この文書についてこの文書 ( 公式日本語訳 ) は PCI Security Standards Council, LLC ( 審議会 ) で入手可能な SAQ と記さ

PCI (Payment Card Industry) データセキュリティ基準サービスプロバイダ用自己問診 (Self-Assessment Questionnaire)D および準拠証明書 SAQ 適用サービスプロバイダ PCI DSS バージョン 3.2 用改訂 1.1 版

この文書についてこの文書 ( 公式日本語訳 ) は https://www.pcisecuritystandards.org/document_library, 2006-2017 PCI Security Standards Council, LLC ( 審議会 ) で入手可能な SAQ と記される文書の公式の日本語訳ですこの公式日本語訳は JCDSC( 団体 ) の承認と支援により情報提供のみを目的として審議会と団体間の契約に基づいて提供されるものですこの翻訳に関して本文書に記述された仕様を実装する権利は認められませんそのような権利は https://www.pcisecuritystandards.org/document_library で入手可能な使用許諾契約書の条項に同意することによってのみ確保されます本文書の英語版は https://www.pcisecuritystandards.org/document_library で入手できるもので本文書の完全版であるとみなされます不明瞭な点および日本語訳と英語版における不一致については英語版が優先され日本語訳かなる目的であっても依拠することはできません審議会も団体も本文書に含まれるいかなる誤りや不明瞭さにも責任を負いません About this document This document (the Official Japanese Translation") is the official Japanese language translation of the document described as SAQ, available at https://www.pcisecuritystandards.org/document_library, 2006-2017 PCI Security Standards Council, LLC (the Council ). This Official Japanese Translation is provided with the approval and support of JCDSC ( the Company ), as an informational service only, under agreement between the Council and the Company. No rights to implement the specification(s) described in this document are granted in connection with this translation; such rights may only be secured by agreeing to the terms of the license agreement available at https://www.pcisecuritystandards.org/document_library. The English text version of this document is available at https://www.pcisecuritystandards.org/document_library and shall for all purposes be regarded as the definitive version of this document. To the extent of any ambiguities or inconsistencies between this version and such English text version of this document, the English text version shall control, and accordingly, this version shall not be relied upon for any purpose whatsoever. Neither the Council nor the Company assume any responsibility for any errors or ambiguities contained herein.

文書の変更日付 PCI DSS バージョン SAQ 版説明 2008 年 10 月 1.2 2010 年 10 月 2.0 2014 年 2 月 3.0 2015 年 4 月 3.1 2015 年 7 月 3.1 1.1 2016 年 4 月 3.2 1.0 内容を新しい PCI DSS v1.2 にあわせて改訂および元の v1.1 以降に加えられた若干の変更を追加内容を新しい PCI DSS v2.0 の要件とテスト手順にあわせて改訂内容を PCI DSS v3.0 の要件とテスト手順にあわせて改訂し追加のオプションを組み込んだ内容を PCI DSS v3.1 にあわせて改訂 PCI DSS 変更の詳細は PCI DSS バージョン 3.0 から 3.1 への変更点のまとめを参照してください 2015 年 6 月 30 日までのベストプラクティスに対する参考情報を削除および要件 11.3 に対する PCI DSS v2 報告書オプションを削除するために更新 PCI DSS v3.2 にあわせて更新詳細については PCI DSS PCI DSS バージョン 3.1 から 3.2 への変更点のまとめを参照してください 3.2 1.1 他の SAQ に合わせてバージョンナンバーを改訂 PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. ii ページ

目次文書の変更... ii 開始する前に... v PCI DSS 自己評価の記入方法... v 自己問診 (SAQ) について... v... vi 自己問診の記入方法... vi 特定の要件が適用されない場合... vi 該当なしと未テストの違いについて... vii 法的例外... vii セクション 1: 評価の情報... 1 セクション 2: 自己問診 D - サービスプロバイダ用... 8 安全なネットワークとシステムの構築と維持... 8 要件 1: 要件 2: カード会員データを保護するためにファイアウォールをインストールして維持する... 8 システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない... 14 カード会員データの保護... 20 要件 3: 保存されるカード会員データを保護する... 20 要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する... 28 脆弱性管理プログラムの維持... 30 要件 5: すべてのシステムをマルウェアから保護しウイルス対策ソフトウェアまたはプログラムを定期的に更新する... 30 要件 6: 安全性の高いシステムとアプリケーションを開発し保守する... 32 強力なアクセス制御手法の導入... 41 要件 7: カード会員データへのアクセスを業務上必要な範囲内に制限する... 41 要件 8: システムコンポーネントへのアクセスを識別認証する... 43 要件 9: カード会員データへの物理アクセスを制限する... 50 ネットワークの定期的な監視およびテスト... 58 要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する... 58 要件 11: セキュリティシステムおよびプロセスを定期的にテストする... 66 情報セキュリティポリシーの維持... 75 要件 12: すべての担当者の情報セキュリティに対応するポリシーを維持する... 75 付録 A: 追加の PCI DSS 要件... 84 付録 A1: 共有ホスティングプロバイダ向けの PCI DSS 追加要件... 84 付録 A2: SSL / 初期の TLS を使用している事業体向けの PCI DSS 追加要件... 86 PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. iii ページ

付録 A3: 指定事業体向け追加検証 (DESV)... 88 付録 B: 代替コントロールワークシート... 89 付録 C: 適用されない理由についての説明... 90 付録 D: 未テスト要件の説明... 91 セクション 3: 検証と証明の詳細...92 PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. iv ページ

開始する前にサービスプロバイダ用 SAQ D はペイメントブランドにより SAQ 対象として定義されたすべてのサービスプロバイダに適用されます SAQ D をを完成させる会社の多くは各 PCI DSS 要件への準拠を検証する必要がありますが特定のビジネスモデルの会社には適用されない要件もあります特定要件の除外については以下のガイダンスを参照してください PCI DSS 自己評価の記入方法 1. あなたの会社の環境が適切に範囲指定されていることを確認してください 2. 適用される PCI DSS 要件への準拠状況についてあなたの環境を評価します 3. この文書のすべてのセクションを完成させますセクション 1 (AOC パート 1 & 2) 評価の説明と概要セクション 2 PCI DSS 自己問診 (SAQ D) セクション 3 (AOC パート 3 & 4) 検証と準拠証明の詳細および非準拠要件に対するアクションプラン ( 該当する場合 ) 4. SAQ および準拠証明書を ASV スキャンレポート等他の必須文書とともにペイメントブランドまたは他の要求者に提出します自己問診 (SAQ) についてこの自己問診の PCI DSS 質問欄にある質問は PCI DSS の要件に基づくものです PCI DSS 要件と自己問診の記入方法に関するガイダンスを提供するその他のリソースが評価プロセスを支援するために用意されていますこれらのリソースの概要を以下に示します文書内容 PCI DSS (PCI データセキュリティ基準の要件とセキュリティ評価手順 ) 範囲設定のガイダンスすべての PCI DSS の趣旨に関するガイダンステスト手順の詳細代替コントロールに関するガイダンス SAQ 説明およびガイドライン文書すべての SAQ とその適格性基準についての情報 PCI DSS と PA-DSS の用語集 ( 用語略語および頭字語 ) どの SAQ があなたの組織に適しているかを判断する方法 PCI DSS と自己問診で使用されている用語の説明と定義これらのリソースおよび他のリソースは PCI DSS ウェブサイト (www.pcisecuritystandards.org) でご覧いただけます評価を開始する前に PCI DSS および付属文書を読むことを推奨します PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. v ページ

欄では PCI DSS に記載されているテスト手順に基づくもので要件が満たされていることを確認するために実施すべきテストの種類に関する概要を説明しています各要件のテスト手順の詳細説明は PCI DSS に記載されています自己問診の記入方法各質問に対しその要件に関するあなたの会社の準拠状態を示すの選択肢が与えられています各質問に対してを一つだけ選択してください各の意味を次の表に説明します CCW 付 ( 代替コントロールワークシート ) 説明が実施され要件の全要素が記載されているとおり満たされましたが実施され代替コントロールの助けを借りて要件が満たされたこの欄のにはすべて SAQ の付録 B の代替コントロールワークシート (CCW) への記入が必要です代替コントロールの使用に関する情報とワークシートの記入方法についてのガイダンスは PCI DSS に記載されていますいいえ N/A ( 該当なし ) 未テスト要件の要素の全部または一部が満たされていないか導入中あるいは確立したかを知るためにさらにテストが必要ですこの要件は会社の環境に該当しません ( 特定の要件が適用されない場合を参照 ) この欄にした場合はすべて SAQ 付録 C の説明が必要ですこの要件は評価の対象に含まれておらず全くテストされていません ( このオプションを使用する場合の例は下の該当なしと未テストの違いについてを参照してください ) この欄にした場合はすべて SAQ 付録 D の説明が必要です特定の要件が適用されない場合 SAQ D を完成させる会社の多くは各 PCI DSS 要件への準拠を検証する必要がありますが特定のビジネスモデルの会社には適用されない要件もありますたとえばワイヤレス技術をまったく使用しない会社はワイヤレス技術の管理に特化した PCI DSS セクションへの準拠を検証する必要がありません同様にカード会員データをいつも電子形式で保存しない会社はカード会員データの安全な保管に関連する要件を検証する必要はありません ( 要件 3.4 など ) 特定の適用条件のある要件の例ワイヤレス技術のセキュリティ保護に固有の質問にはネットワークでワイヤレスを使用している場合にのみしてください ( 要件 1.2.3 2.1.1 4.1.1 など ) 要件 11.1( 承認されていな PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. vi ページ

いワイヤレスアクセスポイントを識別するプロセスの使用 ) はワイヤレス技術がネットワーク内で使用されていない場合でもする必要がありますプロセスは知らないうちに追加された可能性がある不正デバイスを検出するためですアプリケーション開発および安全なコーディングに固有の質問にはあなたの会社が独自のカスタム Web アプリケーションを作成している場合にのみしてください ( 要件 6.3 と 6.5) 要件 9.1.1 と 9.3 の質問には以下に定義する機密エリアにある設備についてのみしてください機密エリアとはデータセンタサーバルームまたはカード会員データを保存処理または伝送するシステムが設置されているエリアのことであるこれには小売店のレジなど POS 端末のみが存在する一般公開エリアは含まれませんが小売店でカード会員データを保存するバックオフィスのサーバルームおよび大量のカード会員データの保管エリアはこれに含まれます要件があなたの会社の環境に該当しない場合その要件に対して N/A オプションを選択し N/A を選択した各項目について付録の適用されない理由についての説明ワークシートに説明を入力します該当なしと未テストの違いについて有る環境に適用されないと見なされる要件はその旨を検証する必要があります上記のワイヤレスの例を使用して会社が要件 1.2.3 2.1.1 4.1.1 に対して N/A を選択するにはその会社はまずワイヤレス技術が CDE で使用されていないか CDE に接続されていないことを実証する必要がありますこれが実証されたら会社はその要件に対して N/A を選択できますある要件が適用されるかどうかについて全く考慮せずにレビューから完全に外す場合未テストオプションを選択しますこれが起こり得る状況の例には次のようなものがあります会社がアクワイアラーから要件の一部を検証するように依頼された場合 - 例えば特定のマイルストンを検証するために優先されたアプローチを使用する場合などがあります会社が要件の一部のみに影響する新しいセキュリティ制御を検証する場合 - 例えば PCI DSS の要件 2 3 4 の評価を要求する暗号化方法の実装等がありますサービスプロバイダは限られた数だけの PCI DSS 要件のみをカバーするサービスを提供している場合があります - 例えば物理ストレージプロバイダはそのストレージ設備における PCI DSS 要件 9 に準拠する物理セキュリティ制御のみを検証したい場合がありますこれらのシナリオでは他の要件も会社の環境に適用される可能性があるにも関わらず会社は特定の PCI DSS 要件のみの検証を望んでいます法的例外あなたの会社が法的制限を受けており PCI DSS の要件を満たすことができない場合はその要件のいいえの欄にチェックマークを付け該当する証明書をパート 3 に記入してください PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. vii ページ

セクション 1: 評価情報提出に関する指示この文書は PCI データセキュリティ基準 (PCI DSS) の要件とセキュリティ評価手順によるサービスプロバイダの自己評価結果を表明するものとして完成されねばなりませんこの文書のすべてのセクションの記入が必要ですサービスプロバイダは該当する場合各セクションが関連当事者によって記入されることを確認する責任を負いますレポートおよび提出手順については要求元のペイメントブランドに問い合わせてくださいパート 1. サービスプロバイダと認定セキュリティ評価機関 (QSA) の情報パート 1a. サービスプロバイダの組織情報会社名 : DBA ( 商号 ): 名前 : 役職 : 電話番号 : 電子メール : 会社住所 : 市区町村 : 都道府県 : 国 : 郵便番号 : URL: パート 1b. 認定セキュリティ評価機関 (QSA) の会社情報 ( 該当する場合 ) 会社名 : QSA リーダーの名前 : 役職 : 電話番号 : 電子メール : 会社住所 : 市区町村 : 都道府県 : 国 : 郵便番号 : URL: PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 1 ページ

パート 2. 概要パート 2a. 評価範囲の検証 PCI DSS 評価範囲に含まれていたサービス ( 該当するものすべてにチェック ): 評価したサービスの名前 : 評価したサービスの種類 : ホスティングプロバイダ : アプリケーション / ソフトウェアハードウェアインフラ / ネットワーク物理空間 ( コロケーション ) ストレージ Web セキュリティサービス 3D セキュアホスティングプロバイダ共有ホスティングプロバイダその他のホスティング ( 具体的に記入してください ): 管理サービス ( 具体的に記入してください ): システムセキュリティサービス IT サポート物理セキュリティ端末管理システムその他のサービス ( 具体的に記入してください ): 支払の処理 : POS / カード提示インターネット / 電子商取引通信販売 / コールセンター ATM その他の処理 ( 具体的に記入してください ): アカウント管理不正行為および返金サービスペイメントゲートウェイ / スイッチバックオフィスサービスイシュアの処理プリペイドサービス請求管理ロイヤルティプログラム記録管理清算と決済加盟店のサービス税金 / 政府支払いネットワークプロバイダその他 ( 具体的に記入してください ): 注 : これらのカテゴリは一般的な例としてのみ提供されており事業体のサービスの説明を制限したり事前指定するものではありませんこれらのカテゴリがあなたの会社のサービスに適合しない場合は " その他 " に記入してくださいあるカテゴリがあなたの会社のサービスに適格かわからない場合は該当するペイメントブランドにご確認ください PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 2 ページ

パート 2a. 評価範囲の検証 ( 続き ) サービスプロバイダによって提供されているが PCI DSS 評価範囲に含まれていなかったサービス ( 該当するもの全てにチェック ): 評価しなかったサービスの名前 : 評価しなかったサービスの種類 : ホスティングプロバイダ : アプリケーション / ソフトウェアハードウェアインフラ / ネットワーク物理空間 ( コロケーション ) ストレージ Web セキュリティサービス 3D セキュアホスティングプロバイダ共有ホスティングプロバイダその他のホスティング ( 具体的に記入してください ): 管理サービス ( 具体的に記入してください ): システムセキュリティサービス IT サポート物理セキュリティ端末管理システムその他のサービス ( 具体的に記入してください ): 支払の処理 : POS / カード提示インターネット / 電子商取引通信販売 / コールセンター ATM その他の処理 ( 具体的に記入してください ): アカウント管理不正行為および返金サービスペイメントゲートウェイ / スイッチバックオフィスサービスイシュアの処理プリペイドサービス請求管理ロイヤルティプログラム記録管理清算と決済加盟店のサービス税金 / 政府支払いネットワークプロバイダその他 ( 具体的に記入してください ): 選択したサービスが評価に含まれていない理由の短い説明 : パート 2b. 支払カードビジネスの説明カード会員データをどのようにまたどのような理由で保存処理伝送しているか説明してくださいあるいはどのような立場でカード会員データのセキュリティに関わっているまたは影響を及ぼすことができるか説明してくださいパート 2c. 場所 PCI DSS レビューに含まれている施設の種類 ( 例えば小売店事業所データセンターコールセンターなど ) と場所の概要を挙げてください PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 3 ページ

