PCIデータセキュリティ基準要件詳細理解のためのトレーニング

加盟店を取り巻く環境 1 2015 年もカード情報漏えい事件は続出 - LuzLlena から 3,701 件流出 (6 月 ) OpenSSL 脆弱性 - 新日本プロレスのサイトから 11,155 件流出 (6 月 ) Web アプリケーション脆弱性 - イタリア自動車雑貨店から 28,212 件流出 (6 月 ) テスト環境経由でバックドア - 村田園の通販サイトから 1,959 流出 (6 月 ) セキュリティコードも流出 - ONYONE ベースボールギアから 72 件流出 (4 月 ) セキュリティコードも流出 - ソースネクストのマイページで他人のカード情報表示 (3 月 ) 共通メールアドレス利用者間で個人情報が閲覧可能に出典 :Security NEXT Copyright International Certificate Authority of Management System All rights Reserved. 3

加盟店を取り巻く環境 2 改正割賦販売法の施行 - 第 35 条の 16 においてイシュアアクワイアラがクレジットカード番号等の漏えい滅失又はき損の防止その他のクレジットカード番号等の適切な管理のために必要な措置を講じることが義務化された - イシュアアクワイアラは加盟店に対してカード番号漏えい防止発生した場合の対応および再発防止策についての指導監督が義務となる Copyright International Certificate Authority of Management System All rights Reserved. 4

クレジットカード情報流出事件の考察 1 SQL インジェクションによる事案は引き続き多い - EC サイトのデータベースに保管されていた会員のクレジットカード情報が海外から SQL インジェクション攻撃された - 事件発生後に必要な対応顧客の問い合わせ対応 PFIs によるフォレンジック調査警察への被害届広報カード取扱再開のための対応 SQL インジェクション攻撃データベースコマンド入力ついに SSL の Poodle 脆弱性を突いた事案が出てきた - 現時点で例は少ないもののツールを作られている可能性あり - 古いバージョンの SSL/TLS は最早安全ではない Copyright International Certificate Authority of Management System All rights Reserved. 5

クレジットカード情報流出事件の考察 2 情報流出をした加盟店の責任 ( 例 ) - 情報セキュリティ対策に不備がありクレジットカード情報を含む個人情報を流出してしまった - 情報を流出させてしまった会員に対する責任 ( お詫びのコスト ) - 流出させてしまったカードは原則再発行が必要であるカード発行会社における再発行のコスト 1 枚あたり 1,500 円 ~2,000 円を当該加盟店が負担する必要がある - 流出させたカード番号については不正モニタリングをして二次被害を食い止めなければならない不正モニタリングのコスト 1 カードあたり 500 円程度を当該加盟店が負担する必要がある - 実際に不正に買い物があったものの被害についても当該加盟店が負担する必要がある Copyright International Certificate Authority of Management System All rights Reserved. 6

クレジットカード情報流出事件の考察 3 事業継続にあたって - クレジットカード加盟店として継続する場合カード会社 ( アクワイアラ ) から PCI DSS の準拠が要請される非保持形態で PCI DSS の準拠を果たし再開するケースが多い - 決済手段からクレジットカードを外す主要な決済手段の外してビジネスが継続できるか? - ショッピングモールに店ごと移す楽天 Yahoo! などはカード情報を取り扱わない半面買い物ユーザは自社の顧客ではなくなる ( ショッピングモールの顧客となる ) Copyright International Certificate Authority of Management System All rights Reserved. 7

PCI DSS とは? PCI セキュリティ基準審議会 (PCI SSC) が制定した事実上の基準 (Payment Card Industry Data Security Standard) PCI SSC: 国際ペイメントブランド (VISA, MasterCard, American Express, JCB, Discover) によって 2006 年 9 月に設立された日本カード情報セキュリティ協議会 (JCDSC) は改正割賦販売法第 35 条の 16 への対応として PCI DSS への準拠を策定 http://www.jcdsc.org/topics/vol03.php Copyright International Certificate Authority of Management System All rights Reserved. 8

PCI 基準とは? 端末機器製造会社 PCI PTS PIN エントリーデバイス P2PE ソフトウェア開発事業者 PCI PCI PTS PA-DSS 決済パッケージアプリケーション加盟店サービスプロバイダ PCI DSS セキュリティ環境 P2PE Copyright International Certificate Authority of Management System All rights Reserved. 9

