Payment Card Industry (PCI) データセキュリティ基準 要件とセキュリティ評価手順 バージョン 1.2 2008 年 10 月 PCI DSS 要件およびセキュリティ評価手順 v1.2 2008 年 10 月 Copyright 2008 PCI Security Standards Council LLC ページ 1 目次 概論および PCI データセキュリティ基準の概要 ..........................................................................................................................................3 PCI DSS 適用性情報..............................................
クレジットカードの国際セキュリティ基準を管理する団体 PCI SSC は、2008年10月に公開した「PCI DSS バージョン1.2」の日本語版を PCI SSC のWebサイトで公開した。 PCI DSS は、クレジットカード情報を守るために VISA, JCB, MasterCard などの国際クレジットカードブランドが策定した具体的な国際セキュリティ基準。バージョン1.2では、要件6.6によるWAFの要件化や、WEP禁止などの変更が盛り込まれ、日本語訳の公開が待たれていた。 日本語版のダウンロードは、 PCI SSC のWebページから「Download the Specification」をクリックし利用許諾に同意すれば、各国語版が閲覧可能。 About the PCI Data Security Standard(PCI SSC) https://www.pci
クレジットカード情報の保護基準「PCI DSS」の普及が進む米国では、企業が同基準の定めるセキュリティ要件を自社のポリシーへ採用する動きが始まっているという。 「PCI DSSはセキュリティ対策の1つのゴールになるだろう」――兼松エレクトロニクス主催セミナーの基調講演に登壇した工学院大学客員講師、山崎文明氏(ネットワンシステムズセキュリティ事業推進本部長)は、クレジットカード業界で導入が進むデータ保護基準「PCI DSS」が一般企業の情報セキュリティ対策の目安になると指摘した。 PCI DSSは、VisaやMasterCard、JCB、American Expressなどの大手クレジットカードブランドが主体となり、2006年から策定が進むセキュリティ要件。カード発行会社や加盟店担当代理店(アクアイアラ)、加盟店が順守すべき業界標準とされている。ネットワーク保護や不正アクセス防止、カード会員
第4回 Apacheセキュリティチェック、PCI DSSの場合 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/12/1 PCI DSSはペイメントカード業界だけではなく、セキュリティのチェックリストにも使える、というのがこの連載の趣旨でした。では、具体的にどのようにチェックを行っているのでしょうか。今回は身近な「Apache」を題材に、セキュリティ評価ベンダがなにをチェックしているのかを解説します(編集部) セキュリティ評価ベンダ(QSA)によるPCI DSSの訪問審査では、文書調査やインタビューのほかに、実際のOSやアプリケーションの設定を、画面上で目視確認することで、PCI DSSの要件に対応しているかどうかを調査します。今回は、QSAとして訪問審査を実施する際に確認するシステム上のポイントを、「QSAの視点」と称して、実際の
Visaは、加盟店やサービスプロバイダがクレジットカード情報のセキュリティ基準「PCI DSS」を順守すべき期限を設定した。 米Visaは11月13日、加盟店やサービスプロバイダを対象としたクレジットカード情報のセキュリティ基準「PCI DSS(Payment Card Industry Data Security Standard)」の順守期限日を発表した。大手加盟店の期限日は2010年9月30日としている。 同期限は、Visaカード取扱店や取引情報の通信サービスなど手掛けるプロバイダなどが対象。期限日のほか、取引件数に応じてVisaに提出する報告書や証明書の内容を規定している。 加盟店向けには、システムの脆弱性検査の実施や順守報告書の提出、取引完了後に機密情報を保持していないことを証明する報告書などの提出を義務付けている。サービスプロバイダ向けには、システムの脆弱性検査の実施や順守報告
