オンサイト 監 査 から 見 えるPCI DSS 2010/2/16 Copyright International Certificate Authority of Management System All rights Reserved.
国 際 マネジメントシステム 認 証 機 構 について 会 社 名 国 際 マネジメントシステム 認 証 機 構 ( 株 ) 業 務 内 容 情 報 セキュリティに 関 する 審 査 / 監 査 第 三 者 認 証 サービスのご 提 供 所 在 地 認 定 東 京 本 社 札 幌 営 業 所 財 団 法 人 日 本 情 報 処 理 開 発 協 会 ( 以 下 JIPDEC)からJIS Q 27001 (ISO/IEC27001)の 認 証 機 関 として 認 定 (ISR010) 米 国 PCIセキュリティ 基 準 審 議 会 より 認 定 セキュリティ 評 価 機 関 (QSA)として 承 認 Copyright International Certificate Authority of Management System All rights Reserved. 1
PCI DSS 概 論 Copyright International Certificate Authority of Management System All rights Reserved. 2
クレジットカードを 取 り 巻 く 環 境 1 米 国 における 最 大 規 模 の 情 報 漏 えい 事 件 - データ 処 理 会 社 が4,000 万 件 のカード 情 報 を 漏 洩 - 国 内 でも2008 年 になって10 万 件 規 模 のカート 情 報 漏 洩 が 複 数 発 生 個 人 情 報 保 護 法 をトリガーとしたプライバシーマークの 普 及 と 不 足 要 素 の 顕 在 化 - 経 済 産 業 省 からガイドラインが 発 行 クレジットカード 情 報 を 含 む 個 人 情 報 の 取 扱 いについて - JIS Q 15001はあくまで 国 内 限 定 の 規 格 改 正 割 賦 販 売 法 が 可 決 - クレジット 事 業 者 に 対 して 個 人 情 報 保 護 法 ではカバーされていない クレジット 情 報 の 保 護 のために 必 要 な 措 置 を 講 じることを 義 務 づけると ともに カード 番 号 不 正 提 供 不 正 取 得 をした 者 等 を 刑 事 罰 の 対 象 とする - 違 反 事 業 者 に 対 する 行 政 処 分 が 法 制 化 接 続 技 術 の 変 化 - インターネットに 接 続 した 統 合 店 舗 販 売 時 点 管 理 (IPOS) システムの 増 加 - カード 会 員 データのIPベース 送 信 の 増 加 Copyright International Certificate Authority of Management System All rights Reserved. 3
クレジットカードを 取 り 巻 く 環 境 2 クレジットカード 情 報 の 漏 洩 事 件 が 多 発 - サウンドハウスのECサイト( 音 響 機 器 )から 約 2.7 万 件 流 出 (08 年 4 月 ) - ナチュラムのECサイト(アウトドア)から 約 8.6 万 件 流 出 (08 年 8 月 ) - アリコジャパンの 情 報 システムから 約 3.3 万 件 流 出 (09/7 月 ) - アミューズのECサイト アスマート から 約 5 万 件 流 出 (09/8 月 ) - デジタルダイレクトのECサイト saqwa(サクワ) ネットショッピ ング から 約 5.2 万 件 流 出 (09/9 月 ) Copyright International Certificate Authority of Management System All rights Reserved. 4
PCI DSSとは? 国 際 的 なクレジット 産 業 向 けの データセキュリティ 基 準 (Payment Card Industry Data Security Standard) VISA MasterCard American Express JCB Discover 5つの 国 際 ペイメントブランド によって2006 年 9 月 に 設 立 されたPCIセキュリ ティ 基 準 審 議 会 ( 米 国 )が 制 定 した 事 実 上 の 基 準 Copyright International Certificate Authority of Management System All rights Reserved. 5
PCI 基 準 とは? 製 造 メーカー ソフトウェア 開 発 メーカー 加 盟 店 とプロセッサ PCI PED PCI PA-DSS PIN エントリー デバイス ペイメント アプリケーション ベンダー PCI DSS データセキュリティ 基 準 Copyright International Certificate Authority of Management System All rights Reserved. 6
PCI 基 準 の 概 略 と 相 関 PCI PEDは - PINデバイスの 暗 号 化 プロセスやPINの 保 護 に 関 する メカニズムを 対 象 し 暗 号 化 されたPINがペイメント アプリケーションやハードウェア 端 末 に 実 装 される PA-DSSは - パッケージのペイメントアプリケーションを 対 象 とし PCI DSS への 準 拠 をサポートする PCI DSSは - カード 会 員 データの 伝 送 / 処 理 / 格 納 を 行 うシステム ネットワーク 及 びアプリケーションを 対 象 としている Copyright International Certificate Authority of Management System All rights Reserved. 7
米 国 における 法 整 備 の 状 況 マサチューセッツ 州 (2007 年 2 月 ) ミネソタ 州 (2007 年 4 月 ) テキサス 州 カルフォルニア 州 (ともに2007 年 5 月 ) ネバダ 州 (2009 年 9 月 )にPCI DSSの 順 守 を 州 法 により 義 務 化 した テキサス 州 法 では 漏 洩 事 故 を 起 こした 事 業 者 は 金 融 機 関 (カード 会 社 )に 対 してPCI DSSを 順 守 していたこと を 証 明 できれば(30 日 以 内 に 書 面 により 提 出 ) 損 害 賠 償 を 免 れる Copyright International Certificate Authority of Management System All rights Reserved. 8