クレジットカードのトランザクション概略 idc 事業者など外部委託 PCI DSS の対象範囲コールセンター事業者など外部委託プロセシング ( データ処理会社 ) 承認要求加盟店カード提示 PCI DSS 準拠が必要な事業体加盟店サービスプロバイダペイメントゲートウェイ購買許可購入承認要求購買許可カード発行外部委託カード会社 ( アクワイアラ ) 購買許可購買許可カード会社 ( イシュア ) プロセシング ( データ処理会社 ) コールセンター事業者などペイメントブランドのネットワークカード会社クレジットカード会員 Copyright International Certificate Authority of Management System All rights Reserved. PCI DSSの対象範囲承認要求承認要求外部委託 PCI DSS の対象範囲コールセンター事業者などプロセシング ( データ処理会社 ) 10

PCI DSS における各プレイヤの相関 PCI セキュリティ基準審議会 (PCI SSC) 米国組織承認承認認定ネットワークスキャニングベンダー ASV 認定セキュリティ評価機関 QSAs ペイメントブランド準拠要請カード会社 ( アクワイアラ ) 準拠要請検査 ( 四半期毎 ) 監査 ( 年次 ) 準拠性報告提出自己問診表 (SAQ) 脆弱性検査レポート監査報告書 (ROC) 準拠証明書 (AOC) 加盟店サービスプロバイダ Copyright International Certificate Authority of Management System All rights Reserved. 11

プレイヤの責任 1 アクワイアラ - 契約先の加盟店サービスプロバイダのカード会員データの安全管理の責任を負うペイメントブランドとの契約上の責任改正割賦販売法上の責任 - 契約する加盟店サービスプロバイダへの準拠要請加盟店が PCI DSS に準拠していない結果として生じる全ての責任を負う - PCI DSS に準拠する責任 - カード会員データを共有する外部委託先への PCI DSS と同等の情報管理の順守要請 - ペイメントブランドへの報告義務取引件数 ( トランザクション数 ) PCI DSS への準拠性 Copyright International Certificate Authority of Management System All rights Reserved. 12

プレイヤの責任 2 全ての加盟店は PCI DSS に準拠する責任がある - 準拠性の確認方法はブランド毎に若干異なる全てのサービスプロバイダは PCI DSS に準拠する責任がある - 取引データカード会員データの伝送 / 処理 / 保存に直接関わる事業体のことを指す - 例 ) クレジットカード決済代行事業者プロセシング会社 Web ホスティング会社 /MSP IDS サービスプロバイダ Copyright International Certificate Authority of Management System All rights Reserved. 13

プレイヤの責任 3 QSA( 認定セキュリティ監査人 ) - 一定以上のレベルの加盟店サービスプロバイダを年次オンサイト監査により準拠性を明らかにする - 代替コントロールの評価 - 必要に応じて追跡評価を実施 ( 不適合事項のフォローアップなど ) - 監査報告書 (ROC) の作成 / 準拠証明書 (AOC) への署名 - 評価の品質の保証 - PCI SSC に対する情報の開示義務 - PCI SSC に対しての解釈の問い合わせ認定セキュリティ評価機関は QSAs と呼ばれる Copyright International Certificate Authority of Management System All rights Reserved. 14

プレイヤの責任 4 ASV( 認定スキャニングベンダー ) - 一定以上のレベルの加盟店サービスプロバイダを四半期毎のネットワークスキャンにより結果を明らかにする - 必要に応じて追跡評価を実施 ( クリーンな結果が出力されるまで再スキャンを行うなど ) - スキャニング結果の品質の保証 - PCI SSC に対する情報の開示義務 Copyright International Certificate Authority of Management System All rights Reserved. 15

加盟店のレベルと取引件数加盟店のレベルはペイメントブランドが定義する注 ) ペイメントブランド毎に異なる加盟店レベルは主に取引件数によって区分される取引件数は契約するアクワイアラが判定する取引件数の総数は事業体の名称またはチェーン店の合計取引件数を基に判定する取引件数の総数はクレジットカードデビットカードプリペイドカードの合計 Copyright International Certificate Authority of Management System All rights Reserved. 16