施設の種類該当する施設の数施設の場所 ( 市区町村国 ) 例 : 小売店 3 米国マサチューセッツ州ボストンパート 2d. ペイメントアプリケーション対象組織は一つまたは複数のペイメントアプリケーションを使用していますか? いいえ対象組織が使用するペイメントアプリケーションについて次の情報を記入してください : ペイメントアプリケーションの名前バージョン番号アプリケーションベンダアプリケーションは PA-DSS 登録済みですか? PA-DSS 登録の有効期限 ( 該当する場合 ) いいえいいえいいえいいえいいえいいえいいえいいえパート 2e. 環境の説明この評価の対象となる環境の概要を説明してください例 : カード会員データ環境 (CDE) との接続 POS デバイスデータベース Web サーバーなど CDE 内の重要なコンポーネントおよび該当する場合に必要となる他の支払要素あなたの会社は PCI DSS 環境の評価範囲に影響するようなネットワークセグメンテーションを使用していますか? ( ネットワークセグメンテーションについては PCI DSS のネットワークセグメンテーションセクションを参照してください ) いいえパート 2f. サードパーティサービスプロバイダ PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 4 ページ

あなたの会社はここで検証しているサービスの目的で認定インテグレータとリセラー (QIR) と関係がありますか? もしあれば : いいえ QIR 会社の名前 : QIR 個人名 : QIR から提供されたサービスの説明 : PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 5 ページ

パート 2f. サードパーティサービスプロバイダ ( 続き ) あなたの会社はここで検証しているサービスの目的で 1 つ以上のサードパーティサービスプロバイダと関係がありますか ( 例えば認定インテグレータとリセラー (QIR) ゲートウェイペイメントプロセサーペイメントサービスプロバイダ (PSP) Web ホスティング会社航空券予約代理店ロイヤルティプログラム代理店など )? いいえと答えた場合 : サービスプロバイダの名前 : 提供されるサービスの説明 : 注 : 要件 12.8 はこのリスト上のすべての事業体に適用されます PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 6 ページ

パート 2g. テストした要件の概要各 PCI DSS 要件に対して以下のうちから 1 つ選んでください : 完全その要件およびその下位要件すべてを評価し SAQ で未テストまたは該当なしとマークした下位要件はない部分的その要件の下位要件のうちの 1 つ以上に対し SAQ で未テストまたは該当なしとマークしたなしその要件のすべての下位要件に対し SAQ で未テストまたは該当なしとマークした部分的またはなしとマークしたすべての要件に対し以下を含む詳細をアプローチの正当理由欄に記入してください : SAQ で未テストまたは該当なしとしてマークした下位要件の詳細その下位要件が未テストまたは該当なしである理由注 : この AOC の対象となる各サービスに対してそれぞれ 1 つの表に記入してくださいこのセクションの追加コピーは PCI SSC の Web サイトにあります評価したサービスの名前 : 評価した要件の詳細アプローチの正当理由 PCI DSS 要件要件 1: 完全部分的なし ( 部分的となしすべてに必要どの下位要件が未テストまたは該当なしであるか及びその理由を記入 ) 要件 2: 要件 3: 要件 4: 要件 5: 要件 6: 要件 7: 要件 8: 要件 9: 要件 10: 要件 11: 要件 12: 付録 A1: 付録 A2: PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 1: 評価の情報 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 7 ページ

セクション 2: 自己問診 D - サービスプロバイダ用注 : 以下の質問は PCI DSS 要件とセキュリティ評価手順に定義されているとおり PCI DSS 要件とテスト手順に従って採番されています安全なネットワークとシステムの構築と維持自己問診の完了日 : 要件 1: カード会員データを保護するためにファイアウォールをインストールして維持する PCI DSS 質問 1.1 確立され実装されたファイアウォールおよびルーター構成基準には以下が含まれていますか? 1.1.1 すべてのネットワーク接続およびファイアウォール / ルーター構成への変更を承認およびテストする正式なプロセスがありますか? 1.1.2 ワイヤレスネットワークを含めカード会員データ環境と他のネットワークとの間のすべての接続を文書化した最新のネットワーク図はありますか? 図が最新に保たれていることを確認するプロセスがありますか? 1.1.3 システムとネットワーク内でのカード会員データのフローを示す最新の図がありますか? (b) 図が最新に保たれていることを確認するプロセスがありますか? 文書化されたプロセスのレビューネットワーク構成の調査最新のネットワーク図のレビューネットワーク構成の調査責任者のインタビュー最新のデータフロー図のレビューネットワーク構成の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 8 ページ

1.1.4 (a) 各インターネット接続および DMZ (demilitarized zone) と内部ネットワークゾーンとの間にファイアウォールが要求され実装されていますか? 現在のネットワーク図はファイアウォール構成基準と一致していますか? 1.1.5 ファイアウォール / ルーター構成基準にネットワークコンポーネントの論理的管理のためのグループ役割責任に関する記述が含まれていますか? 1.1.6 ファイアウォール / ルーター構成基準に業務に必要なサービスプロトコルポートを文書化したリストが含まれていますか? 安全でないサービスプロトコルおよびポートはすべて特定されそれぞれセキュリティ機能が文書化され特定された各サービスで実装されていますか? 1.1.7 ファイアウォール / ルーター構成基準でファイアウォールおよびルーターのルールセットを少なくとも 6 カ月ごとにレビューするように要求していますか? ファイアウォールおよびルーターのルールセットは少なくとも 6 カ月ごとにレビューされていますか? ファイアウォール構成基準のレビュー対象範囲内のファイアウォールが確認できるネットワーク構成の観察ファイアウォール構成基準と最新のネットワーク図の比較ファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成基準のレビューファイアウォールレビューの記録の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 9 ページ

1.2 信頼できないネットワークとカード会員データ環境内のすべてのシステム間の接続が次のようにファイアウォール / ルーター構成によって制限されていますか? 注 : 信頼できないネットワークとはレビュー対象の事業体に属するネットワーク外のネットワークまたは事業体の制御または管理が及ばないネットワーク ( あるいはその両方 ) のことです 1.2.1 (a) 着信および発信トラフィックをカード会員データ環境に必要なトラフィックに制限されていますか? たとえば明示のすべてを拒否または許可文の後の暗黙の拒否を使用することで他のすべての着信および発信トラフィックが明確に拒否されていますか? 1.2.2 ルーター構成ファイルが不正アクセスから安全に保護されており同期化されていますかたとえば実行 ( アクティブ ) 構成が起動構成 ( マシンの再起動時に使用 ) に一致していますか? 1.2.3 すべてのワイヤレスネットワークとカード会員データ環境の間に境界ファイアウォールがインストールされておりこれらのファイアウォールはワイヤレス環境とカード会員データ環境間のトラフィックを拒否または ( 業務上必要な場合 ) 承認されたトラフィックのみを許可するように構成されていますか? ファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成基準のレビュールータ構成ファイルおよびルータ構成の調査ファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 10 ページ

1.3 インターネットとカード会員データ環境内のすべてのシステムコンポーネント間の直接的なパブリックアクセスは禁止されていますか? 1.3.1 DMZ は誰でもアクセス可能な承認済みのサービスプロトコルポートを提供するシステムコンポーネントにのみ着信トラフィックを制限するように実装されていますか? 1.3.2 着信インターネットトラフィックを DMZ 内の IP アドレスに制限していますか? 1.3.3 アンチスプーフィング対策を実施し偽の送信元 IP アドレスを検出してネットワークに侵入されないようにブロックしていますか? ( たとえば内部アドレスを持つインターネットからのトラフィックをブロックするなど ) 1.3.4 カード会員データ環境からインターネットへの発信トラフィックは明示的に承認されていますか? 1.3.5 ネットワーク内への接続は確立された接続のみ許可されていますか? 1.3.6 カード会員データを保存するシステムコンポーネント ( データベースなど ) は DMZ やその他の信頼されないネットワークから分離された内部ネットワークゾーンに配置されていますか? ファイアウォールおよびルータ構成基準のレビューファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成の調査ファイアウォールおよびルータ構成の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 11 ページ

1.3.7 (a) インターネットへのプライベート IP アドレスとルート情報の開示を防ぐ方法は実施されていますか? 注 : IP アドレスを開示しない方法には以下のものが含まれますがこれらに限定されませんファイアウォールおよびルータ構成の調査 ( 各質問に対して 1 つを選んでください ) ネットワークアドレス変換 (NAT) カード会員データを保持するサーバをプロキシサーバ / ファイアウォールの背後に配置する登録されたアドレス指定を使用するプライベートネットワークのルートアドバタイズを削除するかフィルタリングする登録されたアドレスの代わりに RFC 1918 アドレス空間を内部で使用するプライベート IP アドレスとルート情報の外部の事業体への開示は承認されていませんか? ファイアウォールおよびルータ構成の調査 1.4 ネットワークの外側 ( 例えば従業員によって使用されるラップトップ ) でインターネットに接続され CDE へのアクセスにも使用されるポータブルコンピューティングデバイス ( 会社および / または従業員所有を含む ) にパーソナルファイアウォール ( または同等の機能 ) がインストールされアクティブになっていますか? (b) パーソナルファイアウォールソフトウェア ( または同等の機能 ) が所定の構成に設定されアクティブに実行されておりモバイルデバイスや従業員所有のデバイスのユーザによって変更できないようになっていますか? ポリシーおよび構成基準のレビューモバイルおよび / または従業員所有デバイスの調査ポリシーおよび構成基準のレビューモバイルおよび / または従業員所有デバイスの調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 12 ページ

1.5 ファイアウォールを管理するためのセキュリティポリシーと操作手順は以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られているセキュリティポリシーおよび運用手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 13 ページ

要件 2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない PCI DSS 質問 2.1 (a) システムをネットワークに導入する前にベンダ提供のデフォルト値が必ず変更されていますか? これはオペレーティングシステムセキュリティサービスを提供するソフトウェアアプリケーションシステムアカウント POS 端末簡易ネットワーク管理プロトコル (SNMP) コミュニティ文字列で使用されるがこれらに限定されないすべてのデフォルトパスワードに適用されますネットワーク上にシステムをインストールする前に不要なデフォルトアカウントを削除または無効化されましたか? 2.1.1 カード会員データ環境に接続されているまたはカード会員データを伝送するワイヤレスベンダのデフォルト値が以下のように変更されていますか? (a) 暗号鍵がインストール時のデフォルトから変更されていて鍵の知識を持つ人物が退社または異動するたびに鍵が変更されていますか? (b) ワイヤレスデバイスのデフォルトの SNMP コミュニティ文字列がインストール時に変更されていますか? ポリシーおよび手順のレビューベンダ文書の調査システム構成およびアカウント設定の観察ポリシーおよび手順のレビューベンダ文書のレビューシステム構成およびアカウント設定の調査ポリシーおよび手順のレビューベンダ文書のレビューポリシーおよび手順のレビューベンダ文書のレビューシステム構成の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 14 ページ

(c) アクセスポイントのデフォルトのパスワード / パスフレーズがインストール時に変更されていますか? (d) ワイヤレスデバイスのファームウェアが更新されワイヤレスネットワーク経由の認証および伝送用の強力な暗号化をサポートしていますか? (e) その他セキュリティに関連するワイヤレスベンダのデフォルト値は変更されていますか?( 該当する場合 ) 2.2 (a) すべてのシステムコンポーネントについて構成基準が作成され業界で認知されたシステム強化基準と一致していますか? 業界で認知されたシステム強化基準のソースには SysAdmin Audit Network Security (SANS) Institute, National Institute of Standards Technology (NIST), International Organization for Standardization (ISO), and Center for Internet Security (CIS) が含まれますがこれらに限定されません (b) システム構成基準が新たな脆弱性問題が見つかったときに要件 6.1 で定義されているように更新されていますか? (c) 新しいシステムを構成する際にシステム構成基準が適用されていますか? ポリシーおよび手順のレビューシステム構成の調査ポリシーおよび手順のレビューベンダ文書のレビューシステム構成の調査ポリシーおよび手順のレビューベンダ文書のレビューシステム構成の調査システム構成基準のレビュー業界で認知された強化基準のレビューポリシーおよび手順のレビューポリシーおよび手順のレビューポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 15 ページ

(d) システム構成基準に以下がすべて含まれていますか? すべてのベンダ提供デフォルト値を変更し不要なデフォルトアカウントを削除しているか? 同じサーバに異なったセキュリティレベルを必要とする機能が共存しないように 1 つのサーバには主要機能を 1 つだけ実装しているか? システムの機能に必要なサービスプロトコルデーモンなどのみを有効にしていますか? 安全でないと見なされている必要なサービスプロトコルまたはデーモンに追加のセキュリティ機能を実装していますか? システムのセキュリティパラメータが悪用を防ぐように構成されていますか? スクリプトドライバ機能サブシステムファイルシステム不要な Web サーバなど不要な機能をすべて削除していますか? 2.2.1 (a) 同じサーバに異なったセキュリティレベルを必要とする機能が共存しないように 1 つのサーバには主要機能を 1 つだけ実装していますか? 例えば Web サーバデータベースサーバおよび DNS は別々のサーバに実装する必要がある仮想化技術が使用されている場合は 1 つの仮想システムコンポーネントまたはデバイスには主要機能が 1 つだけ実装されていますか? システム構成基準のレビューシステム構成の調査システム構成の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 16 ページ

2.2.2 (a) システムの機能に必要なサービスプロトコルデーモンなどのみが有効になっていますか ( デバイスの特定機能を実行するのに直接必要でないサービスおよびプロトコルが無効になっている )? (b) 有効になっているが安全でないサービスデーモンプロトコルを特定しそれぞれ文書化された構成基準に従って正当化されていることを確認しましたか? 構成基準のレビューシステム構成の調査構成基準のレビュー構成設定の調査有効なサービスと文書化された正当性の比較 ( 各質問に対して 1 つを選んでください ) 2.2.3 安全でないとみなされている必要なサービスプロトコルまたはデーモンに追加のセキュリティ機能は実装されていますか? 注 : SSL/ 初期の TLS を使用している場合付録 A2 の要件をすべて満たす必要があります 2.2.4 (a) システムコンポーネントを構成するシステム管理者または担当者 ( あるいはその両方 ) はそれらのコンポーネントの一般的なセキュリティパラメータ設定に関する知識がありますか? システム構成基準に一般的なシステムセキュリティパラメータ設定が含まれていますか? (c) セキュリティパラメータはシステムコンポーネントに適切に設定されていますか? 2.2.5 (a) スクリプトドライバ機能サブシステムファイルシステム不要な Web サーバなど不要な機能がすべて削除されていますか? 構成基準のレビュー構成設定の調査システム構成基準のレビューシステムコンポーネントの調査セキュリティパラメータ設定の調査設定とシステム構成基準の比較システムコンポーネントのセキュリティパラメータの調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 17 ページ

有効な機能が文書化され安全な構成がサポートされていますか? (d) システムコンポーネントには文書化された機能のみがありますか? 2.3 すべての非コンソール管理アクセスは以下のように暗号化されていますか? 注 : SSL/ 初期の TLS を使用している場合付録 A2 の要件をすべて満たす必要があります文書のレビューシステムコンポーネントのセキュリティパラメータの調査文書のレビューシステムコンポーネントのセキュリティパラメータの調査 ( 各質問に対して 1 つを選んでください ) (a) (b) (c) (d) すべての非コンソール管理アクセスは強力な暗号化技術を使用して暗号化され管理者パスワードが要求される前に強力な暗号化方式が実行されていますか? システムサービスおよびパラメータファイルは Telnet などの安全でないリモートログインコマンドを使用できないように構成されていますか? Web ベース管理インターフェースへの管理者アクセスは強力な暗号化技術で暗号化されていますか? 使用テクノロジの強力な暗号化が業界のベストプラクティスとベンダの推奨事項に従って導入されていますか? システムコンポーネントの調査システム構成の調査管理者ログオンの観察システムコンポーネントの調査サービスおよびファイルの調査システムコンポーネントの調査管理者ログオンの観察システムコンポーネントの調査ベンダ文書のレビュー 2.4 (a) PCI DSS の適用範囲内にあるハードウェアとソフトウェアのコンポーネントとそれぞれの機能のリストを含むシステムコンポーネントのインベントリが維持されていますか? システムインベントリの調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 18 ページ

