[B! PCIDSS] TAKESAKOのブックマーク

PCIDSSで迎えた最初の期限「データ廃棄」、その対応状況は？

2009年9月末、PCIDSSに関する1つのルールが期限を迎えた。「レベル1～2の加盟店は、センシティブ認証データを廃棄すること」。PCIDSSの完全準拠に向けて、2008年にVISAがワールドワイドに発表したタイムラインだ。そして2010年9月末には「レベル1の加盟店はPCIDSSに完全準拠すること」という期限もやってくる。その試金石ともいえた今回のデータ廃棄は、滞りなく行われたのだろうか。ビザ・ワールドワイド、リスクマネージメントの井原亮二氏に現況を伺う。なお、レベルは年間カード取引件数などによって定められ、レベル1が最大の加盟店となる。VISAでは年間600万件を超える加盟店をレベル1と定義している。 ―2009年9月末に1つの期限が過ぎました。その結果について伺いたいのですが、その前に改めて「センシティブ認証データの廃棄」の意味について教えていただけますか。井原氏センシティブ

TAKESAKO 2009/10/21

PCIDSS

リンク

ECサイトから65万人の情報漏洩 20人が70時間，不眠不休で対応

1. 8万のカード情報を含む65万人の個人情報が漏洩し，セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間，夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ，WAFを導入するなど安全性を高めた「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス（当時の社名はナチュラム，8月1日に持ち株会社として改称）の中島成浩氏（代表取締役会長兼社長CEO）は，創業以来の危機に直面していた。ナチュラムのサイトから，クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。まず取り組んだのは被害の拡大を防ぐこと（図1）。丸3日間で一気に対

TAKESAKO 2009/07/02

NTTデータとSite Guardの宣伝記事？

リンク

クレジットカード業界の情報セキュリティを学ぶ

上記はすべて、海外のWebサイトを経由したサイバー攻撃により情報が流出した。具体的にはWebサイトのSQLインジェクションの脆弱（ぜいじゃく）性を利用し、外部から不正なコマンドを発行し、クレジットカード情報を含めた個人情報を抜き取る手法によった。上記の中で、特にサウンドハウスに関する事故は象徴的であった。事故の教訓を広く知ってもらい、同様の事故の再発を抑止することを目的に、発覚からの対応経緯について同社はつぶさに公表した。近年のクレジットカード犯罪の傾向ここで整理しておきたいのは、クレジットカード情報が含まれた個人情報が漏えいする事件／事故の特徴である。クレジットカードをECサイトなど非対面で使用する際は、ほとんどが16桁（けた）のカード番号と有効期限により承認処理されている。すなわちクレジットカードは、カードの実物がなくとも、その情報だけで盗むことができるという特徴がある。クレ

TAKESAKO 2009/03/11

リンク

WAFを設置しなければならない

Webアプリケーションシステムには特有の脆弱性が多く存在している。また，昨今のアプリケーションの多くでWebアプリケーションが利用されることが多くなってきた。PCI DSSでは，その脆弱性を利用した攻撃からカード会員データを保護するため，PCI DSS Ver1.1で新たに要件6.6を定めている。この要件は，“2008年6月30日まではベストプラクティス”としているが，それ以降は必須要件となる。従って，PCI DSS Ver1.0に準拠している組織にとっても注意が必要である。以下，要件6.6にて定めるアプリケーション防護策について述べる。すべてのWebに面したアプリケーションは，以下のどちらかの手法を適用することで，既知の攻撃から防護されなければならない。・カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に依頼して、一般的な脆弱性についての見直

TAKESAKO 2008/08/15

あとで

リンク

具体性の高いセキュリティー基準「ＰＣＩＤＳＳ」とは何かセキュリティー-最新ニュース:IT-PLUS

電通、三菱UFJ信託銀行など大手企業が相次ぎ参入を表明する「情報銀行」。ここに挑むベンチャー企業がDataSign（東京・渋谷）だ。同社の太田祐一社長は情報銀行という言葉が生まれる…続き中部電力が「情報銀行」参入へ　電力データを活用［有料会員限定］「情報銀行」説明会に２００社　データ流通の枠組み始動

TAKESAKO 2008/07/03

リンク

ScanNetSecurity - スパムメール対策のトップ企業が、WAFベンダを買収した理由〜バラクーダ、WAFやメールアーカイバを相次ぎ発表

スパムメール対策のトップ企業が、WAFベンダを買収した理由〜バラクーダ、WAFやメールアーカイバを相次ぎ発表国内で販売されている電子メールセキュリティ・アプライアンス市場でシェアNo.1(2006年富士キメラ総研調べ)を獲得したバラクーダネットワークスがロードバランサーを自社商品群のひとつに加えたことは先日報じたとおりだが(下記URL参照)、今回それに加え、WAFやメールアーカイブ製品を相次いでリリースしている。 ●バラクーダ、超低価格の負荷分散アプライアンスを発売 https://www.net security.ne.jp/10_10433.html ●バラクーダ、ファイアーウォール製品メーカーを買収 https://www.net security.ne.jp/1_10468.html SCAN編集部は、来日中のVice President Product Ma

TAKESAKO 2008/06/01

『PSI DSS バージョン1.1の要件6.6では、カスタム・アプリケーション・コードについて脆弱性の見直しをするか、あるいはアプリケーション･レイヤー･ファイアウォールの導入のいずれかを推奨しています』

リンク

はてなブックマーク

タグ

関連タグで絞り込む (6)

PCIDSSに関するTAKESAKOのブックマーク (6)

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第2週）

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス