ペイメントカード業界のデータセキュリティ基準とは何ですか?
ペイメントカード業界データセキュリティ標準(PCI DSS)は、クレジットカードデータを処理、送信、または保存するすべての企業およびその他のエンティティに提供されるガイドラインとベストプラクティスのセットです。 これらのガイドラインは、PCI Security Standards Council(PCI SSC)によって開発されたもので、データの漏えいや、結果として生じる個人情報の盗難やクレジットカード詐欺を防ぐことを目的としています。 PCI DSSへの準拠には、ビジネスプロセスの評価と潜在的なリスクの特定、それらのリスクの修復、および関連する銀行や他のクレジットカード発行会社へのコンプライアンスの取り組みの報告の3つのフェーズがあります。
ペイメントカード業界のデータセキュリティ標準への準拠は、安全なコンピューターネットワークの作成と保守です。 カード会員データとネットワークへの外部アクセスの間に堅牢なファイアウォールを構築する必要があります。 ネットワークの脆弱性の潜在的なすべてのポイントで、システムパスワードを他のセキュリティ対策とともに実装する必要があります。 すべてのカード会員データは安全に保存する必要があり、パブリックネットワーク経由で送信する場合は暗号化する必要があります。 継続的な対策には、アンチウイルスソフトウェアの使用、およびビジネスの必要性に応じた要員によるデータへの物理的またはコンピューターアクセスの制限が含まれます。
組織がPCI DSSに対処するのを支援するために利用できる多数のツールとサービスがあります。 PCI SSCはPCIコンプライアンスの基準を確立していますが、すべての主要なクレジットカードブランドは、それらの基準の施行とコンプライアンス、およびクレジットカード検証手順に関して独自の基準を作成しています。 これらの各企業は、カードを受け入れる組織にオンラインおよびその他のガイダンスを提供しています。 PCI SSCは、Payment Card Industry Data Security Standardへの準拠を検証する認定セキュリティ評価機関を承認するプログラムも運営しています。 コンプライアンスを自己評価する組織向けに、PCI SSCは、それぞれが特定のビジネス環境に合わせて調整されたいくつかの形式の自己評価アンケートと呼ばれる検証ツールを提供します。
ペイメントカード業界のデータセキュリティ標準に準拠するための重要な前提は、組織のニーズに不可欠なクレジットカードデータのみを保存することです。 保管されたデータには時間制限を設け、トランザクション認証データは保管しないでください。 パブリックネットワークで送信されるすべてのアカウント番号およびその他の機密データは、部分的にマスクする必要があります。
他の進行中のPCI DSS対策には、安全なアプリケーションとプログラムを作成する脆弱性管理プログラムの作成と保守が含まれます。 弱点を特定するための定期的な監視とネットワークテストも必要です。 各組織は、書面によるセキュリティポリシーを維持し、すべての担当者に配布する必要もあります。