( 各質問に対して 1 つを選んでください ) (b) 文書化されたインベントリが最新状態に保たれていますか? 2.5 ベンダデフォルトおよび他のセキュリティパラメータの管理に関するセキュリティポリシーと操作手順が以下の要件を満たしていますか? 文書化されているセキュリティポリシーおよび運用手順のレビュー使用されている影響を受ける関係者全員に知られている 2.6 共有ホスティングプロバイダの場合各事業体のホスト環境およびカード会員データを保護するようにシステムが構成されていますか? 付録 A1 テスト手順の完了満たす必要のある特定の要件については付録 A1: 共有ホスティングプロバイダ向けの PCI DSS 追加要件を参照してください 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 19 ページ

カード会員データの保護要件 3: 保存されるカード会員データを保護する PCI DSS 質問 3.1 データの保存と廃棄に関するポリシーと手順およびプロセスは以下のとおり実装されていますか : (a) 保存するデータ量と保存期間が法律上規制上業務上必要な範囲に限定されていますか? (b) 法律上規制上または業務上不要になったカード会員データを安全に削除するプロセスが定義され実施されていますか? (c) カード会員データの特定のデータ保存要件がありますか? 例えばカード会員データは X の期間 Y という業務上の理由で保存する必要がある (d) 定義された保存要件を超えるカード会員データを特定して安全に廃棄する四半期ごとのプロセスがありますか? (e) 保存されたカード会員データがすべてデータ保存ポリシーで定義された要件を満たしていますか? データ保管および削除ポリシーと手順のレビューポリシーおよび手順のレビュー削除メカニズムの調査ポリシーおよび手順のレビュー保存要件の調査ポリシーおよび手順のレビュー削除プロセスの観察ファイルおよびシステム記録の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 20 ページ

3.2 (a) イシュイングサービスをサポートし機密認証データを保存するイシュアまたは会社について機密認証データの保存に関して業務上の理由がありますか? (b) イシュイングサービスをサポートし機密認証データを保存するイシュアや会社は以下の要件を満たしていますか? データが安全に保存されている (c) 他のすべての事業体向け : 機密認証データは承認プロセスが完了し次第削除するか復元不可能にしていますか? (d) すべてのシステムが ( 暗号化されている場合も ) 承認後のセンシティブ認証データの非保持に関する以下の要件に準拠していますか? 3.2.1 承認後にフルトラックの内容 ( カード裏面の磁気ストライプチップ上に含まれる同等のデータまたは他の場所から ) が保存されていませんか? このデータはフルトラックトラックトラック 1 トラック 2 および磁気ストライプデータとも呼ばれます注 : 通常の取引過程では磁気ストライプからの以下のデータ要素を保存する必要が生じる場合がありますカード会員名プライマリアカウント番号 (PAN) 有効期限およびサービスコードリスクを最小限に抑えるため取引に必要なデータ要素のみを保存しますポリシーおよび手順のレビュー文書化された業務上の正当な理由のレビューデータ保管およびシステム構成ファイルの調査ポリシーおよび手順のレビューシステム構成の調査削除プロセスの調査データソースとして以下を含む調査受入トランザクションデータすべてのログ履歴ファイルトレースファイルデータベーススキーマデータベースコンテンツ ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 21 ページ

3.2.2 カード検証コードまたは値 ( ペイメントカードの前面または裏面に印字された 3 桁または 4 桁の数字 ) は承認後保存されませんか? 3.2.3 個人識別番号 (PIN) または暗号化された PIN ブロックを承認後保存していませんか? データソースとして以下を含む調査受入トランザクションデータすべてのログ履歴ファイルトレースファイルデータベーススキーマデータベースコンテンツデータソースとして以下を含む調査 ( 各質問に対して 1 つを選んでください ) 受入トランザクションデータすべてのログ履歴ファイルトレースファイルデータベーススキーマデータベースコンテンツ 3.3 表示時に PAN をマスクして ( 最初の 6 桁と最後の 4 桁が最大表示桁数 ) 業務上の正当な必要性がある関係者だけが PAN 全体を見ることができるようにしていますか? 注 : カード会員データの表示 ( 法律上またはペイメントカードブランドによる POS レシート要件など ) に関するこれより厳しい要件がある場合はその要件より優先されることはありませんポリシーおよび手順のレビュー PAN 全桁を表示するアクセスが必要な役割のレビューシステム構成の調査 PAN の表示の観察 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 22 ページ

3.4 以下の手法を使用してすべての保存場所 ( データリポジトリポータブルデジタルメディアバックアップメディア監査ログなど ) で PAN を読み取り不能にしていますか? 強力な暗号化をベースにしたワンウェイハッシュ (PAN 全体をハッシュする必要がある ) トランケーション (PAN の切り捨てられたセグメントの置き換えにはハッシュを使用できない ) インデックストークンとパッド ( パッドは安全に保存する必要がある ) 関連するキー管理プロセスおよび手順を伴う強力な暗号化注 : 悪意のある個人がトランケーションされた PAN とハッシュ化された PAN の両方を取得した場合元の PAN を比較的容易に再現することができますハッシュ化および切り捨てられた PAN の同じバージョンが事業体の環境に存在する場合元の PAN を再構築するためにハッシュ化および切り捨てられたバージョンを関連付けることはできないことを確認する追加コントロールを導入する必要があります 3.4.1 ディスク暗号化 ( ファイルまたは列レベルのデータベース暗号化ではなく ) が使用される場合アクセスは以下のように管理されていますか? 注 : この要件はすべての他の PCI DSS 暗号化および鍵管理要件に加えて適用されます (a) 論理アクセスはネイティブなオペレーティングシステムのアクセス制御メカニズムとは別に管理されていますか ( ローカルユーザアカウントデータベースを使用しないなどの方法で )? (b) 暗号化鍵は安全に保存されていますか ( 例えば強力なアクセス制御で適切に保護されているリムーバブル媒体に保存されているなど )? ベンダ文書の調査データ保管場所の調査リムーバブルメディアの調査ペイメントアプリケーションログを含む監査ログの調査システム構成の調査承認プロセスの観察プロセスの観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 23 ページ

(c) どこに保存されている場合でもリムーバブル媒体のカード会員データは暗号化されていますか? 注 : ディスク暗号化がリムーバブル媒体の暗号化に使用されていない場合はこのメディアに保存されるデータを他の方法を使用して読み取り不能にする必要があります 3.5 カード会員データを漏えいと悪用から保護するために使用される鍵を保護するための手順が以下の要件を満たしていますか? 注 : この要件は保存されているカード会員データを暗号化する鍵に適用されまたデータ暗号化鍵の保護に使用する鍵暗号化鍵にも適用されるつまり鍵暗号化鍵は少なくともデータ暗号化鍵と同じ強度を持つ必要があります 3.5.1 サービスプロバイダのみ : 以下を含む暗号アーキテクチャの説明を文書化して維持されていますか? すべてのアルゴリズムプロトコル鍵の強度や有効期限を含むカード会員データの保護に使用される鍵の詳細システム構成の調査プロセスの観察文書のレビュー ( 各質問に対して 1 つを選んでください ) 各鍵の用途の説明鍵管理に使用されるすべての HSM とその他の SCD のインベントリ注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になる 3.5.2 暗号化鍵へのアクセスは必要最小限の管理者に制限されていますか? ユーザアクセスリストの調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 24 ページ

3.5.3 カード会員データの暗号化 / 復号に使用される秘密暗号化鍵は以下のいずれかの形式 ( 複数可 ) で常時保存されていますか? 少なくともデータ暗号化鍵と同じ強度の鍵暗号化鍵で暗号化されておりデータ暗号化鍵とは別の場所に保存されている安全な暗号化デバイス ( ハードウェア ( ホスト ) セキュリティモジュール (HSM) または PTS 承認の加盟店端末装置など ) 内業界承認の方式に従う少なくとも 2 つの全長鍵コンポーネントまたは鍵共有として注 : 公開鍵がこれらの形式で保存されていることは要求されていません文書化された手順のレビューシステム構成および鍵暗号化鍵を含む鍵の保管場所の調査 ( 各質問に対して 1 つを選んでください ) 3.5.4 暗号化鍵は最小限の保存場所に保存していますか? 鍵保管場所の調査プロセスの観察 3.6 (a) カード会員データの暗号化に使用される暗号化鍵の管理プロセスおよび手順がすべて文書化され実装されていますか? (b) サービスプロバイダのみ : サービスプロバイダがカード会員データの伝送に使用する鍵を顧客と共有している場合サービスプロバイダが顧客に提供する文書を調べて以下の要件 3.6.1~3.6.8 に従って顧客の鍵 ( 顧客とサービスプロバイダ間でデータを伝送するために使用される ) を安全に伝送保存変更する方法が記述されていますか? 鍵管理手順のレビュー顧客に提供する文書のレビュー鍵管理プロセスと手順は次が要求されるように実装されていますか? 3.6.1 暗号化鍵の手順に強力な暗号化鍵の生成が含まれていますか? 鍵管理手順のレビュー鍵生成手順の観察 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 25 ページ

3.6.2 暗号化鍵の手順に安全な暗号化鍵の配布が含まれていますか? 3.6.3 暗号化鍵の手順に安全な暗号化鍵の保存が含まれていますか? 3.6.4 暗号化期間の終了時点に到達した暗号化鍵を変更していますか? 暗号化期間の終了時点とは関連アプリケーションベンダまたは鍵オーナーが定義し業界のベストプラクティスおよびガイドライン ( たとえば NIST Special Publication 800-57 など ) に基づいた期間の経過後および / もしくは付与された鍵で一定量の暗号化テキストを作成した後を指します 3.6.5 (a) 暗号化鍵の手順に鍵の完全性が弱くなったとき ( 例えば平文の鍵の情報を持つ従業員が業務から離れる場合 ) の暗号化鍵の破棄または取替 ( アーカイブ破棄廃止など ) が含まれていますか? 不要になったまたは危険にさらされたことが判明もしくは疑われる暗号化鍵の取替を行う手順がありますか? 破棄されたまたは取り替えられた暗号化鍵を保持する場合その鍵を ( 暗号化操作ではなく ) 暗号解除 / 検証の目的にのみ使用していますか? 鍵管理手順のレビュー鍵配布方法の観察鍵管理手順のレビュー鍵の安全な保管のための方法の観察鍵管理手順のレビュー鍵管理手順のレビュー鍵管理手順のレビュー鍵管理手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 26 ページ

3.6.6 平文暗号化の暗号化鍵の管理を手動で行う場合次のような暗号化鍵の知識分割とデュアルコントロールを行っていますか? 鍵知識の分割は鍵コンポーネントが 2 人以上の管理下に置かれ各人は自分の鍵コンポーネントに関する知識しか持たないようにすることを要求していますか? および鍵のデュアルコントロールによりどのような鍵管理操作を行う場合にも 2 人以上を必要としどちらも他方の認証情報 ( パスワードや鍵など ) にアクセスできないようになっていますか? 注 : 手動の暗号化鍵管理操作の例には鍵の生成伝送読み込み保存破棄などが含まれますがこれらに限定されません 3.6.7 暗号化鍵手順に暗号化鍵の不正置換の防止が含まれていますか? 3.6.8 暗号化鍵管理者が自身の責務を理解しそれを受諾 ( 書面上または電子的に ) したことを確認していますか? 3.7 保存されているカード会員データを保護するためのセキュリティポリシーと操作手順は以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られている鍵管理手順のレビューおよび / またはプロセスの観察手順のレビューおよび / またはプロセスの観察手順のレビュー文書またはその他の証跡のレビューセキュリティポリシーおよび運用手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 27 ページ

要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する PCI DSS 質問 4.1 (a) オープンな公共ネットワーク経由で機密性の高いカード会員データを伝送する場合強力な暗号化技術と安全なプロトコルを使用して保護していますか? 注 : SSL/ 初期の TLS を使用している場合付録 A2 の要件をすべて満たす必要がありますオープンな公共ネットワークの例としてインターネット 802.11 および Bluetooth を含むワイヤレス技術携帯電話技術例えば Global System for Mobile communications (GSM) 符号分割多元接続 (CDMA) および General Packet Radio Service (GPRS) などが挙げられますがこれらに限りません (b) 信頼できる鍵および / または証明書のみが受け付けられていますか? (c) 実装されたセキュリティプロトコルは安全な構成のみ使用され安全でないバージョンまたは構成がサポートされていませんか? (d) 使用中の暗号化手法 ( ベンダの推奨事項 / ベストプラクティスを確認 ) は適切な暗号化強度が実装されていますか? (e) 使用中の暗号化手法 ( ベンダの推奨事項 / ベストプラクティスを確認 ) は適切な暗号化強度が実装されていますか? 例えばブラウザベースの実装の場合 : ブラウザの URL プロトコルとして HTTPS が表示されるおよびカード会員データは URL に HTTPS が表示される場合にのみ要求される文書化された基準のレビューポリシーおよび手順のレビュー CHD が伝送するまたは受領するすべての拠点のレビューシステム構成の調査着信および発信伝送の観察鍵および証明書の調査システム構成の調査ベンダ文書のレビューシステム構成の調査システム構成の調査 ( 各質問に対して 1 つを選んでください ) CCW 付いいえ N/A 未テスト 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 28 ページ

4.1.1 カード会員データを伝送するまたはカード会員データ環境に接続しているワイヤレスネットワークには業界のベストプラクティスを使用して認証および伝送用に強力な暗号化が実装されていますか? 4.2 (a) エンドユーザメッセージングテクノロジ ( 電子メールインスタントメッセージング SMS チャットなど ) で PAN を送信する場合常に読み取り不能にされているかまたは強力な暗号化で保護されていますか? 実施されているポリシーは保護されていない PAN のエンドユーザメッセージングテクノロジでの送信を防ぐものとなっていますか? 4.3 カード会員データの伝送を暗号化するためのセキュリティポリシーと操作手順が以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られている文書化された基準のレビューワイヤレスネットワークのレビューシステム構成設定の調査プロセスの観察発信伝送のレビューポリシーおよび手順のレビューセキュリティポリシーおよび運用手順のレビュー ( 各質問に対して 1 つを選んでください ) CCW 付いいえ N/A 未テスト 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 29 ページ

脆弱性管理プログラムの維持要件 5: すべてのシステムをマルウェアから保護しウイルス対策ソフトウェアまたはプログラムを定期的に更新する PCI DSS 質問 5.1 悪意のあるソフトウェアの影響を受けやすいすべてのシステムにウイルス対策ソフトウェアが導入されていますか? 5.1.1 ウイルス対策プログラムはすべての既知のタイプの悪意のあるソフトウェア ( ウイルストロイの木馬ワームスパイウェアアドウェアルートキットなど ) に対して検知駆除保護が可能ですか? 5.1.2 悪意あるソフトウェアの影響を受けにくいとみなされるこれらのシステムが継続して影響を受けないかどうかを確認するために進化するマルウェアの脅威を特定し評価するための定期的な評価が実施されていますか? 5.2 すべてのウイルス対策メカニズムが以下のように維持されていますか? (a) ウイルス対策ソフトウェアと定義が最新に保たれていますか? (b) 自動更新と定期スキャンは有効になっており実行されていますか? (c) すべてのウイルス対策メカニズムが監査ログを生成しログが PCI DSS 要件 10.7 に従って保持されていますか? システム構成の調査ベンダ文書のレビューシステム構成の調査ポリシーと手順の調査マスターインストールを含むウイルス対策構成の調査システムコンポーネントの調査マスターインストールを含むウイルス対策構成の調査システムコンポーネントの調査ウイルス対策構成の調査ログ保管プロセスのレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 30 ページ