加盟店のレベル 1 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCB データセキュリティプログラム ) American Express (DSOP) 1 当該ブランドの年間の取引件数が 600 万件以上または地域の VISA がレベル 1 と判断したグローバルな加盟店当該ブランドの年間の取引件数が 600 万件以上過去にカード情報の漏洩事件を起こした加盟店 MasterCard がレベル 1 と判断した加盟店当該ブランドの年間の取引件数が 100 万件以上当該ブランドの年間の取引件数が 250 万件以上または American Express がレベル 1 と判断した加盟店 Visa がレベル 1 と判断した加盟店 2 当該ブランドの年間の取引件数が 100 万 ~600 万件当該ブランドの年間の取引件数が 100 万 ~600 万件以上 Visa がレベル 2 と判断した加盟店当該ブランドの年間の取引件数が 100 万件未満当該ブランドの年間の取引件数が 5 万 ~250 万件または American Express がレベル 2 と判断した加盟店 VISA Inc. と VISA Europe では基準が異なる Copyright International Certificate Authority of Management System All rights Reserved. 17

加盟店のレベル 2 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCB データセキュリティプログラム ) American Express (DSOP) 3 当該ブランドの年間の電子商取引における取引件数が 2 万 ~100 万件当該ブランドの年間の電子商取引における取引件数が 2 万 ~100 万件 N/A 当該ブランドの年間の取引件数が 5 万件未満 Visa がレベル 3 と判断した加盟店 4 当該ブランドの年間の電子商取引における取引件数が 2 万件未満レベル 1~3 以外のすべての加盟店 N/A N/A 当該ブランドの年間の取引件数が 100 万件未満 VISA Inc. と VISA Europe では基準が異なる Copyright International Certificate Authority of Management System All rights Reserved. 18

加盟店の検証要件 1 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCB データセキュリティプログラム ) American Express (DSOP) 1 QSA または ISA( 内部監査人 ) による年 1 回の監査報告書 (ROC) ISA による場合は役員 (CEO/CFO/CTO など ) が署名 ASV による四半期毎の脆弱性スキャン準拠証明書 (AOC) ISA または QSA による年 1 回のオンサイト監査 ASV による四半期毎のネットワークスキャン QSA による年 1 回のオンサイト監査 ASV による四半期毎のネットワークスキャン ( インターネットを介した取引がない場合は不要 ) QSA または最高経営責任者最高財務責任者情報セキュリティ最高責任者または加盟店の責任者が認証している場合は加盟店が実施した年 1 回のオンサイト監査 ASV による四半期毎のネットワークスキャン 2 年 1 回の自己問診 ASV による四半期毎のネットワークスキャン準拠証明書 (AOC) ISA による年 1 回の自己問診または QSA による年 1 回のオンサイト監査 ASV による四半期毎のネットワークスキャン年 1 回の自己問診 ASV による四半期毎のネットワークスキャン ( インターネットを介した取引がない場合は不要 ) ASV による四半期毎のネットワークスキャン Copyright International Certificate Authority of Management System All rights Reserved. 19

加盟店の検証要件 2 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCB データセキュリティプログラム ) American Express (DSOP) 3 年 1 回の自己問診 ASV による四半期毎のネットワークスキャン年 1 回の自己問診 ASV による四半期毎のネットワークスキャン N/A ASV による四半期毎のネットワークスキャン ( 強く推奨 ) 準拠証明書 (AOC) 4 年 1 回の自己問診 ( 推奨 ) ASV による四半期毎のネットワークスキャン ( 適合する場合 ) アクワイアラが定める準拠要件年 1 回の自己問診 ASV による四半期毎のネットワークスキャン準拠承認はアクワイアラの裁量 N/A N/A Copyright International Certificate Authority of Management System All rights Reserved. 20

加盟店の PCI DSS 準拠状況の報告方法 QSA によるオンサイト監査 - 監査報告書 (ROC:Report of Compliance) 自己問診 - 自己問診 (SAQ:Self-Assessment Questionnaire) タイプ A, A-EP, B, B-IP, C-VT, C, D, P2PE-HW の 8 種類 ASV によるネットワークスキャン - Pass とされた結果が出力されたスキャニングレポート準拠証明書 (AOC) - 加盟店の責任者が署名 - オンサイト監査を実施した場合は監査責任者 (QSA) が署名 - 自己問診結果を監査員が確認した場合は監査責任者 (QSA) が署名 Copyright International Certificate Authority of Management System All rights Reserved. 21