ビザ・ワールドワイド・ジャパン株式会社は11月13日、クレジットカードの国際ブランド Visa が11月11日に発表したリリースの抄訳を発表した。抄訳には、クレジットカードの国際セキュリティ基準である「PCIDSS(Payment Card Industry Data Security Standard)」遵守の国際的な義務化に向けた期限が記載されている。これによって、加盟店・サービスプロバイダ・プロセッサにおける統一された枠組が整った。 枠組では、PCIDSS遵守のバリデーション(遵守状況確認)に関して加盟店に適用される国際的な要件が含まれており、大型加盟店についてはPCIDSS完全遵守までの期限が定められている。また、大手の加盟店については、ある特定のセンシティブなカード関連情報を保管していないことを証明するための期限も定められている他、サービスプロバイダのレベルとPCIDSSのバ
サイボウズ・メディアアンドテクノロジー(サイボウズMT)とNTTデータ・セキュリティは11月10日、オンラインショップを対象に実施した「クレジットカードのセキュリティ運用に関わる国際標準 PCIDSS(Payment Card Industry Data Security Standard)の認知度に関する調査」の結果を発表した。 PCIDSSは、VISAやMasterCardなどが策定した、クレジットカード業界における国際的なセキュリティ基準。今回の調査はNTTデータ・セキュリティと、サイボウズMTが共同で9月に実施し、ビザ・ワールドワイド・ジャパンが監修した。 PCIDSSを知っているかという設問で、「詳しく知っている」「概要を知っている」と答えた人は38.9%だった。「見たこと、聞いたことがある程度」とした人を加えると64.1%となる。これらの人を対象に、PCIDSSの対応状況を質問
サイボウズMTがECサイト運営者などに実施した調査では、クレジットカードのセキュリティ基準「PCI DSS」の認知度が約4割だった。小規模人員のサイトでは「対応なし」「分からない」の回答も目立った。 サイボウズ・メディアアンドテクノロジーは11月10日、NTTデータ・セキュリティと共同実施したクレジットカード取り扱いのセキュリティ基準「PCI DSS」の認知度調査の結果を発表した。ECサイト運営者など322人が回答した。 PCI DSSの認知度は、「詳しく知っている」(13.7%)と「概要を知っている」(25.2%)が約4割で、「見聞きしたことがある」(25.2%)を加えると約6割がPCI DSSの言葉を聞いたことがあると回答した。一方、「知らない」は36.0%だった。 対応状況では、「準拠認定を取得」が12.1%、「対応中」が28.6%。人員規模が50~100人のECサイトでは16.0%
PCI DSS(Payment Card Industry Data Security Standard)に注目が集まっている。2004年12月にVISAとMasterCardによって策定されたクレジットカード産業のデータセキュリティ基準だ。カード情報の流出により、カード会員が金銭的被害に見舞われる危険性が出てきた。それを防止するための具体的なセキュリティ要件が定められており、カード情報を扱う事業者に準拠が推奨されている。 最近では、セキュリティ製品のアピールポイントとして、PCI DSS準拠をうたうのがマーケティングの1つのトレンドとなっている。米国で始まった取り組みだが、日本でも広がりつつあり、今後準拠する事業者が増えてくることだろう。では具体的にどういった仕組みなのか。どういった効果が期待されているのか。ビザ・ワールドワイド カントリーリスクダイレクターの井原亮二氏に話を聞いた。 ■
クレジットカード業界「PCI」の新規定では、クレジットカード情報の処理過程でWEPを使うことを一切禁止した。 小売り大手TJ Maxxからのクレジットカード情報の漏えいなど、相次ぐ情報流出事件を受けて、クレジットカード業界がデータセキュリティ基準(PCI DSS)の変更を発表した。英セキュリティ企業Sophosの研究者がブログで伝えている。 Sophosのグラハム・クルーリー氏のブログによると、クレジットカード業界PCIの新規定では2010年以降、カード情報を店頭の端末からサーバに送るといった情報処理の過程で、無線通信の暗号化技術WEPを使うことを一切禁止した。2009年3月31日以降、WEPを使った新システムを導入することも禁止した。さらに、Windowsへのウイルス対策ソフト導入だけでなく、全OSにマルウェア対策を義務付けた。 今回の基準変更は、WEPの利用をやめてWi-Fi Prot
第2回 あの手この手で守るべきカード情報、その中身とは? 川島 祐樹 NTTデータ・セキュリティ株式会社 コンサルティング本部 PCI推進室 CISSP 2008/10/7 PCI DSSではクレジットカード、デビットカードなど「ペイメントカード」の情報保護指針を定めています。日本でも身近になったクレジットカードですが、どのような情報が含まれるのでしょうか。クレジットカード情報の保護から、基本的なセキュリティの考え方を再度確認してみましょう(編集部) 第1回「エンジニアも納得できる“PCI DSS”とは」では、PCI DSSの概略を解説しました。第2回ではPCI DSSで守るべき「カード情報」について、そもそもカード情報と呼ぶものに何が含まれるのか、そしてどのようにカード情報を守るべきかを解説します。 「カード会員情報」って16けたの番号だけじゃないの? 一言でカード会員情報といっても、そ