5.3 すべてのウイルス対策メカニズムがアクティブに実行されていますか? ユーザが無効にしたり変更できないようになっていますか? 注 : ウイルス対策ソリューションはケースバイケースで経営管理者により許可されたことを前提に正当な技術上のニーズがある場合に限り一時的に無効にすることができます特定の目的でウイルス対策保護を無効にする必要がある場合正式な許可を得る必要がありますウイルス対策保護が無効になっている間追加のセキュリティ手段が必要になる場合があります 5.4 システムを保護するためのセキュリティポリシーと操作手順は以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られているウイルス対策構成の調査システムコンポーネントの調査プロセスの観察セキュリティポリシーおよび運用手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 31 ページ

要件 6: 安全性の高いシステムとアプリケーションを開発し保守する PCI DSS 質問 6.1 セキュリティの脆弱性を識別するための以下を含むプロセスが導入されていますか? 信頼できる外部情報源を使用したセキュリティ脆弱性情報の収集すべての高リスクと重大な脆弱性の識別を含む脆弱性のランク分けの割り当て注 : リスクのランク分けは業界のベストプラクティスと考えられる影響の程度に基づいている必要がありますたとえば脆弱性をランク分けする基準は CVSS ベーススコアベンダによる分類影響を受けるシステムの種類などを含む場合があります脆弱性を評価しリスクのランクを割り当てる方法は組織の環境とリスク評価戦略によって異なりますリスクのランクは最小限環境に対する高リスクとみなされるすべての脆弱性を特定するものである必要がありますリスクのランク分けに加えて環境に対する差し迫った脅威をもたらす重要システムに影響を及ぼす対処しないと侵害される危険がある場合脆弱性は重大とみなされます重要システムの例としてはセキュリティシステム一般公開のデバイスやシステムデータベースおよびカード会員データを保存処理送信するシステムなどがあります 6.2 (a) すべてのシステムコンポーネントとソフトウェアにベンダ提供のセキュリティパッチがインストールされ既知の脆弱性から保護されていますか? ポリシーおよび手順のレビュープロセスの観察ポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 32 ページ

重要なセキュリティパッチがリリース後 1 カ月以内にインストールされていますか? 注 : 要件 6.1 で定義されているリスクのランク分けプロセスに従って重要なセキュリティパッチを識別する必要があります 6.3 (a) ソフトウェア開発プロセスは業界基準やベストプラクティスに基づいていますか? ソフトウェア開発ライフサイクル全体に情報セキュリティが組み込まれていますか? (c) ソフトウェアアプリケーションは PCI DSS( 安全な認証やロギングなど ) に従って開発されていますか? (d) ソフトウェア開発プロセスは次の 6.3.1~6.3.2 を満たしていますか? 6.3.1 アプリケーションがアクティブになる前または顧客にリリースされる前に開発テスト / カスタムアプリケーションアカウントユーザー ID パスワードを削除しますか? ポリシーおよび手順のレビューシステムコンポーネントの調査インストール済セキュリティパッチの一覧と最近のベンダパッチの一覧の比較ソフトウェア開発プロセスのレビュープロセスの観察ソフトウェア開発プロセスのレビュープロセスの観察ソフトウェア開発プロセスのレビュープロセスの観察ソフトウェア開発プロセスのレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 33 ページ

6.3.2 すべてのカスタムコードが以下のようにコーディングの脆弱性がないことを確認するために本番または顧客のリリース前にレビューされていますか ( 手動または自動プロセスで )? コード変更はコード作成者以外のコードレビュー手法と安全なコーディング手法の知識のある人がレビューしますか? コードレビューによりコードが安全なコーディングガイドラインに従って開発されたことが確認されますか? リリース前に適切な修正が実装されていますか? コードレビュー結果はリリース前に管理職によってレビューおよび承認されていますか? 注 : このコードレビュー要件はシステム開発ライフサイクルの一環としてすべてのカスタムコード ( 内部および公開 ) に適用されますコードレビューは知識を持つ社内担当者または第三者が実施できます一般に公開されている Web アプリケーションは実装後の脅威および脆弱性に対処するために PCI DSS 要件 6.6 に定義されている追加コントロールの対象となります 6.4 システムコンポーネントへのすべての変更は変更管理手順に従っていますか? 6.4.1 (a) 開発 / テスト環境が本番環境から分離されていますか? 開発 / テスト環境を本番環境から分離するためのアクセス制御が行われていますか? ポリシーおよび手順のレビュー最近の変更および変更記録の調査変更管理プロセスおよび手順のレビューネットワーク文書およびネットワークデバイス構成の調査変更管理プロセスおよび手順のレビューアクセス制御設定の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 34 ページ

6.4.2 開発 / テスト環境に割り当てられている担当者と本番環境に割り当てられている担当者との間で責務が分離されていますか? 6.4.3 テストまたは開発に本番環境データ ( 実際の PAN) は使用されていませんか? 6.4.4 システムがアクティブになる / 本番稼働の前にテストデータとテストアカウントは削除されますか? 6.4.5 (a) セキュリティパッチやソフトウェアの変更の実装に関連する変更管理手順が文書化されていますか? 影響の文書化適切な権限を持つ関係者による文書化された変更管理の承認変更がシステムのセキュリティに悪影響を与えていないことを確認するための機能テスト回復手順すべての変更に対して以下が実行されていますか? 変更管理プロセスおよび手順のレビュープロセスの観察変更管理プロセスおよび手順のレビュープロセスの観察テストデータの調査変更管理プロセスおよび手順のレビュープロセスの観察本番システムの調査変更管理プロセスおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 6.4.5.1 影響の文書化変更管理文書の変更の追跡変更管理文書の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 35 ページ

( 各質問に対して 1 つを選んでください ) 6.4.5.2 適切な権限を持つ関係者による文書化された変更承認変更管理文書の変更の追跡変更管理文書の調査 6.4.5.3 (a) 変更がシステムのセキュリティに悪影響を与えていないことを確認するための機能テスト (b) カスタムコード変更の更新について本番環境に導入される前の PCI DSS 要件 6.5 への準拠テスト変更管理文書の変更の追跡変更管理文書の調査変更管理文書の変更の追跡変更管理文書の調査 6.4.5.4 回復手順変更管理文書の変更の追跡変更管理文書の調査 6.4.6 大幅な変更の際はすべての該当する PCI DSS 要件が全ての新しいまたは変更されたシステムやネットワークに実装され必要に応じて文書が更新されていますか? 注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされその後は要件になる変更管理文書の変更の追跡変更管理文書の調査影響のあるシステムまたはネットワークの観察 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 36 ページ

6.5 (a) ソフトウェア開発プロセスで一般的なコーディングの脆弱性は対処されていますか? (b) 開発者は一般的コード化脆弱性を回避する方法を含めた安全なコーディング技法のトレーニングを受けておりメモリ内で機密データを取扱う方法を理解していますか? (c) アプリケーションは最小限以下の脆弱性からアプリケーションを保護する安全なコーディングガイドラインに基づいて開発されていますか? 注 : 要件 6.5.1~6.5.10 に挙げられている脆弱性はこのバージョンの PCI DSS が発行された時点の最新の業界ベストプラクティスを踏襲しているが脆弱性管理に関する業界のベストプラクティス (OWASP Guide SANS CWE Top 25 CERT Secure Coding など ) が更新された場合はこれらの要件に最新のベストプラクティスを適用する必要があります 6.5.1 インジェクションの不具合特に SQL インジェクションがコーディング技法によって対処されていますか? 注 : OS コマンドインジェクション LDAP および Xpath のインジェクションの不具合その他のインジェクションの不具合も考慮します 6.5.2 バッファオーバーフローの脆弱性がコーディング技法によって対処されていますか? 6.5.3 安全でない暗号化保存がコーディング技法で対処されていますか? ソフトウェア開発ポリシーおよび手順のレビューソフトウェア開発ポリシーおよび手順の調査トレーニング記録の調査ソフトウェア開発ポリシーおよび手順の調査責任者のインタビューソフトウェア開発ポリシーおよび手順の調査責任者のインタビューソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 37 ページ

( 各質問に対して 1 つを選んでください ) 6.5.4 安全でない通信がコーディング技法で対処されていますか? ソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー 6.5.5 不適切なエラー処理がコーディング技法で対処されていますか? ソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー 6.5.6 脆弱性特定プロセス (PCI DSS 要件 6.1 で定義 ) で特定されたすべての高脆弱性がコーディング技法で対処されていますか? ソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー Web アプリケーションおよびアプリケーションインターフェイス ( 内部または外部 ) の場合以下の追加の脆弱性からアプリケーションを保護するための安全なコーディングガイドラインに基づいてアプリケーションが開発されていますか? 6.5.7 クロスサイトスクリプティング (XSS) の脆弱性がコーディング技法によって対処されていますか? ソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー 6.5.8 不適切なアクセス制御 ( 安全でないオブジェクトの直接参照 URL アクセス制限の失敗ディレクトリトラバーサル機能へのユーザアクセス制限の失敗など ) がコーディング技法によって対処されていますか? 6.5.9 クロスサイトリクエスト偽造 (CSRF) はコーディング技法で対処されていますか? ソフトウェア開発ポリシーおよび手順の調査責任者のインタビューソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー 6.5.10 不完全な認証管理とセッション管理はコーディング技法によって対処されていますか? ソフトウェア開発ポリシーおよび手順の調査責任者のインタビュー 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 38 ページ

6.6 一般公開されている Web アプリケーションは常時新しい脅威と脆弱性に対処され以下のいずれかの手法によって既知の攻撃から保護される必要があります一般公開されている Web アプリケーションをアプリケーションのセキュリティ脆弱性を手動 / 自動で評価するツールまたは手法によって以下のようにレビューしている - 少なくとも年に一度実施する - 何らかの変更を加えた後 - アプリケーションのセキュリティを専門とする組織によって - 少なくとも要件 6.5 のすべての脆弱性が評価内に含まれている - 脆弱性がすべて修正されている - 修正後アプリケーションが再評価されている注 : この評価は要件 11.2 で実施する脆弱性スキャンとは異なりますまたは Web ベースの攻撃を検知および回避するために一般公開されている Web アプリケーションの手前に Web アプリケーションファイアウォールをインストールしている - Web ベースの攻撃を検知および回避するために一般公開されている Web アプリケーションの手前に Web アプリケーションファイアウォールをインストールしている - アクティブに実行されており最新状態である ( 該当する場合 ) - 監査ログを生成する - Web ベースの攻撃をブロックするかアラートを生成し即時調査されるよう構成されている文書化されたプロセスのレビューアプリケーションセキュリティ評価の記録の調査システム構成設定の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 39 ページ

6.7 セキュアシステムとアプリケーションを開発保守するためのセキュリティポリシーと操作手順は以下を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られているセキュリティポリシーおよび運用手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 40 ページ

強力なアクセス制御手法の導入要件 7: カード会員データへのアクセスを業務上必要な範囲内に制限する PCI DSS 質問 7.1 システムコンポーネントとカード会員データへのアクセスは次のように業務上必要な人に限定されていますか? 以下を含むアクセス制御ポリシーがありますか? 各役割のアクセスニーズと特権割り当てを定義する特権ユーザ ID に与えるアクセス権が職務の実行に必要な最小限の特権に制限されていること特権の付与は個人の職種と職務に基づくことすべてのアクセスに対して権限を持つ関係者による許可された特権のリストを含む文書化された承認 ( 書面または電子的 ) 7.1.1 以下を含む各役割のアクセスニーズが定義されていますか? 各役割が職務上アクセスする必要のあるシステムコンポーネントとデータリソースリソースへのアクセスに必要な特権レベル ( ユーザ管理者など ) 7.1.2 特権ユーザー ID へのアクセスが次のように制限されていますか? 職務の実行に必要な最小限の特権に制限されているそのアクセス権を特に必要とする役割にのみ割り当てられる 7.1.3 アクセス権の付与は個人の職種と職務に基づいていますか? アクセス制御ポリシー文書の調査役割およびアクセスの必要性の調査管理者のインタビュー特権ユーザ ID のレビュー管理者のインタビューユーザ ID のレビュー ( 各質問に対して 1 つを選んでください ) CCW 付いいえ N/A 未テスト 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 41 ページ

7.1.4 適切な権限を持つ関係者による承認を必要としておりその承認は文書化され必須の特権を明記していますか? 7.2 システムコンポーネントにてユーザーの必要な範囲に基づいたアクセス制限を行うため以下のようにアクセス制御システムを設定し特に許可のない場合はすべてを拒否に設定していますか? 7.2.1 アクセス制御システムがすべてのシステムコンポーネントに実装されていますか? 7.2.2 職種と職能に基づいて個人に特権を付与するようにアクセス制御システムが構成されていますか? 7.2.3 アクセス制御システムにすべてを拒否がデフォルト設定されていますか? 7.3 保存されているカード会員データへのアクセスを制限するためのセキュリティポリシーと操作手順は以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られているユーザ ID のレビュー文書化された承認の比較割り当て済の特権と文書化された承認の比較ベンダ文書のレビュー構成設定の調査ベンダ文書のレビュー構成設定の調査ベンダ文書のレビュー構成設定の調査セキュリティポリシーおよび運用手順の調査 ( 各質問に対して 1 つを選んでください ) CCW 付いいえ N/A 未テスト 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 42 ページ

要件 8: システムコンポーネントへのアクセスを識別認証する PCI DSS 質問 8.1 すべてのシステムコンポーネントで以下のように消費者以外のユーザおよび管理者に対してユーザー管理コントロールに関するポリシーと手順が定義されて実施されていますか? 8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前にすべてのユーザに一意の ID が割り当てられていますか? 8.1.2 ユーザ ID が ( 指定された権限を含み ) 承認されたとおりの実装となるようにユーザ ID 資格情報およびその他の識別子オブジェクトの追加削除変更は管理されていますか? 8.1.3 契約終了したユーザのアクセスは直ちに無効化または削除されていますか? 8.1.4 90 日以内に非アクティブなアカウントは削除または無効化されますか? 8.1.5 (a) ベンダがリモートアクセスを通してシステムコンポーネントのアクセスサポート管理に使用するアカウントは必要な期間のみ有効にされており使用されなくなったら無効にされていますか? ベンダのリモートアクセスアカウントが使用されている間そのアカウントは監視されていますか? パスワード手順のレビューパスワード手順のレビュー特権および通常ユーザ ID および承認に関わる調査システム設定の観察パスワード手順のレビュー不要なユーザアカウントの調査現在のアクセスリストのレビュー物理認証デバイスの返却の観察パスワード手順のレビューユーザアカウントの観察パスワード手順のレビュープロセスの観察プロセスの観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 43 ページ

8.1.6 (a) 最大 6 回の試行後にユーザ ID をロックアウトすることでアクセス試行の繰り返しが制限されていますか? サービスプロバイダのみ : 消費者以外のユーザパスワードが最大の 6 回の無効なアクセス試行の後で一時的にロックアウトされますか? 8.1.7 ユーザアカウントがロックアウトされた場合のロックアウト期間は最低 30 分間または管理者がユーザ ID を有効にするまでに設定されていますか? 8.1.8 セッションが 15 分を超えてアイドル状態の場合端末またはセッションを再有効化するためにユーザに再認証 ( パスワードの再入力など ) が要求されますか? 8.2 一意の ID の割り当てに加え以下の 1 つ以上の方法を使用してすべてのユーザが認証されていますか? ユーザが知っていること ( パスワードやパスフレーズなど ) トークンデバイスやスマートカードなどユーザが所有しているものユーザ自身を示すもの ( 生体認証など ) 8.2.1 (a) すべてのシステムコンポーネントで強力な暗号化を使用して送信と保存中に認証情報 ( パスワード / パスフレーズなど ) をすべて読み取り不能としていますか? パスワード手順のレビューシステム構成設定の調査ポリシーおよび手順のレビュー文書のレビュープロセスの観察パスワード手順のレビューシステム構成設定の調査パスワード手順のレビューシステム構成設定の調査パスワード手順のレビュー認証プロセスの観察パスワード手順のレビューベンダ文書のレビューシステム構成設定の調査パスワードファイルの観察データ伝送の観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 44 ページ

