリティ制御に更新し、従来ファイアウォールによって満たされていたセキュリティ目的を満たすために使用される、より広範な技術をサポートします。
- 組織がセキュリティ目標の達成のためにどのような方法を用いているかを示すための柔軟性の拡大。
- 対象リスク分析が追加されたことで、事業体は、事業ニーズとリスクエクスポージャーに最適な特定のアクティビティの実施頻度を柔軟に定義できるようになります。
更新の詳細については、PCI SSCのウェブサイトでPCI DSS v4.0変更概要文書をご参照ください。
PCI DSSとは?
決済カード業界データセキュリティ基準(PCI DSS)は、決済カード口座データのセキュリティを奨励・強化し、世界的に一貫した機密データセキュリティ対策の幅広い採用を促進するために策定されました。PCI DSSは、アカウントデータを保護し、全体的な情報セキュリティポリシーの一部となるように設計された、技術上および運用上の基本要件を定めています。
PCI DSSへの準拠が必要な事業体とは?
PCI DSSへの準拠は、金融機関、オンライン決済処理業者、決済カードを受け入れる加盟店、決済カード取引の処理組織、決済カード情報を保管またはアクセスする組織、カード処理エコシステムのあらゆる場所でビジネスを可能にするサービスプロバイダーにとって必須です。
PCI DSS 4.0はいつ発効しますか?
PCI DSS v3.2.1は、v4.0が発行されてから2年間有効です。これにより、組織に、新しいバージョンに慣れ、必要な変更を計画・実施するための時間が与えられます。実施スケジュールは下図のとおりです。
図1:PCI DSS 4.0の実施スケジュール。出典:PCI SSC
PCI DSSに関連する一般的な障害にはどのようなものがありますか?
- PCI DSSコンプライアンス要件に準拠しない場合、罰金、手数料の増加、さらには決済カード取引の処理資格の停止につながる可能性があります。
- PCI DSSへの準拠は単独で考えることはできません。組織には、複数のセキュリティ指令や、データ保護およびプライバシーに関する法律または規制が適用されます。一方で、PCIコンプライアンスプロジェクトは、より広範なエンタープライズセキュリティイニシアチブによって簡単に後回しにされることがあります。
- PCI DSS要件に関連するガイダンスと推奨事項には、すでに実施されている可能性が高い一般的な慣行が含まれています。しかし、特に暗号化と多要素認証に関連するいくつかの側面は、組織にとって新しいものである可能性があり、正しく設計されていない場合、実装時に混乱が生じ、業務効率に悪影響を及ぼす可能性があります。
- 複数の独自ベンダーのソリューションや、高価かつ運用が複雑で新たな脆弱性を生み出す不適切なテクノロジーに基づいた、断片的なセキュリティアプローチに陥りがちです。
- PCI DSS準拠義務の範囲を縮小し、コストと影響を削減する機会は存在しますが、新しいシステムとプロセスのPCI DSS準拠認定を確実に受けられるようにデューディリジェンスを行わない場合、組織は時間と費用を無駄にする可能性があります。
PCI DSSに準拠していない場合の罰則とは?
PCI DSSに準拠していない場合の罰則には、月額5~10万ドルの罰金が含まれます。制裁措置にはまた、監査要件の強化や、マーチャントバンクまたはクレジットカードブランドによるクレジットカード関連活動の停止が含まれる可能性があります。
Payment Card Industry Data Security Standard 4.0(PCI DSS)への準拠
決済カード業界データセキュリティ基準の最新更新版であるPCI DSS 4.0への準拠と、ハイブリッドIT環境全体でのカード会員データの保護のためにThalesがお手伝いできることについてご紹介します。
PCI DSSへの準拠達成のためにThalesがお手伝いできること
Thalesは、銀行や金融機関が業界の指令に準拠できるよう数十年にわたってサポートしてきた経験を活かし、保存されたカード会員データの保護、転送時の暗号化、Need To Knowの原則に基づくアクセス制限、決済トランザクション管理用アプリケーションの保護を可能にする統合製品とサービスを提供しています。さらに、Thalesはパートナーと緊密に連携して、PCI DSSコンプライアンスの対象範囲の縮小を可能にする包括的なソリューションを提供しています。
PCI DSS 4.0コンプライアンス要件への対応
Thalesがお手伝いできること:
- 脆弱性を見つけ、分析し、優先順位を付けます。
- マルチテナントと職務分離。
- 非コンソールの管理者アクセスを暗号化します。
Thalesがお手伝いできること:
- カード会員データを検出し、分類します。
- カード会員データを暗号化し、トークン化します。
- FIPS 140-2 L3デバイスの暗号鍵を保護します。
- 鍵とシークレットのライフサイクル管理。
Thalesがお手伝いできること:
- WAFですべてのトラフィックを検査し、Webベースの攻撃を検出・防止します。
- 決済ページで承認されたスクリプトのみを許可します。
- 脆弱性を見つけ、分析し、優先順位を付けます。
- 認証情報および鍵のFIPS 140-2レベル3の信頼の基点。
ソリューション:
アプリケーションセキュリティ
データセキュリティ
Thalesがお手伝いできること:
- 保護されたカード会員データおよびシークレットへの不正アクセスを拒否します。
- 職務分離と最小権限のアクセス。
- カード会員データ環境(CDE)におけるユーザーIDとリスクベースの認証ポリシーを一元管理します。
Thalesがお手伝いできること:
- 各ユーザーに一意の認証情報が割り当てられるようにします。
- 幅広い認証方法とフォームファクター。
- クラウドまたはオンプレミスで提供される1つの認証バックエンドからポリシーを一元管理します。
Thalesがお手伝いできること:
- ファイル、鍵、シークレットへのアクセスイベントの完全な監査証跡をSIEMに送信します。
- 24時間365日、監査活動を継続的に検証します。
- 機械学習による異常検知で不審な行動を特定します。
Thalesがお手伝いできること:
- 承認されたスクリプトのみを許可することで、決済ページへの不正な変更を防止します。
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。