オンサイト監査 ( 評価 ) の概要毎年全項目の適合性を確認する必要がある監査サイクルは 12 ヶ月に 1 回拠点及びシステムコンポーネントについてはサンプリングにより実施する - QSA はサンプリングの根拠を明確に記載する必要あり - PCI DSS の要件自体のサンプリングは認められない項目毎に適合 / 不適合を判別するオリジナルの要件で適用できない場合代替コントロールの適用可否について判断する不順守への対処を行う - 目標期日を明確にする - 不順守の内容によってはフォローアップ監査を実施する Copyright International Certificate Authority of Management System All rights Reserved. 22

自己問診の概要 (V3.1)1 SAQ 説明項目数 A A-EP B B-IP C-VT C カード会員データの取り扱いはすべて認証済みのサードパーティに外部委託しており店内にはカード会員データの紙の計算書または領収書だけを保管している加盟店 ( 対面式の加 14 盟店には適用されない ) 電子商取引の支払チャネルを PCI DSS 認定の第三者に部分的に外部委託している電子商取引加盟店 ( システムや店内ではカード会員データを電子的に保存処理伝送することがない ) インプリンタまたはスタンドアロン型ダイアルアップ端末のみによってカード会員データを処理する加盟店 ( 電子商取引チャネルには適用されない ) 41 ペイメントプロセサーにIP 接続されるスタンドアロン型 PTS 認定の加盟店端末装置のみによってカード会員データを処理する加盟店 ( 電子商取引チャネルには適用されない ) 83 インターネットに接続されたパーソナルコンピュータ上にある隔離された仮想端末のみによってカード会員データを処理する加盟店 ( 電子商取引チャネルには適用されない ) 74 ペイメントアプリケーションシステム (POS システムなど ) がインターネットに接続されているがカード会員データをコンピュータシステムに保存しない加盟店 ( 電子商取引チャネルには適用されない ) ペイメントブランドにより SAQ 対象として定義されたすべてのサービスプロバイダ上記 SAQタイプの基準を満たさないSAQ 対象加盟店 139 140 D 330 他のSAQタイプの基準を満たす環境にあるが自社の環境に他のPCI DSS 要件が適用されるような加盟店検証され PCI にリストされているペイメントプロセサーにIP 接続される P2PE(Point-to- Point 暗号化 ) ソリューションに含まれているハードウェア支払端末のみによってカード会員データを処理する加盟店 ( 電子商取引チャネルには適用されない ) Copyright International Certificate Authority of Management System All rights Reserved. 23 P2PE-HW 35

自己問診の概要 (V3.1)2 PCI DSS への準拠について加盟店自らが次のことを行う - 必要なポリシー文書手順を整備する - 要件に従った情報セキュリティ対策を実施する - ポリシー手順に従ったシステム運用業務運用を行い必要な記録 ( 変更管理コードレビュー定期レビュー等 ) を維持する - 定期的な検査 ( 無線 LAN, 内部外部脆弱性, ペネトレーション ) を実施する - これらの実施状況を年次でチェックし自己問診および準拠証明書に記入し経営責任者がサインする - 場合によっては QSA( 認定監査員 ) もサインする Copyright International Certificate Authority of Management System All rights Reserved. 24

EC サイトの SAQ1 SAQ A - カードを提示しない ( 電子商取引または通信販売による注文 ) 取引のみを扱う - 全ての支払承認および処理を PCI DSS 認定の第三者サービスプロバイダに全面的に外部委託している - カード会員データのキャプチャ処理伝送保管方法を直接制御しない - システムまたは敷地内でカード会員データを電子的に保管処理伝送することなくこれらの機能を第三者に全面的に委託している - 消費者のブラウザに配信される支払ページは全て PCI DSS 認定の第三者サービスプロバイダから直接送信されるいわゆるモール加盟店決済代行事業者の支払機能を iframe で提供する EC サイトが該当する Copyright International Certificate Authority of Management System All rights Reserved. 25