サービスプロバイダのみ : すべてのシステムコンポーネントで強力な暗号化を使用して送信と保存中に消費者以外の顧客の認証情報 ( パスワード / パスフレーズなど ) をすべて読み取り不能としていますか? 8.2.2 パスワードリセットの実施新しいトークンの準備新しいキーの生成など認証情報を変更する前にユーザの身元を確認していますか? 8.2.3 (a) ユーザーパスワードパラメータはパスワード / パスフレーズが以下を満たすことが必要なように設定されていますか? パスワードに 7 文字以上が含まれる数字と英文字の両方を含むあるいは上記のパラメータに等しい複雑さと強度を持つパスワード / パスフレーズサービスプロバイダのみ : 非消費者顧客のパスワードは以下の最小限必要な長さと複雑性の要件を満たすことを要求していますか? パスワードファイルの観察データ伝送の観察認証手順のレビュー担当者の観察パスワードパラメータを検証するためのシステム構成設定の調査顧客 / ユーザ文書のレビュー内部プロセスの観察 ( 各質問に対して 1 つを選んでください ) パスワードに 7 文字以上が含まれる数字と英文字の両方を含む 8.2.4 (a) 少なくとも 90 日ごとにユーザパスワードが変更されていますか? サービスプロバイダのみ : 非消費者顧客のユーザパスワードの変更が定期的に要求されパスワードを変更する必要がある時期や状況についてのガイダンスが非消費者顧客のユーザに提供されていますか? 8.2.5 (a) ユーザが新しいパスワード / パスフレーズを設定する際最後に使用した 4 つのパスワード / パスフレーズと異なるものを設定しなければなりませんか? パスワード手順のレビューシステム構成設定の調査顧客 / ユーザ文書のレビュー内部プロセスの観察パスワード手順のレビューシステムコンポーネントのサンプルシステム構成設定の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 45 ページ

サービスプロバイダのみ : 非消費者顧客の新しいユーザパスワードは最後に使用した 4 つのパスワードと異なるものを要求していますか? 8.2.6 初回およびリセット時のパスワード / パスフレーズがユーザごとに一意の値に設定され初回使用後直ちにそのパスワードを変更するよう要求していますか? 8.3 カード会員データ環境への非コンソールの管理者アクセスとすべてのリモートアクセスには以下の 8.3.1~8.3.2 のように多要素認証が使用されていますか? 注 : 多要素認証では 3 つの認証方法のうち 2 つを認証に使用する必要があります ( 認証方法については PCI DSS 要件 8.2 を参照 ) 1 つの因子を 2 回使用すること ( たとえば 2 つの個別パスワードを使用する ) は多要素認証とは見なされません 8.3.1 カード会員データ環境への管理者権限を持つ担当者の非コンソールアクセスに多要素認証が組み込まれていますか? 注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になる 8.3.2 従業員 ( ユーザと管理者を含む ) および第三者 ( サポートやメンテナンス用のベンダアクセスを含む ) によるネットワークへのリモートアクセス ( ネットワーク外部からのネットワークレベルアクセス ) に多要素認証が組み込まれていますか? 8.4 (a) 認証手順およびポリシーが文書化されてすべてのユーザに伝達されていますか? 顧客 / ユーザ文書のレビュー内部プロセスの観察パスワード手順のレビューシステム構成設定の調査セキュリティ担当者の観察システム構成の調査 CDE への管理者のロギングの観察システム構成の調査リモート接続担当者の観察ポリシーおよび手順のレビュー配布方法のレビューユーザのインタビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 46 ページ

認証手順とポリシーに以下が含まれていますか? 強力な認証情報を選択するためのガイダンスユーザが自分の認証情報を保護する方法についてのガイダンス前に使用していたパスワードを再使用しないという指示パスワードが侵害された疑いがある場合にはパスワードを変更するという指示 8.5 グループ共有または汎用のアカウントとパスワードや他の認証方法を以下のように禁止していますか? 汎用ユーザ ID およびアカウントが無効化または削除されているシステム管理作業およびその他の重要な機能のための共有ユーザ ID が存在しないおよびシステムコンポーネントの管理に共有および汎用ユーザ ID が使用されていない 8.5.1 サービスプロバイダのみ : (POS システムやサーバーのサポートのために ) 顧客環境へのアクセス権を持つサービスプロバイダは各顧客環境に一意な認証情報 ( パスワード / パスフレーズなど ) を使用する必要がありますか? 注 : この要件は複数顧客環境がホストされている共有ホスティングプロバイダ自身のホスティング環境に適用されることは意図されていませんポリシーおよび手順のレビューユーザに提供される文書のレビューポリシーおよび手順のレビューユーザ ID 一覧の調査ポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 47 ページ

8.6 他の認証メカニズムが使用されている場合 ( 物理または論理セキュリティトークンスマートカード証明書など ) そのメカニズムの使用は次のように割り当てられていますか? 認証メカニズムは個々のアカウントに割り当てなければならず複数アカウントで共有することはできない物理 / 論理制御により意図されたアカウントのみがアクセスできるようにする必要がある 8.7 カード会員データを含むデータベースへのすべてのアクセス ( アプリケーション管理者およびその他のすべてのユーザによるアクセスを含む ) が以下のように制限されていますか? (a) データベースへのユーザアクセスデータベースのユーザクエリデータベースに対するユーザアクション ( 移動コピー削除など ) はすべてプログラムによる方法 ( ストアドプロシージャなど ) によってのみ行われていますか? ポリシーおよび手順のレビューシステム構成設定および / または物理コントロールの調査データベース認証ポリシーおよび手順のレビューデータベースおよびアプリケーション構成設定の調査 ( 各質問に対して 1 つを選んでください ) データベースへの直接アクセスまたはクエリはデータベース管理者に制限されていますか? データベース認証ポリシーおよび手順のレビューデータベースアクセス制御設定の調査データベースアプリケーション構成設定の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 48 ページ

(c) アプリケーション ID はアプリケーションによってのみ使用されていますか ( 個々のユーザやその他のプロセスによって使用されない )? 8.8 識別と認証に関するセキュリティポリシーと操作手順が以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られているデータベース認証ポリシーおよび手順のレビューデータベースアクセス制御設定の調査データベースアプリケーション構成設定の調査セキュリティポリシーおよび運用手順の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 49 ページ

要件 9: カード会員データへの物理アクセスを制限する PCI DSS 質問 9.1 カード会員データ環境内のシステムへの物理アクセスを制限および監視するために適切な施設入館管理が実施されていますか? 9.1.1 (a) ビデオカメラやアクセス管理メカニズム ( あるいは両方 ) を用いて機密エリアへの個々の物理アクセスを監視していますか? 注 : 機密エリアとはデータセンタサーバルームまたはカード会員データを保存するシステムが設置されているエリアのことですこれには小売店のレジなど POS 端末のみが存在する一般公開エリアは含まれませんビデオカメラやアクセス管理メカニズム ( あるいは両方 ) が改ざんまたは無効化から守られていますか? (c) ビデオカメラやアクセス管理メカニズム ( あるいは両方 ) から収集したデータをレビューして他の監視事項と相互に関連付けていますか? (d) ビデオカメラやアクセス管理メカニズム ( あるいは両方 ) から収集したデータは法律によって別途定められていない限り少なくとも 3 カ月間保管していますか? 物理アクセス制御の観察担当者の観察ポリシーおよび手順のレビュー物理監視メカニズムの観察セキュリティ機能の観察プロセスの観察ポリシーおよび手順のレビューセキュリティ担当者のインタビューデータ保管プロセスのレビューデータ保管の観察セキュリティ担当者のインタビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 50 ページ

9.1.2 物理 / 論理制御を実施することで誰でもアクセス可能なネットワークジャックへのアクセスを制限していますか? 例えば公共の場や訪問者がアクセス可能なエリアにあるネットワークジャックは無効にしておきネットワークへのアクセスが明示的に承認されている場合にのみ有効にすることができるまたはアクティブなネットワークジャックがあるエリアでは訪問者に常に同行者をつけるプロセスを実施できる 9.1.3 無線アクセスポイントゲートウェイハンドヘルドデバイスネットワーク / 通信ハードウェアおよび通信回線への物理アクセスは制限されていますか? 9.2 (a) 次のようにオンサイト関係者と訪問者を容易に区別できるような手順が開発されていますか? 新しいオンサイト要員と訪問者を識別する ( バッジの使用など ) アクセス要件を変更するおよび契約が終了したオンサイト要員や期限切れの訪問者の ID( バッジなど ) を無効にする要件 9 においてオンサイト要員とは施設内に物理的に存在するフルタイムおよびパートタイムの従業員一時的な従業員事業体の請負業者やコンサルタントのことです使用されている識別方法 (ID バッジなど ) が訪問者を明確に識別しオンサイト担当者と訪問者を簡単に区別できますか? (c) バッジシステムへのアクセスは権限を与えられた要員に限られていますか? ポリシーおよび手順のレビュー拠点の観察ポリシーおよび手順のレビューデバイスの観察ポリシーおよび手順のレビュー識別方法の観察 ( 例. バッジ ) 訪問者プロセスの観察識別方法の観察物理制御およびバッチシステムなどアクセス制御の観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 51 ページ

9.3 オンサイト関係者の機密エリアへの物理アクセスが次のように制御されていますか? アクセスが個々の職務に基づいて許可されている職務の終了後ただちにアクセス権が取り消されている職務の終了後直ちに鍵アクセスカードなどすべての物理アクセスメカニズムが返されるか無効にされている 9.4 訪問者 ID とアクセスが以下のように取り扱われていますか? 9.4.1 訪問者はカード会員データが処理または保守されているエリアに入る前に承認が行われそのエリアにいる間常に同行者に付き添われていますか? 9.4.2 (a) 訪問者が識別されオンサイト関係者から区別するためのバッジその他の ID が与えられていますか? 訪問者のバッジその他の ID に有効期限がありますか? 9.4.3 施設を出る前または期限が切れる日にバッジその他の ID の返却を求められていますか? アクセス制御リストの調査オンサイト担当者の観察退職者の一覧とアクセス制御リストの比較ポリシーおよび手順のレビューアクセスがどのように制御されるかを含む訪問者プロセスの観察訪問者およびバッジの使用の観察担当者および訪問者のバッジ使用の観察識別方法の調査プロセスの観察識別方法の調査プロセスの観察施設から退館時の訪問者の観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 52 ページ

9.4.4 (a) カード会員データが保存または伝送されるコンピュータルームやデータセンターだけでなく施設への物理アクセスの記録にも訪問者ログが使用されていますか? 訪問者の名前所属会社物理アクセスを承認したオンサイト関係者が訪問者ログに記録されていますか? ポリシーおよび手順のレビュー訪問者ログの調査訪問者プロセスの観察ログ保管の調査ポリシーおよび手順のレビュー訪問者ログの調査 ( 各質問に対して 1 つを選んでください ) (c) 訪問者ログが 3 カ月以上保持されていますか? ポリシーおよび手順のレビュー訪問者ログ保管の調査 9.5 媒体 ( コンピュータリムーバブル電子メディア紙の受領書紙のレポート FAX など ) はすべて物理的にセキュリティ保護されていますか? 要件 9 において媒体とはカード会員データを含むすべての紙および電子媒体のことです 9.5.1 バックアップメディアの保管が安全であることを確認するため保管場所の物理的なセキュリティを少なくとも年に一度レビューしていますか? メディアの物理的な安全に関するポリシーおよび手順のレビュー遠隔地メディア保管のレビューに関わるポリシーおよび手順のレビューセキュリティ担当者のインタビュー 9.6 (a) あらゆる種類の媒体の内部または外部の配布に関して厳格な管理が行われていますか? メディア廃棄のポリシーおよび手順のレビュー管理には以下の内容が含まれていますか? 9.6.1 媒体は機密であることが分かるように分類されていますか? メディア分類のポリシーおよび手順のレビューセキュリティ担当者のインタビュー 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 53 ページ

9.6.2 媒体は安全な配達業者または正確な追跡が可能なその他の配送方法によって送付されていますか? 9.6.3 媒体を移動する前 ( 特に媒体を個人に配布する場合 ) に管理者の承認を得ていますか? 9.7 媒体の保存およびアクセスに関して厳格な管理が維持されていますか? 9.7.1 (a) すべての媒体の在庫ログが適切に保持されていますか? 少なくとも年に一度媒体の在庫調査が実施されていますか? 9.8 (a) ビジネスまたは法律上の理由で不要になった場合媒体はすべて破棄されていますか? 以下の要件を定義する定期的な媒体破棄ポリシーがありますか? メディア配布追跡ログおよび文書の調査メディア配布追跡ログおよび文書の調査ポリシーおよび手順のレビュー在庫ログの調査在庫ログの調査定期的なメディアの廃棄ポリシーおよび手順のレビュー定期的なメディアの廃棄ポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) ハードコピー資料は再現できないことの合理的な保証が得られるようにクロスカット裁断焼却またはパルプ化する必要がある破棄する資料を保管する容器は安全でなければならない電子媒体上のカード会員データが安全な削除に関して業界が承認した標準に従った安全なワイププログラムによってまたはそれ以外の場合は媒体の物理的な破壊によって回復不能になっている必要がある (c) 破棄は以下の方法によって行われていますか? 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 54 ページ

9.8.1 (a) ハードコピー資料はカード会員データを再現できないようにクロスカット裁断焼却またはパルプ状に溶解していますか? 破棄する情報を含む材料の保存に使用されているストレージコンテナは中身にアクセスできないようにセキュリティ保護されていますか? 9.8.2 電子媒体上のカード会員データが安全な削除に関して業界が承認した標準に従った安全なワイププログラムによってまたはそれ以外の場合は媒体の物理的な破壊によって回復不能になっていますか? 9.9 カードから直接物理的な読み取りを経由してペイメントカードデータをキャプチャするデバイスが改ざんおよび不正置換から保護されていますか? 注 : この要件にはカード ( カードのスワイプやディップ ) によるトランザクションに使用されるカード読み取り装置も含まれるこの要件はコンピュータのキーボードや POS のキーパッドのような手動キー入力コンポーネントには適用されません (a) ポリシーと手順はデバイスの一覧の維持を要求していますか? (b) ポリシーと手順はデバイスを定期的に検査して改ざんや不正置換がないか調べることを要求していますか? (c) ポリシーと手順は関係者にトレーニングを行い怪しい行動を識別し POS デバイスの改ざんや不正置換を報告できるようにすることを要求していますか? 手順の調査プロセスの観察ストレージコンテナのセキュリティの調査プロセスの観察ポリシーおよび手順のレビューポリシーおよび手順のレビューポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 55 ページ

9.9.1 (a) デバイスのリストには以下が含まれていますか? 装置のメーカと形式装置の場所 ( 例えば装置が設置されている拠点や施設の住所 ) 装置の連番や他の一意な識別番号デバイスの一覧の調査 ( 各質問に対して 1 つを選んでください ) (b) リストは正確で最新になっていますか? デバイスとデバイス設置場所の観察と一覧の比較 (c) 装置が追加移動廃棄された場合に装置のリストが更新されていますか? 9.9.2 (a) 改ざん ( カードスキマーの取り付けなど ) や不正置換 ( 連番など装置の特性を調べて偽の装置に差し替えられていないことを確認する ) を検出するために定期的に装置の表面を次のように検査していますか? 検査プロセスの観察と定義済プロセスとの比較注 : 装置が改ざんされたり不正置換された兆候の例としては予期していない付着物やケーブルが装置に差し込まれているセキュリティラベルが無くなっていたり変更されているケースが壊れていたり色が変わっているあるいは連番その他の外部マーキングが変更されているなどがあります関係者は装置を検査する手順を知っていますか? 9.9.3 関係者は装置の改ざんや不正置換の試みを認識できるようにトレーニングを受けていますか? 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 56 ページ