PCIセキュリティ基準委員会(PCI Security Standards Council)が,情報システム向けセキュリティ規準の改訂版「PCI DSS(PCIデータ・セキュリティ基準)1.2」の概要を発表した。同バージョンは,2008年10月1日にリリースされる予定である(関連記事:セキュリティ基準「PCI DSS」/全セキュリティ・パッチを1カ月で適用,それがPCI DSS対応の難しさだ)。拡大するカード詐欺への対抗策としてクレジットカード業界が策定したこのデータ・セキュリティ基準は,規制を課すことで,顧客のクレジットカード情報を簡単に盗み出せないようにする。 顧客のカードを処理する側は,ほぼ間違いなく知っている規制であり,おそらくPCIDSSへの準拠と維持にかかるコストについても同じように認識しているだろう。一部の人は,セキュリティにはあまり投資しない。多くのお金を費やしたところで,
日本NCRは、決済ソフトウェア製品がPOSアプリケーションの国際的なセキュリティ基準であるPABPの認定を国内で初めて取得した。クレジットカードやデビットカード決済ができる加盟店が利用すると、カードからの情報流出などの事故を防止できる。 日本NCRは9月17日、決済ソフトウェア製品「NCR RealGate Payment」がPOSアプリケーションの国際的なセキュリティ基準であるPABP(ペイメント・アプリケーション・データ・ベストプラクティス)の認定を国内で初めて取得したと発表した。クレジットカードやデビットカード決済ができる加盟店が利用すると、カードからの情報流出などの事故を防止できる。 PABPはカード情報を保護するため、カード情報セキュリティの国際基準「PCIデータセキュリティ基準(PCI DSS)」に則りビザ・インターナショナルが開発した。内容として、HDDからの情報漏えい防止の
2008/09/17 日本NCRは9月17日、決済アプリケーション・ソフトウェア「NCR RealGate Payment」が国内で初めてPABP(Payment Application Best Practice)の認定を取得したと発表した。 PABPはカード情報セキュリティの国際基準「PCI DSS」(PCI Data Security Standard)に則って開発されたベストプラクティス集。ビザ・インターナショナルが策定したものだが、2008年4月に国際機関「PCI SSC」(Standard Council)に移管され、今後は「PA DSS」(Payment Application Data Security Standard)の名称でマスターカード、JCB、アメリカンエクスプレスなどが賛同し、共通システムとして10月からスタートする予定だ。 【参考記事】5分で絶対に分かるPCI
「安全なクレジット・カード決済のため,WAF(Web Application Firewall)の重要性が増している。企業にとってWAFはもはや必須だ」---。こうWAFの重要性をアピールするのは,WAF機能を持つWeb高速化装置を出荷するF5ネットワークスジャパンである。同社でエンジニアリングマネージャを務めるJoe Poehls氏は2008年5月28日,WAFが必須となる根拠を示すとともに,同社製品が備えるWAF機能をアピールした。 WAFの重要性が増す背景は,SOX法の次のセキュリティ・トレンドとして「PCI DSS」(Payment Card Industry Data Security Standard)が立ち上がっているという状況がある(関連記事:セキュリティ基準「PCI DSS」)。PCI DSSとは,大手クレジットカード会社が策定した,クレジットカード情報を取り扱う事業者に
「リリース後1カ月以内のパッチ適用」「WAFの導入」「1日1回のログのレビュー」――。PCI DSS(PCIデータセキュリティ基準)には,情報セキュリティの基準が具体的に定められている。米国ではここ数年,PCIDSSの認定を取得する企業が急増。国内でも注目が高まっている。どのような要件があるかを解説し,要件を満たすための製品/サービスを紹介する。 「PCI DSS」改訂の裏側 上機嫌なボブのスピーチで年次総会が開幕 “仮想化”は取り残された PCI DSSと10の神話 コンサルタントは一般企業への適用を促す PCI DSSの概要 違反すると罰金や損害賠償が課せられる ISMSやプライバシーマークとは全く違う 導入時は自己問診票でチェック 運用時は四半期ごとにスキャニング 情報システムに大きなインパクト 「6個の目的」と「12個の要件」 目的1:安全なネットワークの構築・維持
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く