EC サイトの SAQ2 SAQ A-EP - 電子商取引のみを扱いカード会員データの全ての処理を PCI DSS 認定の第三者支払プロセサーに外部委託している - Web サイトはカード会員データを受信しないが消費者または消費者のカード会員データが PCI DSS 認定の第三者支払プロセサーにリダイレクトされる方法を制御する - 決済アプリケーション / インターネットデバイスが環境内の他のシステムには接続されていない ( ネットワークセグメンテーションによって実現可 ) - 消費者のブラウザに表示される支払ページの全要素は加盟店の Web サイトまたは PCI DSS 準拠のサービスプロバイダからのものとする - システムまたは敷地内でカード会員データを電子的に保管処理伝送することなくこれらの機能を第三者に全面的に委託している画面リンク型決済の EC サイト支払処理機能をブラウザに処理させる EC サイトが該当する Copyright International Certificate Authority of Management System All rights Reserved. 26

EC サイトの SAQ3 SAQ D - カード会員データを自社の Web サイトで承認する電子商取引加盟店 - カード会員データを電子形式で保存する加盟店 - カード会員データを電子形式で保存しないが他の SAQ タイプの基準を満たさない加盟店 - 他の SAQ タイプの基準を満たす環境にあるが自社の環境に他の PCI DSS 要件が適用されるような加盟店次のような EC サイトが該当する自社で CAFIS に接続し決済処理を行っているカード番号を DB やファイルに保存しているカード番号を Web サーバのモジュールで受けインターネットや専用線で決済代行事業者へ送信している Copyright International Certificate Authority of Management System All rights Reserved. 27

SAQ の記載事項 1 SAQ には次の事項を記載する - 加盟店の情報 ( 組織名商号担当者住所 URL 等 ) - 監査機関の情報 (SAQの確認を外部監査機関が行った場合) - 加盟店のビジネス業種支払方法カード会員データの取扱方法 ( 伝送処理保存 ) カード会員データを取扱う場所 ( 事業所名住所 ) 決済アプリケーション ( 名称バージョンベンダ PA-DSS 準拠状況 ) カード会員データ環境 (CDE) の概要サービスプロバイダの一覧と役割 Copyright International Certificate Authority of Management System All rights Reserved. 28

SAQ の記載事項 2 続き - 各要件 (SAQ では PCI DSS 質問 ) の準拠状況 ( 後述 ) - 代替コントロールワークシート - 該当なし (N/A) とした要件の適用されない理由の説明 - 未テスト (Not Tested) とした要件の未テスト部分と理由の説明 - PCI DSS 検証 ( 準拠状況 ) の証明準拠を確認した日非準拠の場合は準拠目標日準拠状態の確認 ( 正しく確認したことの宣言 ) - 責任者 ( 担当役員 ) のサイン ( 該当する場合 )QSA のサイン - 非準拠の要件がある場合の行動計画 ( 非準拠の理由と準拠目標日 ) Copyright International Certificate Authority of Management System All rights Reserved. 29

各要件への回答 1 各要件に対し次の回答をチェックしていく - Yes( はい ) 要件に合致した文書手順があり情報システムが構成設定されており正しく運用できており担当者の認識も正しく一連の活動の記録も維持されているオンサイト監査では確認した証跡を ROC( 監査レポート ) に記録するが SAQ ではその要求はない ( 別途メモを取っておくとよい ) - Yes with CCW( はい CCW 付 ) 要件に記載されている対策が実施できていないが代わりの方法 ( 代替コントロール :CCW) を定義運用することで要件が求めるセキュリティは確保できている別途代替コントロールワークシートを作成し代替コントロールの妥当性を評価しなければならない Copyright International Certificate Authority of Management System All rights Reserved. 32

各要件への回答 2 続き - No( いいえ ) 要件に合致した文書手順がない正しく運用できていない記録が維持されていない 1 件でもあると PCI DSS 準拠にならない ( 非準拠状態 ) - N/A( 該当なし ) ワイヤレスネットワークがないカード会員データを保存する DB がないアプリケーション開発を外部委託している等要件を適用するシステムや運用がない N/A の妥当性を評価する必要があるまたワイヤレスネットワークがなくても要件 11.1( 不正ワイヤレス AP の検査 ) は N/A にできない - Not Tested( 未テスト ) 外部組織からの要求でSAQの一部を実施する場合でその要件は確認対象外とされた適用条件が厳しく通常は使用しない Copyright International Certificate Authority of Management System All rights Reserved. 33