(a) POS のある場所の関係者用トレーニング資料には以下のトレーニングが含まれていますか? トレーニング資料のレビュー ( 各質問に対して 1 つを選んでください ) 第三者の修理保守関係者を名乗っている者に POS 装置へのアクセスを許可する前に身元を確認する検証なしで装置を設置交換返品しない装置の周辺での怪しい行動 ( 知らない人が装置のプラグを抜いたり装置を開けたりする ) に注意する怪しい行動や POS 装置が改ざんや不正置換された形跡がある場合には適切な関係者 ( マネージャーやセキュリティ関係者など ) に報告する (b) POS 拠点の関係者はトレーニングを受けており装置の改ざんや不正置換を検出し報告する手順を知っていますか? 9.10 保存されているカード会員データへの物理アクセスを制限するためのセキュリティポリシーと操作手順は以下の要件を満たしていますか? 文書化されている POS 拠点担当者のインタビューセキュリティポリシーおよび運用手順の調査使用されている影響を受ける関係者全員に知られている 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 57 ページ

ネットワークの定期的な監視およびテスト要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する PCI DSS 質問 10.1 (a) システムコンポーネントに対する監査証跡が有効になっていてアクティブですか? システムコンポーネントへのアクセスが各ユーザにリンクされていますか? 10.2 すべてのシステムコンポーネントに以下のイベントを再現するための自動監査証跡が実装されていますか? プロセスの観察システム管理者のインタビュープロセスの観察システム管理者のインタビュー ( 各質問に対して 1 つを選んでください ) 10.2.1 カード会員データへのすべての個人ユーザアクセス監査ログの観察監査ログ設定の調査 10.2.2 ルート権限または管理権限を持つ個人によって行われたすべてのアクション監査ログの観察監査ログ設定の調査 10.2.3 すべての監査証跡へのアクセス監査ログの観察監査ログ設定の調査 10.2.4 無効な論理アクセス試行監査ログの観察監査ログ設定の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 58 ページ

10.2.5 識別と認証メカニズムの使用および変更 ( 新しいアカウントの作成特権の昇格を含むがこれらに限定されない ) およびルートまたは管理者権限をもつアカウントの変更追加削除のすべて監査ログの観察監査ログ設定の調査 ( 各質問に対して 1 つを選んでください ) 10.2.6 監査ログの初期化停止一時停止監査ログの観察監査ログ設定の調査 10.2.7 システムレベルオブジェクトの作成および削除 10.3 すべてのシステムコンポーネントについてイベントごとに以下の監査証跡エントリが記録されていますか? 監査ログの観察監査ログ設定の調査 10.3.1 ユーザ識別監査ログの観察監査ログ設定の調査 10.3.2 イベントの種類監査ログの観察監査ログ設定の調査 10.3.3 日付と時刻監査ログの観察監査ログ設定の調査 10.3.4 成功または失敗を示す情報監査ログの観察監査ログ設定の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 59 ページ

( 各質問に対して 1 つを選んでください ) 10.3.5 イベントの発生元監査ログの観察監査ログ設定の調査 10.3.6 影響を受けるデータシステムコンポーネントまたはリソースの ID または名前監査ログの観察監査ログ設定の調査 10.4 すべての重要なシステムクロックおよび時間は時刻同期技術を使用して同期されており技術は最新に保たれていますか? 時刻設定基準およびプロセスのレビュー注 : ネットワークタイムプロトコル (NTP) は時刻同期技術の一例です 10.4.1 重要なシステムには以下のプロセスが実装されており正しい一貫性のある時刻となっていますか? (a) 指定した中央タイムサーバのみが外部ソースから時刻信号を受信し外部ソースからの時刻信号は国際原子時または UTC に基づいていますか? 複数のタイムサーバがある場合それらのタイムサーバが正確な時刻を保つためにお互いに通信し合っていますか? (c) システムは時刻情報を指定した中央タイムサーバからのみ受信していますか? 時刻構成基準およびプロセスのレビュー時刻関連システムパラメータの調査時刻構成基準およびプロセスのレビュー時刻関連システムパラメータの調査時刻構成基準およびプロセスのレビュー時刻関連システムパラメータの調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 60 ページ

10.4.2 時刻データは以下のように保護されていますか? (a) 時刻データへのアクセスは業務上時刻データへアクセスする必要のある担当者のみに制限されていますか? (b) 重要なシステムの時刻設定の変更はログに記録され監視されレビューされていますか? 10.4.3 時刻設定は業界で認知された時刻ソースから受信されていますか? ( これは悪意のある個人が変更するのを防ぐためです ) ( 内部タイムサーバの不正使用を防ぐために ) これらの更新を対称鍵で暗号化し時刻更新が提供されるクライアントマシンの IP アドレスを指定するアクセス制御リストを作成することもできます 10.5 監査証跡は変更できないようにセキュリティで保護されていますか? 10.5.1 監査証跡の表示は業務上の必要性を持つ人物のみに制限されていますか? 10.5.2 アクセス制御メカニズム物理的な分離ネットワークの分離などによって現在の監査証跡ファイルが不正な変更から保護されていますか? 10.5.3 監査証跡ファイルは変更が困難な一元管理ログサーバまたは媒体に即座にバックアップされていますか? システム構成および時刻同期設定の調査システム構成および時刻同期設定とログの調査システム構成の調査システム管理者のインタビューシステム構成およびパーミッションの調査システム管理者のインタビューシステム構成およびパーミッションの調査システム管理者のインタビューシステム構成およびパーミッションの調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 61 ページ

10.5.4 外部に公開されているテクノロジ ( ワイヤレスファイアウォール DNS メールなど ) のログが安全な一元管理される内部ログサーバまたは媒体に書き込まれていますか? 10.5.5 ログに対してファイル整合性監視または変更検出ソフトウェアを使用して既存のログデータを変更すると警告が生成されるようにしていますか ( ただし新しいデータの追加は警告を発生させない )? 10.6 すべてのシステムコンポーネントのログとセキュリティイベントを調べ異常や怪しい活動を特定していますか? 注 : 要件 10.6 に準拠するためにログの収集解析および警告ツールを使用することができます 10.6.1 (a) 手動またはログツールを用いて以下を少なくとも毎日一度レビューするポリシーと手順が定義されていますか? システム管理者のインタビューシステム構成およびパーミッションの調査設定監視対象ファイルおよび監視活動の結果の調査セキュリティポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) すべてのセキュリティイベント CHD や SAD を保存処理または送信するまたは CHD や SAD のセキュリティに影響を及ぼす可能性のあるすべてのシステムコンポーネントのログすべての重要なシステムコンポーネントのログすべてのサーバとセキュリティ機能を実行するシステムコンポーネント ( ファイアウォール侵入検出システム / 侵入防止システム (IDS/IPS) 認証サーバ電子商取引リダイレクションサーバなど ) のログ上記のログとセキュリティイベントは少なくとも毎日レビューされていますか? プロセスの観察 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 62 ページ

10.6.2 (a) すべての他のシステムコンポーネントのログを ( 手動でまたはログツールを用いて ) 会社のポリシーとリスク管理戦略に基づき定期的にレビューするためのポリシーと手順が定義されていますか? すべての他のシステムコンポーネントのログは会社のポリシーとリスク管理戦略に基づき定期的にレビューされていますか? 10.6.3 (a) レビュープロセスで特定された例外と異常をフォローアップするためのポリシーと手順が定義されていますか? セキュリティポリシーおよび手順のレビューリスク評価文書のレビューセキュリティポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 例外と異常をフォローアップしていますか? プロセスの観察 10.7 (a) ログを少なくとも 1 年間保持し少なくとも 3 カ月はすぐに分析できる状態にしておく ( オンラインアーカイブバックアップから復元可能など ) 事を要求する監査ログ保持ポリシーと手順が制定されていますか? セキュリティポリシーおよび手順のレビュー監査ログは少なくとも 1 年間保持されていますか? 監査ログの調査 (c) 解析用に少なくとも過去 3 カ月分のログが即座に利用可能な状態ですか? プロセスの観察 10.8 サービスプロバイダのみ : 以下のような重要なセキュリティコントロールシステムの障害に対して迅速に検出および報告するプロセスが導入されていますか? 注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になる 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 63 ページ

(a) 以下を含む重要なセキュリティコントロールシステムの障害を迅速に検知し報告するプロセスを導入していますか? ファイアウォール IDS/IPS ファイル整合性監視ウイルス対策物理的アクセスコントロール論理的アクセスコントロール監査ログメカニズムセグメンテーションコントロール ( 使用されていないる場合 ) (b) 重要なセキュリティコントロールに障害が発生した場合アラートが発報されますか? 10.8.1 サービスプロバイダのみ : 重大なセキュリティコントロールの障害に対し以下の通り迅速に対応されていますか? 注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になるポリシーおよび手順のレビュープロセスの観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 64 ページ

以下を含む重要なセキュリティコントロールの障害に迅速に対応するプロセスが導入されていますか? ポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) セキュリティ機能の復元セキュリティに障害が発生していた期間 ( 開始と終了の日時 ) を特定し文書化する根本原因を含む障害の原因の特定と文書化を行い根本原因を解決するために必要となる対応を文書化する障害中に発生したセキュリティ問題を識別し対応する再発防止策を実装するセキュリティコントロールの監視を再開する (b) 重大なセキュリティコントロールの障害について以下を含み文書化されていますか? 根本原因を含む障害原因の特定セキュリティコントロール障害の記録の調査障害発生期間 ( 日付発生時刻終了時刻 ) 根本原因を対処するために必要とされた復旧の詳細 10.9 ネットワークリソースとカード会員データへのすべてのアクセスを監視するためのセキュリティポリシーと操作手順は以下の要件を満たしていますか? 文書化されているセキュリティポリシーおよび運用手順のレビュー使用されている影響を受ける関係者全員に知られている 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 65 ページ

要件 11: セキュリティシステムおよびプロセスを定期的にテストする PCI DSS 質問 11.1 (a) 四半期ごとに承認されているワイヤレスアクセスポイントと承認されていないワイヤレスアクセスポイントを両方検出し識別するためのプロセスが実装されていますか? 注 : プロセスで使用される方法にはワイヤレスネットワークのスキャンシステムコンポーネントおよびインフラストラクチャの論理的 / 物理的な検査ネットワークアクセス制御 (NAC) ワイヤレス IDS/IPS が含まれますがこれらに限定されませんいずれの方法を使用する場合も不正なデバイスを検出および識別できる機能を十分に備えている必要がありますその方法により少なくとも以下を含む不正なワイヤレスアクセスポイントを検出および識別できますか? システムコンポーネントに挿入された WLAN カードワイヤレスアクセスポイントを作成するためにシステムコンポーネントに (USB などで ) 接続したポータブルやモバイルデバイスおよびネットワークポートまたはネットワークデバイスに接続されたワイヤレスデバイス (c) 承認されている無線アクセスポイントと承認されていない無線アクセスポイントの識別に無線スキャンを利用する場合無線スキャンを少なくとも四半期ごとにすべてのシステムコンポーネントおよび施設に対して実施していますか? (d) 自動監視 ( ワイヤレス IDS/IPS や NAC など ) が使用されている場合は監視は担当者への警告が生成されるように構成されていますか? ポリシーおよび手順のレビュー手法の評価最近のワイヤレススキャンからの出力結果の調査構成設定の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 66 ページ

11.1.1 文書化されている業務上の理由を含めて承認されている無線アクセスポイントのインベントリを維持していますか? 11.1.2 (a) インシデント対応計画に不正なワイヤレスデバイスが検出された場合の対応が含まれていますか? 承認されていないワイヤレスアクセスポイントが見つかった場合の対処が行われていますか? 11.2 脆弱性スキャンを少なくとも四半期に一度およびネットワークでの大幅な変更後 ( 新しいシステムコンポーネントのインストールネットワークトポロジの変更ファイアウォール規則の変更製品のアップグレードなど ) に以下のように実施していますか? 注 : 四半期ごとのスキャンプロセスの複数のスキャンレポートをまとめてすべてのシステムがスキャンされ該当するすべての脆弱性に対処されたことを示すことができます未修正の脆弱性が対処中であることを確認するために追加の文書が要求される場合があります評価者が 1) 最新のスキャン結果が合格スキャンであったこと 2) 事業体で四半期に一度のスキャンを要求するポリシーと手順が文書化されていることおよび 3) スキャン結果で判明した脆弱性が再スキャンにおいて示されているとおりに修正されたことを確認した場合初回の PCI DSS 準拠のために四半期に一度のスキャンに 4 回合格することは要求されません初回 PCI DSS レビュー以降は毎年四半期ごとのスキャンに 4 回合格しなければなりません 11.2.1 (a) 内部の脆弱性スキャンは四半期ごとに実行されていますか? インベントリ記録の調査インシデント対応計画 ( 要件 12.10 参照 ) の調査責任者のインタビュー最近のワイヤレススキャンおよび関連する対応の検査スキャンレポートのレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 67 ページ

(b) 四半期ごとの内部脆弱性スキャンのプロセスに PCI DSS 要件 6.1 で定義されているすべての高脆弱性が解消されるまで再スキャンを実施することが含まれていますか? (c) 四半期ごとの内部スキャンが認定された内部リソースまたは認定された外部の第三者によって実行されていますか? また該当する場合はテスターは組織的に独立した立場 (QSA または ASV である必要はない ) にありますか? 11.2.2 (a) 四半期に一度外部の脆弱性スキャンが実行されていますか? 注 : 四半期に一度の外部の脆弱性スキャンは PCI(Payment Card Industry) セキュリティ基準審議会 (PCI SSC) によって資格を与えられた認定スキャニングベンダ (ASV) によって実行される必要があるスキャンにおける顧客の責任スキャンの準備などについては PCI SSC Web サイトで公開されている ASV プログラムガイドを参照してください (b) 外部の四半期ごとのスキャンの結果は ASV プログラムガイドの要件を満たしていますか (CVSS スコアで 4.0 を超える脆弱性がない自動障害がないなど )? (c) 四半期ごとの外部の脆弱性スキャンは認定スキャニングベンダ (ASV) によって実行されていますか? 11.2.3 (a) 大幅な変更後内部と外部のスキャンを実行していますか? 注 : スキャンは有資格者が実施する必要がありますスキャンレポートのレビュー直近 4 回分の四半期外部脆弱性スキャンの結果のレビュー各外部四半期スキャンと再スキャンの結果のレビュー各外部四半期スキャンと再スキャンの結果のレビュー変更管理文書とスキャン報告書の調査と関連付け ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 68 ページ

(b) スキャンプロセスには以下の状態になるまで再スキャンの実行が含まれますか? スキャンレポートのレビュー ( 各質問に対して 1 つを選んでください ) 外部スキャンの場合 CVSS スコアで 4.0 以上の脆弱性がないこと内部スキャンの場合合格結果が取得されることまたは PCI DSS 要件 6.1 で定義されたすべての高リスク脆弱性が解消されていること (c) スキャンが認定された内部リソースまたは認定された外部の第三者によって実行されていますか? また該当する場合はテスターは組織的に独立した立場 (QSA または ASV である必要はない ) にありますか? 11.3 ペネトレーションテスト方法には以下が含まれていますか? 業界承認のペネトレーションテスト方法 (NIST SP800-115 など ) に基づいているペネトレーションテスト手法の調査責任者のインタビュー CDE 境界と重要システム全体を対象とした対応ネットワークの内部と外部からのテストセグメンテーションと範囲減少制御の有効性テストアプリケーション層のペネトレーションテストは少なくとも要件 6.5 に記載されている脆弱性を含める必要があるネットワーク層のペネトレーションテストにはネットワーク機能とオペレーティングシステムをサポートするコンポーネントを含める必要がある過去 12 カ月にあった脅威と脆弱性のレビューと考慮ペネトレーションテスト結果と修正実施結果の保持を指定 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 69 ページ

