PCIデータセキュリティスタンダード
PCI DSSとはPayment Card Industry Data Security Compliance Programの略称で国際カード5社(Visa,Master,American Express, Diners, JCB)が2004年に策定したカード情報を取り扱うセキュリティ基準を言う。提携している金融機関は遵守しなければならない。
目的 クレジット・カードブランドを守るため
背景 2005年クレジット・カード情報を取り扱う米CardSystems Solutions(本社:アリゾナ州)が4000万件以上の情報を漏洩して大きな問題となった。同様の漏洩事件が頻発すればクレジット・カード会社は信用を失い,死活問題に発展しかねないとの危惧がある。
対象 上記5社と提携している全てのカード・信販会社、金融機関、データ委託業者、小売店
方法 セキュリティ12原則に従って、VISA等の認定機関による訪問調査。
罰則 基準を遵守せずに事故を起こした場合、最高6000万円の罰金とカード情報処理の拒否
米国 既に基準を適用開始
日本 今年(2006年)中に適用開始。産業構造審議会でも取り上げられており法制化の可能性も。
DBセキュリティ・暗号化を実施することで、基準の骨格を遵守することができます。
1 ファイアーウォール最適設定
2 デフォルト変更
3 データ保護 ※
4 暗号化
5 ウイルス対策
6 アプリケーション対策
7 アクセス制限 ※
8 アカウントID管理
9 物理的セキュリティ
10 ログ管理・監視 ※
11 定期的査察
12 情報セキュリティポリシー
※ 3 データ保護
要件3 保存されたデータを安全に保護すること
「暗号化は最後の情報保護手段で、たとえ誰かが他の全ての保護メカニズムを破りデータにアクセスしても、暗号を破らなければデータを読み取ることはできない。」
3.4 カード会員情報は、いづれかの手段を使用して、それが格納された場所で読み取り不可能な状態にする。
3.5 暗号鍵を漏洩と不正使用から保護する。
3.6 すべての鍵管理プロセス及び手順をすべて文書化し実施する。
※ 7 アクセス制限
カード情報が格納されているDBへのアクセスを制御する必要性
※ 10 ログ管理・監視
DBアクセス等のイベント追跡と監査証跡を改変できないようにする必要性がある。