PCI DSS の対象範囲 1 PCI DSS のセキュリティ要件はカード会員データ環境に含まれるまたは接続されるすべてのシステムコンポーネントに適用されますカード会員データ環境 (CDE) はカード会員データまたは機密認証データを保存処理または送信する人処理およびテクノロジで構成されますシステムコンポーネントにはネットワークデバイスサーバコンピュータアプリケーションが含まれますシステムコンポーネントの例には次のものが含まれますがこれらに限定されるわけではありません PCI SSC 発行 PCI DSS v3.0 要件およびセキュリティ評価手順から抜粋 Copyright International Certificate Authority of Management System All rights Reserved. 35

PCI DSS の対象範囲 2 対象範囲の定義が PCI DSS 準拠の初段階として最も重要な要素のひとつです QSA からオンサイト監査を受ける場合に事前に合意しておくもっとも重要な事項のひとつです理由 - 対象範囲の漏れは結果的に大きなコストとリスクの増大につながります - CDE を限定することはリスクの低減につながります - オンサイト監査時に対象の範囲の違いがある場合には監査が中断したり一度ですまないケースが想定されます Copyright International Certificate Authority of Management System All rights Reserved. 36

PCI DSS の対象範囲 3 対象範囲確定に必要なこと - CDE にある全てのカード会員データフローの文書化 - 対象範囲外にカード会員データが存在 ( 伝送処理保管 ) しないことを確実にする - ネットワーク構成図とデータフロー図を作成する - 評価対象外でカード会員データが発見された場合には当該カード会員データを完全に削除する対象範囲内のシステムに移行する対象範囲を見直す - 評価対象範囲のどのように決定したかを文書化する評価者 (QSA) による監査の際や次年度の対象範囲の決定に使用する Copyright International Certificate Authority of Management System All rights Reserved. 37

PCI DSS の対象範囲 4 ネットワークセグメンテーション - CDE と接続されるフラットネットワークは PCI DSS の対象範囲となる - PCI DSS の対象範囲を狭めるためにファイアウォールなどでネットワークセグメンテーションを実施することが可能であるネットワークセグメンテーションはカード会員データにアクセスする範囲を狭めることにつながりリスクを低くすることが可能である - セグメント = 分離 = 通信できない注 : ネットワークセグメンテーションは PCI DSS の要件ではありません Copyright International Certificate Authority of Management System All rights Reserved. 38

PCI DSS の対象範囲 5 セグメンテーションに関する PCI SSC の見解 - 2013 年 11 月 20 日の Community Meeting ではセグメンテーションについて次の説明がなされている Segmentation = isolation = no access Controlled access isolation Controlled access is a DSS requirement and in scope If it can impact the security of the CDE, it is in scope Remember non-chd systems may be in scope too - isolation( 絶縁 ) がセグメンテーションの基本である物理的な方法の他ファイアウォールやルータを使用して絶縁することも可能であるが通信があってはならない Copyright International Certificate Authority of Management System All rights Reserved. 39

PCI DSS の対象範囲 6 ネットワークセグメンテーションの例 Internet Web AP DMZ セグメント FireWall INT セグメント DB 通信がないこと社内 LAN AP/DB のメンテナンス用端末企業内の通常 PC Copyright International Certificate Authority of Management System All rights Reserved. 40

PCI DSS の対象範囲 7 付録 D のセグメンテーションのためのフローチャート対象範囲決定ネットワークセグメーションによる対象範囲縮小が可能か? YES 評価担当者はセグメンテーションの効果を評価したか? YE S ネットワークセグメンテーションの実施とその効果について評価担当者が報告書に記載する評価担当者は PCI DSS の対象範囲とその対象範囲の有効性をどのように確認したか文書化しなければならない PCI DSS の対象範囲縮小を目的としたネットワークセグメンテーションを利用するためにカード会員データを保存処理伝送するシステムをその他のネットワークから分離しなければならない NO NO すべてのネットワークが PCI DSS レビューの対象範囲内であるカード会員データを保存処理伝送する領域を A分離するために対象範囲が限定できている A - 評価者 (QSA) は A を起点に設備とビジネスコンポーネントについてサンプリングを行う Copyright International Certificate Authority of Management System All rights Reserved. 41