11.3.1 (a) 外部ペネトレーションテストが少なくとも年に一度および大幅なインフラストラクチャまたは環境の変更 ( オペレーティングシステムのアップグレード環境へのサブネットワークの追加環境への Web サーバの追加など ) 後に定義されている方法に従って実行されていますか? (b) テストが認定された内部リソースまたは認定された外部の第三者によって実行されていますか? また該当する場合はテスターは組織的に独立した立場 (QSA または ASV である必要はない ) にありますか? 11.3.2 (a) 内部ペネトレーションテストが少なくとも年に一度および大幅なインフラストラクチャまたは環境の変更 ( オペレーティングシステムのアップグレード環境へのサブネットワークの追加環境への Web サーバの追加など ) 後に定義されている方法に従って実行されていますか? (b) テストが認定された内部リソースまたは認定された外部の第三者によって実行されていますか? また該当する場合はテスターは組織的に独立した立場 (QSA または ASV である必要はない ) にありますか? 11.3.3 ペネトレーションテストで検出された悪用可能な脆弱性が修正されテストが繰り返されて修正が確認されましたか? 11.3.4 CDE を他のネットワークから分離するためにセグメンテーションが使用されましたか? (a) すべてのセグメンテーション方法が効果的かつ運用可能でカード会員データ環境内のシステムから PCIDSS 準拠範囲外のシステムを分離しているかを確認するためのペネトレーションテスト手順を定義していますか? 実施対象範囲の調査直近の外部ペネトレーションテストの結果の調査責任者のインタビュー実施対象範囲の調査直近の内部ペネトレーションテストの結果の調査責任者のインタビューペネトレーションテスト結果の調査セグメンテーション制御の調査ペネトレーションテスト手法のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 70 ページ

(b) ペネトレーションテストでセグメンテーションコントロールが以下を満たしていることが確認できましたか? 少なくとも年 1 回およびセグメンテーション制御 / 方法に何らかの変更を加えた後に実施されていますか? 使用されているすべてのセグメンテーション制御 / 方法を対象とするセグメンテーション方法が運用可能で効果的であり対象範囲内システムから対象範囲外システムを分離する (c) 認定された内部リソースまたは認定された外部の第三者によりテストが実施され該当する場合はテスターの組織的な独立性が存在していますか?(QSA や ASV である必要はありません ) 直近のペネトレーションテストの結果の調査責任者のインタビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 71 ページ

11.3.4.1 サービスプロバイダのみ : セグメンテーションを使用している場合注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になる (a) セグメンテーションコントロールに対して少なくとも 6 カ月ごととセグメンテーションコントロール / 方法に変更があった際にペネトレーションテストを実施し PCI DSS のスコープを確認していますか? (b) ペネトレーションテストは使用されているすべてのセグメンテーションコントロール / 方法を網羅していますか? (c) セグメンテーションコントロール / 方法は有効且つ効果的であることおよびすべてのスコープ外のシステムがカード会員データ環境内のシステムから分離されていることをペネトレーションテストで確認していますか? (d) 資格を持つ内部のリソースまたは資格を持つ外部の第三者によりテストが実施されていますか? また適用される場合はテスト実施者の組織的な独立性が存在していますか?(QSA や ASV である必要はない ) 11.4 (a) 侵入を検出 / 防止するための侵入検出 / 侵入防止技法をネットワークに組み込んですべてのトラフィックを監視していますか? セグメンテーション制御に対するペネトレーションテスト結果の調査セグメンテーション制御に対するペネトレーションテスト結果の調査セグメンテーション制御に対するペネトレーションテスト結果の調査責任者のインタビューシステム構成の調査ネットワーク図の調査 ( 各質問に対して 1 つを選んでください ) カード会員データ環境の境界およびカード会員データ環境の重要なポイント (b) 侵入検出 / 侵入防止技法が侵害の疑いを関係者に警告するように設定されていますか? (c) すべての侵入検知および防止エンジンベースラインシグネチャは最新状態に保たれていますか? システム構成の調査責任者のインタビュー IDS/IPS 構成の調査ベンダ文書の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 72 ページ

11.5 (a) 変更検出メカニズム ( ファイル整合性監視ツールなど ) を導入して重要なシステムファイル構成ファイルまたはコンテンツファイルの不正な変更 ( 変更追加および削除を含む ) を担当者に警告していますか? 監視する必要があるファイルの例は次のとおりですシステム実行可能ファイルアプリケーション実行可能ファイル構成およびパラメータファイル一元的に保存されている履歴またはアーカイブされたログおよび監査ファイル事業体が指定した追加の重要ファイル ( 例えばリスク評価その他の方法などで ) (b) 変更検出メカニズムは重要なシステムファイル構成ファイルまたはコンテンツファイルの不正な変更を警告し重要なファイルの比較を少なくとも週に一度実行するように構成されていますか? 注 : 変更検知の目的において通常重要なファイルは定期的に変更されないためこれらのファイルの変更はシステムの侵害や侵害のリスクの可能性を指し示しますファイル整合性監視製品などの変更検出メカニズムは通常関連するオペレーティングシステム用の重要なファイルがあらかじめ設定されていますカスタムアプリケーションなどのその他の重要なファイルは事業体 ( 加盟店またはサービスプロバイダ ) によって評価および定義されている必要があります 11.5.1 変更検出ソリューションによって生成された警告に対応するプロセスを実装していますか? システム設定および監視ファイルの観察システム構成設定の調査システム設定および監視ファイルの観察監視活動からの結果のレビューシステム構成設定の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 73 ページ

11.6 セキュリティ監視とテストに関するセキュリティポリシーと操作手順が以下の要件を満たしていますか? 文書化されている使用されている影響を受ける関係者全員に知られているセキュリティポリシーおよび運用手順の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 74 ページ

情報セキュリティポリシーの維持要件 12: すべての担当者の情報セキュリティに対応するポリシーを維持する注 : 要件 12 において担当者とはフルタイムおよびパートタイムの従業員一時的な従業員や担当者事業体の敷地内に常駐しているかまたはカード会員データ環境にアクセスできる請負業者やコンサルタントのことです PCI DSS 質問 12.1 すべての関係する担当者に対してセキュリティポリシーが確立公開維持および周知されていますか? 12.1.1 少なくとも年に一度レビューし環境が変更された場合に更新していますか? 12.2 (a) 年に一度のリスク評価プロセスに以下の内容を含めていますか? 重要な資産脅威および脆弱性を識別するおよび情報セキュリティポリシーのレビュー情報セキュリティポリシーのレビュー責任者のインタビュー年次のリスク評価プロセスのレビュー ( 各質問に対して 1 つを選んでください ) 正式な文書化されたリスク評価の結果リスク評価方法の例としては OCTAVE ISO 27005 および NIST SP 800-30 があげられますがこれらに限定されません (b) リスク評価が少なくとも年に一度とビジネス環境に重大な変更があった場合 ( 買収合併移転など ) に実施されていますか? リスク評価文書のレビュー責任者のインタビュー 12.3 重要なテクノロジに関する使用ポリシーを作成し以下を含むテクノロジの適切な使用方法を定義していますか? 注 : 重要なテクノロジの例にはリモートアクセスおよびワイヤレステクノロジノートパソコンタブレットリムーバブル電子媒体電子メールの使用インターネットの使用がありますがこれらに限定されません 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 75 ページ

12.3.1 テクノロジを使用するために権限を持つ関係者による明示的な承認が要求されていますか? 使用方法ポリシーのレビュー責任者のインタビュー ( 各質問に対して 1 つを選んでください ) 12.3.2 テクノロジの使用に対する認証使用方法ポリシーのレビュー責任者のインタビュー 12.3.3 このようなすべてのデバイスおよびアクセスできる担当者のリストは用意されていますか? 12.3.4 デバイスの所有者連絡先情報目的を正確にその場で識別できる方法 ( ラベル付け符号化デバイスのインベントリ ) がありますか? 使用方法ポリシーのレビュー責任者のインタビュー使用方法ポリシーのレビュー責任者のインタビュー 12.3.5 テクノロジの許容される利用法が要求されていますか? 使用方法ポリシーのレビュー責任者のインタビュー 12.3.6 テクノロジの許容されるネットワーク上の場所使用方法ポリシーのレビュー責任者のインタビュー 12.3.7 会社が承認した製品のリスト使用方法ポリシーのレビュー責任者のインタビュー 12.3.8 非アクティブ状態が特定の期間続いた後のリモートアクセステクノロジのセッションの自動切断 12.3.9 ベンダおよびビジネスパートナーには必要とする場合にのみリモートアクセステクノロジをアクティブ化し使用後直ちに非アクティブ化する使用方法ポリシーのレビュー責任者のインタビュー使用方法ポリシーのレビュー責任者のインタビュー 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 76 ページ

12.3.10 (a) リモートアクセステクノロジ経由でカード会員データにアクセスする担当者については定義されたビジネスニーズのために明示的に承認されていない限りローカルハードドライブおよびリムーバブル電子媒体へのカード会員データのコピー移動保存を禁止していますか? 承認された業務上の必要性がある場合使用ポリシーはデータが適用される PCI DSS 要件すべてに従って保護されることを要求する必要があります (b) 適切な権限のある担当者についてはポリシーで PCI DSS 要件に従ったカード会員データの保護が要求されていますか? 12.4 すべての担当者に対して情報セキュリティ上の責任をセキュリティポリシーと手順に明確に定義していますか? 12.4.1 サービスプロバイダのみ : 経営層はカード会員データの保護と PCI DSS 準拠プログラムの責任について以下の内容が明確になっていますか? 注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になる PCI DSS 準拠を維持するために経営層によってすべての責任が割り当てられていますか? (b) 経営層は PCI DSS 準拠プログラムと経営層とのコミュニケーション方法を PCI DSS 憲章に定義していますか? 12.5 (a) 情報セキュリティに対する責任が最高セキュリティ責任者またはセキュリティに精通したその他の経営層のメンバーに正式に割り当てられていますか? 使用方法ポリシーのレビュー責任者のインタビュー使用方法ポリシーのレビュー責任者のインタビュー情報セキュリティポリシーおよび手順のレビュー責任者のサンプルのインタビュー文書の調査 PCI DSS 憲章の調査情報セキュリティポリシーおよび手順のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 77 ページ

(b) 個人またはチームに以下の情報セキュリティ管理責任が正式に割り当てられていますか? 12.5.1 セキュリティポリシーおよび手順が確立文書化および周知されていますか? 12.5.2 セキュリティに関する警告および情報を監視して分析し適切な担当者に通知していますか? 12.5.3 セキュリティインシデントの対応およびエスカレーション手順を制定文書化および周知してあらゆる状況をタイムリーかつ効果的に処理する責任を割当てていますか? 12.5.4 追加削除変更を含めユーザアカウントが管理されていますか? 12.5.5 データへのすべてのアクセスが監視および管理されていますか? 12.6 (a) 正式なセキュリティに関する認識を高めるプログラムを実施してすべての担当者がカード会員データセキュリティの重要性を認識するようにしていますか? (b) セキュリティ認識プログラム手順に以下が含まれていますか? 12.6.1 (a) セキュリティ意識向上プログラムが担当者の意識向上を図るため複数の方法で提供されていますか ( ポスター手紙メモ Web ベースのトレーニング会議プロモーションなど )? 注 : 方法は担当者の役割とカード会員データへのアクセスレベルに応じて異なります (b) 雇用時および少なくとも年に一度担当者を教育していますか? 情報セキュリティポリシーおよび手順のレビュー情報セキュリティポリシーおよび手順のレビュー情報セキュリティポリシーおよび手順のレビュー情報セキュリティポリシーおよび手順のレビュー情報セキュリティポリシーおよび手順のレビューセキュリティ意識向上プログラムのレビューセキュリティ意識向上プログラムのレビューセキュリティ意識向上プログラム手順のレビューセキュリティ意識向上プログラム参加記録のレビューセキュリティ意識向上プログラム手順および文書の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 78 ページ

(c) 従業員がセキュリティ認識プログラムのトレーニングを完了しカード会員データセキュリティの重要さを認識するようになりましたか? 12.6.2 セキュリティポリシーおよび手順に目を通して理解したことについての同意を少なくとも年に一度担当者に求めていますか? 12.7 雇用する前にリスクの可能性のある従業員 ( 上述の担当者の定義を参照 ) を選別して内部ソースからの攻撃リスクを最小限に抑えていますか? バックグラウンドチェックの例には職歴犯罪歴信用履歴経歴照会があります注 : このようなリスクの可能性のある担当者をトランザクションの実施で一度に 1 つのカード番号にしかアクセスできないようなレジ係など特定の役職に採用する場合はこの要件は推奨のみです 12.8 カード会員データを共有するかカード会員データのセキュリティに影響を与えるサービスプロバイダを管理するポリシーと手順が以下の通り整備および実施されていますか? 12.8.1 提供されるサービスの詳細を含むサービスプロバイダのリストが整備されていますか? セキュリティ意識向上プログラム手順および文書の調査人事部門長のインタビューポリシーおよび手順のレビュープロセスの観察サービスプロバイダの一覧のレビュー ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 79 ページ

12.8.2 サービスプロバイダが自社で所有するまたは顧客より委託を受けて保管処理伝送するカード会員データ環境の安全に影響を及ぼすような内容を含むカード会員データのセキュリティに対して責任を負うことについて同意を得て契約書を取り交わしていますか? 注 : 同意の正確な言葉づかいは両当事者間の同意事項提供サービスの詳細各当事者に割り当てられた責任によって異なります同意にはこの要件に記載されているのとまったく同じ言葉づかいを含める必要はありません 12.8.3 契約前の適切なデューディリジェンスを含めサービスプロバイダとの契約に関するプロセスが確立されていますか? 12.8.4 少なくとも年 1 回サービスプロバイダの PCI DSS 準拠ステータスを監視するプログラムが維持されていますか? 12.8.5 各サービスプロバイダに対してどの PCI DSS 要件がサービスプロバイダによって管理されどの要件が対象の事業体により管理されるかについての情報が維持されていますか? 12.9 サービスプロバイダのみ : サービスプロバイダが自社の所有するまたは顧客に委託されて保管処理伝送するあるいは顧客のカード会員データ環境の安全に影響を及ぼすようなカード会員データのセキュリティに対して責任を負うことに同意していますか? 注 : 同意の正確な言葉づかいは両当事者間の同意事項提供サービスの詳細各当事者に割り当てられた責任によって異なります同意にはこの要件に記載されているのとまったく同じ言葉づかいを含める必要はありません合意契約書の観察ポリシーおよび手順のレビュープロセスの観察ポリシーおよび手順と補足文書のレビュープロセスの観察ポリシーおよび手順と補足文書のレビュープロセスの観察ポリシーおよび手順と補足文書のレビューサービスプロバイダのポリシーと手順のレビュー合意契約書で使用する雛形の観察 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 80 ページ

