PCI-DSSとは、「加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として制定された、クレジットカード業界のセキュリティ基準」と、日本カード情報セキュリティ協議会のサイトで定義されています。

その言葉通り、クレジットカード会社が制定したセキュリティ基準ですが、内容が汎用的に利用でき、具体性に富むことから、クレジットカード会社以外の組織においても基準として採用するケースが増えています。

PCI-DSSでは、カードの会員データを扱うシステムを他のシステムと分離する事を前提としており、それに際して6つのコントロールの目的と、12の要件が定められています。

I 安全なネットワークの構築・維持

要件1:カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2:システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと

II カード会員データの保護

要件3:保存されたカード会員データを安全に保護すること
要件4:公衆ネットワーク上でカード会員データを送信する場合、暗号化すること

III 脆弱性を管理するプログラムの整備
要件5:アンチウィルス・ソフトウェアを利用し、定期的に更新すること
要件6:安全性の高いシステムとアプリケーションを開発し、保守すること

IV 強固なアクセス制御手法の導入
要件7:カード会員データへのアクセスを業務上の必要範囲内に制限すること
要件8:コンピュータにアクセスする利用者毎に個別のID を割り当てること
要件9:カード会員データへの物理的アクセスを制限すること

V 定期的なネットワークの監視およびテスト
要件10:ネットワーク資源およびカード会員データに対するすべてのアクセスを追跡し、監視すること
要件11:セキュリティ・システムおよび管理手順を定期的にテストすること

VI 情報セキュリティ・ポリシーの整備
要件12:情報セキュリティに関するポリシーを整備すること

これらの要件は、実際にはより具体的に書かれており、例えば、要件6に関しては、アプリケーションの手前にWAFを導入することが示されています。

情報セキュリティスペシャリスト試験対策講座の目次はこちら