PCI DSS の対象範囲 8 誤った見解の例 - メインフレームは評価対象に含まれないカード会員データが伝送 / 処理 / 保存される場合は含まれます - コールセンターは評価対象に含まれないカード会員データを取り扱うコールセンターのシステムコンポーネント ( ネットワークサーバ PC DB 等 ) 業務プロセス人物施設は対象となります - CDE 内に配置されたカード会員データを扱わないサーバは評価対象に含まれない CDE 内に配置されたシステムコンポーネントはカード会員データの取扱いに関係なく評価対象になります - 全ての決済システムをセグメンテーションしなければならないセグメンテーションは必須ではありません全ての情報システムに PCI DDS 要件を適用することも検討すべきです Copyright International Certificate Authority of Management System All rights Reserved. 42

PCI DSS の対象範囲 9 究極のリスク低減はカード会員データを持たない - 非対面加盟店は決済代行事業者の非保持 ( 画面遷移型 ) サービスを利用することにより SAQ A( 要求される要件が 14 項目 ) または SAQ A-EP( 同 139 項目 ) に区分される - 最終的に上記の状態を確認するのは契約するアクワイアラである自社の EC サイトログイン事前に入力した個人情報の中にカード情報は含まれていない商品選択決済方法選択画面によりクレジットカードを選択決済完了画面決済代行事業者決済に必要なクレジットカード情報入力 ( 伝送 ) 認証 / 決済 ( 処理 ) 売上情報の送信ここにカード情報は含まれていなデータベース保管 ( 格納 ) Copyright International Certificate Authority of Management System All rights Reserved. 43

PCI DSS の対象範囲 10 対象範囲としての委託先の考慮 - 多くの加盟店やサービスプロバイダは委託先 ( サービスプロバイダ ) とカード会員データの責任を共有している - 委託先サービスプロバイダも PCI DSS の準拠責任を負う - 詳細は要件 12.8 で解説 Copyright International Certificate Authority of Management System All rights Reserved. 44

カード会員データクレジットカードの磁気ストライプまたはチップ内のデータをさすカード会員データ (CHD) - プライマリアカウント番号 (PAN: 一般に16 桁 ) - カード会員名チップ - サービスコード 12/10 ICMS Taro - 有効期限カード会員名磁気ストライプ機密認証データ (SAD) - 全磁気ストライプ / チップ上の磁気ストライプイメージ - CVC2/CVV2/CID/CAV2 - PIN/PINブロック 4000 0012 1111 2222 PAN 有効期限 CVV2 CVC2 Copyright International Certificate Authority of Management System All rights Reserved. 45

保管禁止データ 1 データ要素カード会員データカード番号 (PAN) カード会員名サービスコード有効期限保存の許可 YES YES YES YES 要件 3.4 に従って保存されたアデータを読み取り不能にする YES NO NO NO 機密認証データ 1 全トラックデータ 2 NO 要件 3.2 に従って保存できない CAV2 /CVC2/CVV2CID 3 ( セキュリティコード ) NO 要件 3.2 に従って保存できない暗証番号 (PIN)/ PIN ブロック NO 要件 3.2 に従って保存できない PCI DSS 要件 3.3 と 3.4 は PAN のみに適用しますカード会員名サービスコード有効期限と PAN を共に保存する場合は PCI DSS 要件 3.4 に従い読み取り不能にする必要があります 1 機密認証データはオーソリ ( 承認 ) 処理の後 ( たとえ暗号化していても ) 保存してはなりませんこれは PAN が保存されていない環境にも当てはまります 2 磁気ストライプの全てのトラックデータチップ上の同等のデータなど 3 ペイメントカードの前面または裏面に印字された 3 桁または 4 桁の数字 4 取引中にカード会員によって入力される個人識別番号または取引メッセージ内に存在する暗号化された PIN ブロックあるいはその両方 Copyright International Certificate Authority of Management System All rights Reserved. 46