12.10 システム違反に直ちに対応できるように以下を含むインシデント対応計画が実施されていますか? 12.10.1 (a) システム違反が発生した場合に実施されるインシデント対応計画が作成されていますか? (b) 計画は最低限以下に対応していますか? インシデント対応計画のレビューインシデント対応計画手順のレビュー ( 各質問に対して 1 つを選んでください ) ペイメントブランドへの通知を最低限含む侵害が発生した場合の役割責任および伝達と連絡に関する戦略インシデント対応計画手順のレビュー具体的なインシデント対応手順インシデント対応計画手順のレビュービジネスの復旧および継続手順インシデント対応計画手順のレビューデータバックアッププロセスインシデント対応計画手順のレビュー侵害の報告に関する法的要件の分析インシデント対応計画手順のレビューすべての重要なシステムコンポーネントを対象とした対応ペイメントブランドによるインシデント対応手順の参照または包含インシデント対応計画手順のレビューインシデント対応計画手順のレビュー 12.10.2 インシデント対応計画が 12.10.1 の要件を含み少なくとも年に一度レビューおよびテストされていますか? インシデント対応計画手順のレビュー責任者のインタビュー 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 81 ページ

12.10.3 警告に 24 時間体制で対応できる担当者が指定されていますか? 12.10.4 セキュリティ違反への対応を担当するスタッフに適切なトレーニングが提供されていますか? 12.10.5 セキュリティ監視システムからの警告がインシデント対応手順に含まれていますか? 12.10.6 得られた教訓を踏まえてインシデント対応計画を変更および改善し産業の発展を組み込むプロセスが作成されていますか? 12.11 サービスプロバイダのみ : 少なくとも四半期に 1 度担当者は次のセキュリティポリシと運用手順を確認することがレビューされていますか? 注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になる (a) 以下のプロセスがレビューでカバーされていますか? 日次のログレビューファイアウォールのルールセットのレビュー新規システムに対する構成基準の適用セキュリティアラートに対する対応変更管理プロセスプロセスの観察ポリシーのレビュー責任者のインタビュープロセスの観察インシデント対応計画手順のレビュー責任者のインタビュープロセスの観察インシデント対応計画手順のレビュープロセスの観察インシデント対応計画手順のレビュー責任者のインタビュー四半期ごとのレビュー実施のポリシーと手順の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 82 ページ

(b) レビューは少なくとも四半期に 1 度実施されていますか? 12.11.1 サービスプロバイダのみ : 四半期に 1 度以下を含む文書のレビュープロセスが維持されていますか? レビュー結果の文書化 PCI DSS 準拠プログラムの責任者による結果ノレビューとと署名注 : この要件は 2018 年 1 月 31 日まではベストプラクティスと見なされ以降は要件になるレビュー記録の調査四半期ごとのレビュー文書の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 83 ページ

付録 A: 付録 A1: 追加の PCI DSS 要件共有ホスティングプロバイダ向けの PCI DSS 追加要件 PCI DSS 質問 ( 各質問に対して 1 つを選んでください ) A1 A1.1 ~ A1.4 に従い各事業体 ( つまり加盟店サービスプロバイダまたはその他の事業体 ) のホスト環境およびデータは保護されていますか? ホスティングプロバイダはこれらの要件および PCI DSS のその他すべての関連セクションを満たす必要があります注 : ホスティングプロバイダがこれらの要件を満たすことができたとしてもそのホスティングプロバイダを使用する事業体の準拠が保証されるわけではありません各事業体は PCI DSS に従い準拠を適宜検証する必要があります A1.1 各事業体はその事業体のカード会員データ環境にのみアクセスするプロセスを実行しておりこれらのアプリケーションプロセスは事業体の一意の ID を使用して実行されていますか? システム構成および関連するホスト事業体ごとの一意な ID の調査例 : システム上のどの事業体も共有 Web サーバユーザ ID を使用できない事業体が使用するすべての CGI スクリプトはその事業体の一意のユーザ ID を使用して作成され実行される必要がある A1.2 各事業体のアクセスおよび権限はその事業体のカード会員データ環境のみに制限されていますか? (a) アプリケーションプロセスのユーザ ID は特権ユーザ ( ルート / 管理者 ) ではありませんか? アプリケーションユーザ ID のシステム構成の調査 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 84 ページ

(b) 各事業体がその事業体が所有するファイルおよびディレクトリに対してまたは必要なシステムファイルに対してのみ読み取り書き込みまたは実行許可をもつ ( ファイルシステムアクセス権限アクセス制御リスト chroot jailshell などによって制限される ) ことが要求されていますか? 重要 : 事業体のファイルをグループで共有することはできません (c) すべての事業体のユーザが共有システムバイナリへの書き込みアクセス権を持たないようになっていますか? (d) ログエントリの表示は所有事業体に制限されていますか? (e) これらのシステムリソースの使用に制限が課せられていますか? ディスク領域帯域幅メモリ CPU 各事業体がサーバリソースを独占して脆弱性 ( 例えばバッファオーバーフローなどを引き起こすエラー競合および再起動状況 ) を悪用できないようにします A1.3 (a) ログ記録および監査証跡が有効で各事業体のカード会員データ環境が固有で PCI DSS 要件 10 との整合性が保持されていますか? (b) ログ記録が各加盟店およびサービスプロバイダ環境に対して以下のように有効になっていますか? ホスト事業体のシステム構成およびファイルパーミッションの調査共有システムバイナリのシステム構成およびファイルパーミッションの調査ログエントリの閲覧のシステム構成およびファイルパーミッションの調査次の使用状況に関するシステム構成およびファイルパーミッションの調査 : ディスク領域帯域幅メモリ CPU ログ設定の調査 ( 各質問に対して 1 つを選んでください ) 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 85 ページ

PCI DSS 質問一般的なサードパーティアプリケーションでログが有効になっていますか? ログはデフォルトでアクティブとなっていますか? ログ設定の調査ログ設定の調査 ( 各質問に対して 1 つを選んでください ) 所有事業体がログをレビューできますか? ログ設定の調査ログの場所が所有事業体に明確に伝えられていますか? ログ設定の調査 A1.4 ホストされた加盟店またはサービスプロバイダへの侵害が発生した場合にタイムリーなフォレンジック調査を提供する文書化されたポリシーおよびプロセスが有効になっていますか? 記載済ポリシーおよび手順のレビュー付録 A2: SSL / 初期の TLS を使用している事業体向けの PCI DSS 追加要件 PCI DSS 質問 A2.1 POS POI 端末 (SSL/TLS の終端の接続も同様 ) において SSL および / または初期 TLS を利用している場合 : デバイスは SSL / 初期の TLS において既知の脆弱性に影響されないことを確認していますか? もしくは : 要件 A2.2 に対し正式なリスク低減策および移行計画書がありますか? POS POI デバイスが既知の SSL / 初期の TLS の影響を受けないことを検証した文書 ( 例えばベンダ文書システム / ネットワーク構成の焼成など ) のレビュー ( 各質問に対して 1 つを選んでください ) CCW 付いいえ N/A 未テスト 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 86 ページ

A2.2 SSL および / または初期の TLS(A2.1 で許可されているもの以外 ) を使用しているすべての実装において以下を含む正式なリスク低減策および移行計画書がありますか? どのようなデータが伝送されるか SSL/ 初期の TLS を使用および / またはサポートするシステムの種類および数環境の種類を含む使用方法の説明リスク評価結果およびリスク低減コントロール SSL / 初期の TLS に関連する新規脆弱性の監視プロセスの説明新規環境に SSL / 初期の TLS が実装されていないことを確認するために実装されている変更コントロールプロセスの説明 2018 年 6 月 30 日より後でない移行完了日を含む移行プロジェクト計画の概要 A2.3 サービスプロバイダのみ : 安全なサービス提供が適切にされていますか? 注 : 2016 年 6 月 30 日までにサービスプロバイダは提供サービスを含むセキュアプロトコルオプションを使用するか 2016 年 6 月 30 日以前までにセキュアプロトコルオプションの提供する日付を含む文書化されたリスク低減策および移行計画 (A2.2 毎 ) を保持していなければならいその日付以降すべてのサービスプロバイダはセキュアプロトコルオプションを提供しなければならない文書化されたリスク低減策および移行計画のレビューシステム構成および支援文書の調査 ( 各質問に対して 1 つを選んでください ) CCW 付いいえ N/A 未テスト 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 87 ページ

付録 A3: 指定事業体向け追加検証 (DESV) この付録はペイメントブランドまたはアクワイアラーによって PCI DSS 既存要件の追加検証が必要であると指定された事業体のみに適用されますこの付録の検証を求められた事業体は報告のために DESV 追加報告テンプレートおよび追加準拠証明書を使用する必要があり提出手順について該当するペイメントブランドおよび / またはアクワイアラーへ相談する必要があります 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 88 ページ

付録 B: 代替コントロールワークシートこのワークシートを使用して CCW 付にチェックが付けられている要件について代替コントロールを定義します注 : 準拠を実現するために代替コントロールの使用を検討できるのはリスク分析を実施済みで政党なテクノロジまたはビジネス上の制約がある企業のみです代替コントロールの使用に関する情報とワークシートの記入方法についてのガイダンスは PCI DSS の付録 B C D を参照してください要件番号と定義 : 必要な情報説明 1. 制約元の要件への準拠を不可能にする制約を列挙する 2. 目的元のコントロールの目的を定義し代替コントロールによって満たされる目的を特定する 3. 特定されたリスク元のコントロールがないことで生じる追加リスクを特定する 4. 代替コントロールの定義 5. 代替コントロールの検証代替コントロールを定義し元のコントロールの目的および追加リスク ( ある場合 ) にどのように対応するかを説明する代替コントロールの検証およびテスト方法を定義する 6. 維持代替コントロールを維持するために実施するプロセスおよび管理を定義する 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 89 ページ

付録 D: 未テスト要件の説明未テスト欄を選択した場合このワークシートで該当要件が評価の一部としてレビューされなかった理由を説明してください要件要件のどの部分がテストされていないかの説明要件のテストされていない理由の説明例 : 要件 12 要件 1-8, 10-12 要件 12.2 が唯一のテストされた要件です要件 12 のその他の要件はすべて除外されていますこの評価では要件 9 のみがレビューされていますその他の要件はすべて除外されていますこの評価は優先アプローチのマイルストン 1 の要件のみを対象としています会社は物理ハウジングプロバイダ (CO-LO) でこの評価では物理的なセキュリティ制御のみが考慮されました 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 91 ページ

セクション 3: 検証と証明の詳細パート 3. PCI DSS 検証この AOC は (SAQ 完了日 ) 付の SAQ A-EP( セクション 2) に記載した結果に基づいています上記に記載された SAQ D の結果を基にパート 3b-3d で識別された署名者 ( 該当する場合 ) は本書のパート 2 に記載されている事業体について以下の準拠状態を証明します (1 つ選んでください ): 準拠 : PCI SAQ のすべてのセクションの記入を完了しすべての質問に対するが肯定的であったため全体的な評価が準拠になり ( サービスプロバイダの会社名 ) は PCI DSS に完全に準拠していることを示しました非準拠 : PCI SAQ のすべてのセクションの記入を完了しなかったか一部の質問に対して肯定的に答えられていないため全体的な評価が非準拠になり ( 加盟店名 ) は PCI DSS に完全には準拠していることを示しませんでした準拠の目標期日 : 非準拠の状態でこのフォームを提出する事業体は本書のパート 4 にあるアクションプランの記入を完了しなければならない場合がありますパート 4 に記入する前にペイメントブランドに確認してください準拠法的例外付 : 法的制限のために要件を満たすことができないため 1 つ以上の要件にいいえと答えていますこのオプションにはアクワイアラーまたはペイメントブランドからの追加レビューが必要です選択されている場合次の各項目に記入してください影響を受けた要件法的制限により要件を満たすことができなかった理由の詳細パート3a. 状態の確認署名者が以下を確認します ( 該当する項目すべてを選んでください ) PCI DSS 自己問診 D バージョン(SAQバージョン) を同書の指示に従って完了しました上記で参照されている SAQ およびこの証明書のすべての情報は評価の結果をすべての重要な点において公正に表しています私は当社のペイメントアプリケーションベンダに当社のペイメントシステムでは承認後の機密認証データが保存されないことを確認しました私は PCI DSS を読み当社の環境に適用される範囲において常に PCI DSS への完全な準拠を維持する必要があることを認識しています私は当社の環境が変化した場合には新しい環境を再評価し該当する追加の PCI DSS 要件を導入する必要があることを認識しています PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 3: 検証と証明の詳細 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 92 ページ

パート 3a. 状態の確認 ( 続き ) 取引承認後にフルトラックデータ 1 CAV2 CVC2 CID CVV2 データまたは PIN データ 2 が保存されているという証拠はこの評価でレビューされたすべてのシステムで見つかりませんでした 3 ASV スキャンは PCI SSC 認定スキャニングベンダ (ASV 名 ) が実施していますパート 3b. サービスプロバイダの証明書サービスプロバイダ役員の署名日付 : サービスプロバイダ役員名 : 役職 : パート 3c. 認定セキュリティ評価機関 (QSA) の確認 ( 該当する場合 ) この評価に QSA が関与しているか支援している場合実施した役割を説明してください QSA 会社の正当な権限を有する役員の署名日付 : 正当な権限を有する役員の名前 : QSA の会社 : パート 3d. 内部セキュリティ評価者 (ISA) の関与 ( 該当する場合 ) この評価に ISA が関与しているか支援している場合 ISA 個人の識別と実施した役割を説明してください 1 カードを提示する取引中に承認のために使用される磁気ストライプのエンコードされたデータまたはチップ内の同等のデータ取引承認の後事業体はフルトラックデータ全体を保持することはできません保持できるトラックデータの要素はプライマリアカウント番号 (PAN) 有効期限カード会員名のみです 2 カードを提示しない取引を検証するために使用される署名欄またはペイメントカードの前面に印字されている 3 桁または 4 桁の値 3 カード提示の取引中にカード会員によって入力される個人識別番号または取引メッセージ内に存在する暗号化された PIN ブロックあるいはその両方 PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 3: 検証と証明の詳細 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 93 ページ

パート 4. 非準拠要件に対するアクションプラン要件ごとに該当する PCI DSS 要件への準拠状態を選択してください要件に対していいえを選択した場合は会社が要件に準拠する予定である日付と要件を満たすために講じられるアクションの簡単な説明を記入する必要がありますパート 4 に記入する前に該当するペイメントブランドに確認してください PCI DSS 要件要件の説明 PCI DSS 要件への準拠 (1 つ選んでください ) 修正日とアクション ( いいえが選択されている要件すべて ) いいえ 1 カード会員データを保護するためにファイアウォールをインストールして構成を維持する 2 システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 3 保存されるカード会員データを保護する 4 5 6 7 8 オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化するすべてのシステムを丸ウェアから保護しアンチウィルスソフトウェアまたはプログラムを定期的に更新する安全性の高いシステムとアプリケーションを開発し保守するカード会員データへのアクセスを業務上必要な範囲内に制限するシステムコンポーネントへのアクセスを識別認証する 9 カード会員データへの物理アクセスを制限する 10 11 12 付録 A1 付録 A2 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視するセキュリティシステムおよびプロセスを定期的にテストするすべての担当者の情報セキュリティポリシーを整備する共有ホスティングプロバイダ向けの PCI DSS 追加要件 SSL / 初期の TLS を使用している事業体向けの PCI DSS 追加要件 PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 3: 検証と証明の詳細 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 94 ページ

翻訳協力会社この翻訳文書は日本カード情報セキュリティ協議会以下の QSA 各社およびユーザ部会各社により作成されました日本カード情報セキュリティ協議会株式会社インフォセック NRI セキュアテクノロジーズ株式会社 NTT データ先端技術株式会社国際マネジメントシステム認証機構株式会社ネットワンシステムズ株式会社 BSI グループジャパン株式会社富士通株式会社株式会社ブロードバンドセキュリティ PCI DSS v3.2 SAQ D サービスプロバイダ用, Rev. 1.1 セクション 3: 検証と証明の詳細 2006-2017 PCI Security Standards Council, LLC. All Rights Reserved. 95 ページ

この文書について この文書 ( 公式日本語訳 ) は PCI Security Standards Council, LLC ( 審議会 ) で入手可能な SAQ と記さ

この文書についてこの文書 ( 公式日本語訳 ) は PCI Security Standards Council, LLC ( 審議会 ) で入手可能な SAQ と記さ