ペイメント カード業界 (PCI) のコンプライアンスは、PCI セキュリティによって開発された 12 の技術および運用標準のセットに基づいています。 Standards Council (SSC) は、American Express、Discover、JCB International、Mastercard によって 2006 年に設立された独立機関です。 ビザ。 これらの標準は、クレジット カード データを受信、送信、または保存するあらゆるビジネスに適用されます。 これらは、データ侵害などの問題から顧客およびビジネス情報を保護する安全な環境を確保するために作成されました。
PCI コンプライアンスをより深く理解するには、それに伴う内容、要件、すべてがどのように機能するかを知ることが重要です。
PCI コンプライアンスの定義と要件
PCI コンプライアンスとは、PCI SSC によって設定されたクレジット カードのセキュリティと保護に関する一連の標準の遵守です。 これらの標準は、カード会員データを処理するあらゆる企業にとって安全な環境を確保するために作成されました。
PCI SSC が標準を開発しましたが、準拠を強制する責任は決済ブランドと加盟店にあります。
各クレジット カード ブランドには、企業が従う必要がある独自の PCI 要件がある場合があります。 事業主は、各決済ブランドに問い合わせて、必要な要件をすべて満たしていることを確認する必要があります。
- 代替名: ペイメントカード業界のデータセキュリティ標準
- 頭字語: PCI、PCI DSS
PCI コンプライアンス規格
PCI DSS によって作成された 12 の標準があり、技術的なシステム コンポーネントと運用システム コンポーネントの両方をカバーしています。
- カード所有者のデータを保護するためにファイアウォールを維持する
- デフォルトのシステムパスワードの代わりに高レベルのセキュリティパスワードを使用する
- 保存されているカード会員データを適切なセキュリティ プロトコルを通じて保護する
- カード所有者データの送信を暗号化する
- すべてのシステムをマルウェアから保護し、ウイルス対策プログラムを定期的に更新します
- 安全なシステムとアプリケーションを開発および維持する
- カード所有者情報へのアクセスを制限する
- すべてのシステムコンポーネントへのアクセスを識別および認証する
- カード所有者情報への物理的アクセスを制限する
- ネットワークとカード所有者のデータへのすべてのアクセスを追跡および監視します
- セキュリティ システムとプロセスを頻繁にテストする
- 全従業員に対して情報セキュリティポリシーを維持する
カード所有者の機密情報を保護するには、PCI 基準が満たされていることを確認するために顧客のカード データを処理、送信、保存するすべての企業の責任があります。 これらの標準は、販売者がハッカーや情報窃盗から身を守るのに役立ちます。
これらの要件を満たさないと、企業は財務上のダメージを受けやすくなり、クレジット カード ブランドによって高額な違反手数料が課せられる可能性があります。
PCI コンプライアンスはどのように機能しますか?
各カード発行会社には独自の PCI コンプライアンス ガイドラインがあるため、事業主は各カード発行会社に問い合わせて、適切な資格を満たしていることを確認することをお勧めします。 PCI に準拠しているとみなされるには、企業は範囲設定、評価、報告を含む 3 段階のプロセスを経る必要があります。
スコーピング
スコープ設定において、ビジネスオーナーは、侵害された場合にカード会員データに影響を与える可能性のあるすべてのシステムを特定する必要があります。 スコーピングは通常、すべてのシステムとカード会員データがビジネスとやり取りする方法の評価を含む年次プロセスです。 このプロセスは、必要な評価の種類、規模と費用を決定するのに役立ちます。
評価する
PCI コンプライアンスの評価部分は、自己評価アンケートまたは資格のあるセキュリティ評価者によって実施されるオンサイト監査で構成されます。 企業がどの評価を必要とするかは、クレジット カード会社の加盟店レベルによって決まります。 たとえば、発行会社が指定した毎年のカード取引数に基づいて処理を行う企業は、自己評価アンケートのみが必要な場合があります。
事業主は、各クレジット カード会社の指定 Web サイトを通じて加盟店レベルを確認できます。 ビザ, マスターカード、 そして アメリカン・エキスプレス.
報告
事業主は自己査定を完了したら、それをクレジット カード会社に報告する必要があります。 対面評価の対象となる企業は、支払いカード発行会社にコンプライアンスに関するレポートを直接提出する必要があります。 PCI コンプライアンス評価は毎年のみ必要ですが、企業所有者は、承認されたスキャン ベンダーによって実施される四半期ごとの脆弱性スキャンが必要な場合があります。 どちらの評価が行われたとしても、監査結果をペイメント カード発行会社に報告することが、PCI コンプライアンスの最終ステップとなります。
重要なポイント
- PCI コンプライアンスは、カード会員データの受け入れ、送信、保存を行う企業が従う必要があるクレジット カード業界の一連の標準です。
- PCI コンプライアンスを満たすために企業が遵守する必要がある技術および運用基準は 12 あります。
- PCI に準拠するには、スコープ設定、評価、レポートという 3 つのステップのプロセスがあります。
- 評価プロセスには、自己評価アンケートに回答するか、オンサイト監査を受けることが含まれます。