保管禁止データ 2 なぜセキュリティコードが必要か? - 本人認証を確実にする手段の一つ - 磁気ストライプのスキミングでもセキュリティコードは盗めない - CHD が漏えいしても非対面の不正取引際にセキュリティコードが要求されればなりすまして買い物はできない非対面においてはセキュリティコードの保存に特に注意する - 保存されていたセキュリティコードが PAN と同時に流出した場合には PAN のみの事案と比較しはるかに緊急度の高いものとなる Copyright International Certificate Authority of Management System All rights Reserved. 47

保管禁止データ 3 JAC の実行計画においても期限付きで機密 ( センシティブ ) 認証データ (SAD) の削除が要求された - 非対面 / ネット期限 :2012/9 月 - 対面 /POS 期限 :2013/3 月 SAD の保管が必要な業態 - アクワイアラや個別のペイメントプランドにその保存要件や期間を確認する - イシュア / カード印刷会社など - 加盟店の SAD 保管はいかなる場合でも認められない Copyright International Certificate Authority of Management System All rights Reserved. 48

PCI DSS を日常業務プロセスに実装する PCI DSS の年次オンサイト監査から次の監査までの間にセキュリティコントロール ( 有効性と継続性 ) を確実にするために日常業務プロセス (BAU) に PCI DSS を組み込むベストプラクティス 1. セキュリティコントロールの監視 2. セキュリティコントロールの失敗と復元 (PDCA) 3. システムの変更のレビュー 4. 組織の変更のレビュー 5. 定期的なレビューの実施 6. ハードウェエアソフトウェアの使用期限の超過の確認など監査部門の独立責任の分離なども有効な手法であるただし上記はベストプラクティスであり PCI DSS 要件ではない Copyright International Certificate Authority of Management System All rights Reserved. 49

6 つの目標と 12 要件安全なネットワークの構築と維持要件 1: カード会員データを保護するためにファイアウォールをインストールして構成を維持する要件 2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しないカード会員データの保護要件 3: 保存されたカード会員データを保護する要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する脆弱性管理プログラムの維持要件 5: マルウェアに対してすべてのシステムを保護しウィルス対策ソフトウェアを定期的に更新する要件 6: 安全性の高いシステムとアプリケーションを開発し保守する強力なアクセス制御手法の導入要件 7: カード会員データへのアクセスを業務上必要な範囲内に制限する要件 8: システムコンポーネントへのアクセスを識別認証する要件 9: カード会員データへの物理アクセスを制限するネットワークの定期的な監視およびテスト要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する要件 11: セキュリティシステムおよびプロセスを定期的にテストする情報セキュリティポリシーの維持要件 12: すべての担当者の情報セキュリティポリシーを維持する Copyright International Certificate Authority of Management System All rights Reserved. 50

セキュリティに終わりはないサイバー攻撃の手口は巧妙かつ悪質化消費者の意識はセキュリティは加盟店の義務 PCI DSS からの要求は今後も高くなっていくそれでも消費者アクワイアラブランドからの信頼を得るために PCI DSS に準拠したセキュリティ対策を続けよう Copyright International Certificate Authority of Management System All rights Reserved. 52

国際マネジメントシステム認証機構について会社名国際マネジメントシステム認証機構 ( 株 ) 業務内容情報セキュリティに関する審査 / 監査第三者認証サービスの提供所在地東京本社札幌営業所認定一般財団法人日本情報経済社会推進協会 ( 以下 JIPDEC) からJIS Q 27001 (ISO/IEC27001) の認証機関として認定 (ISR010) 米国 PCIセキュリティ基準審議会より認定セキュリティ評価機関 (QSA) として承認 URL http://www.icms.co.jp/ Copyright International Certificate Authority of Management System All rights Reserved. 53

ご清聴ありがとうございました PCI DSS 準拠に関するお問い合わせ教育内容に関するご質問お気軽にご連絡くださいお問い合わせ先 gyoumu@icms.co.jp 0120-796-115 URL http://www.icms.co.jp/ Copyright International Certificate Authority of Management System All rights Reserved. 55

PCIデータセキュリティ基準 要件詳細理解のためのトレーニング

PCIデータセキュリティ基準要件詳細理解のためのトレーニング