各 プレイヤの 相 関 PCIセキュリティ 基 準 審 議 会 (PCI SSC) 米 国 組 織 承 認 承 認 認 定 ネットワーク スキャニングベンダー ASV 認 定 セキュリティ 評 価 機 関 QSA ペイメントブランド 準 拠 要 請 カード 会 社 (アクワイアラ) 検 査 ( 四 半 期 毎 ) 監 査 ( 年 次 ) 準 拠 性 報 告 準 拠 要 請 提 出 自 己 問 診 表 (SAQ) 脆 弱 性 検 査 レポート 監 査 報 告 書 (ROC) 準 拠 証 明 書 (AOC) 加 盟 店 サービス プロバイダ Copyright International Certificate Authority of Management System All rights Reserved. 9
PCIセキュリティ 基 準 審 議 会 の 役 割 PCI DSSなど 基 準 の 発 行 及 びライフサイクル の 管 理 基 準 に 関 しての 解 釈 を 正 式 に 回 答 する 唯 一 の 機 関 QSA/ASVなどの 承 認 QSA 監 査 員 資 格 の 承 認 QSA/ASVの 活 動 の 品 質 管 理 Copyright International Certificate Authority of Management System All rights Reserved. 10
加 盟 店 のレベルと 取 引 件 数 加 盟 店 のレベルはペイメントブランドが 定 義 する 注 )ペイメントブランド 毎 に 異 なる 加 盟 店 レベルは 主 に 取 引 件 数 によって 区 分 される 取 引 件 数 は 契 約 するアクワイアラが 判 定 する 取 引 件 数 の 総 数 は 事 業 体 の 名 称 またはチェーン 店 の 合 計 取 引 件 数 を 基 に 判 定 する Copyright International Certificate Authority of Management System All rights Reserved. 11
加 盟 店 のレベル1 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCBデータセキュ リティプログラム) American Express (DSOP) 1 当 該 ブランドの 年 間 の 取 引 件 数 が600 万 件 以 上 または 地 域 のVISA がレベル1と 判 断 したグ ローバルな 加 盟 店 当 該 ブランドの 年 間 の 取 引 件 数 が600 万 件 以 上 他 のブランドがレベル1と 判 断 した 加 盟 店 過 去 にカード 情 報 の 漏 洩 事 件 を 起 こした 加 盟 店 当 該 ブランドの 年 間 の 取 引 件 数 が100 万 件 以 上 過 去 にカード 情 報 の 漏 洩 事 件 を 起 こした 加 盟 店 当 該 ブランドの 年 間 の 取 引 件 数 が250 万 件 以 上 またはAmerican Expressがレベル1とみ なす 加 盟 店 2 当 該 ブランドの 年 間 の 取 引 件 数 が100 万 ~ 600 万 件 当 該 ブランドの 年 間 の 取 引 件 数 が100~600 万 件 以 上 他 のブランドにおいて レベル2の 基 準 を 満 たす 加 盟 店 当 該 ブランドの 年 間 の 取 引 件 数 が100 万 件 未 満 当 該 ブランドの 年 間 の 取 引 件 数 が5 万 ~250 万 件 以 上 またはAmerican Expressがレベル2とみ なす 加 盟 店 VISA Inc.とVISA Europeでは 基 準 が 異 なる Copyright International Certificate Authority of Management System All rights Reserved. 12
加 盟 店 のレベル2 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCBデータセキュ リティプログラム) American Express (DSOP) 3 当 該 ブランドの 年 間 の 電 子 商 取 引 における 取 引 件 数 が2 万 ~100 万 件 当 該 ブランドの 年 間 の 電 子 商 取 引 における 取 引 件 数 が2 万 ~100 万 件 N/A 当 該 ブランドの 年 間 の 取 引 件 数 が5 万 件 未 満 他 のブランドにおいて レベル3の 基 準 を 満 たす 加 盟 店 4 当 該 ブランドの 年 間 の 電 子 商 取 引 における 取 引 件 数 が2 万 件 未 満 レベル1~3 以 外 のす べての 加 盟 店 N/A N/A 当 該 ブランドの 年 間 の 取 引 件 数 が100 万 件 未 満 VISA Inc.とVISA Europeでは 基 準 が 異 なる Copyright International Certificate Authority of Management System All rights Reserved. 13
加 盟 店 の 検 証 方 法 1 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCBデータセキュ リティプログラム) American Express (DSOP) 1 QSAまたは 内 部 監 査 人 による 年 1 回 の 監 査 報 告 書 (ROC) QSAによる 年 1 回 の 監 査 報 告 書 (ROC) QSAによる 年 1 回 の オンサイト 監 査 QSAによる 年 1 回 の オンサイト 監 査 ASVによる 四 半 期 毎 のネットワークスキャン ASVによる 四 半 期 毎 の ネットワークスキャン ASVによる 四 半 期 毎 の ネットワークスキャン ASVによる 四 半 期 毎 の ネットワークスキャン 準 拠 証 明 書 2 年 1 回 の 自 己 問 診 票 (SAQ) ASVによる 四 半 期 毎 のネットワークスキャン 準 拠 証 明 書 PCI SSC 認 定 の 内 部 監 査 人 資 格 をもつ 自 己 監 査 人 またはQSAによる 年 1 回 のオンサイト 監 査 ASVによる 四 半 期 毎 の ネットワークスキャン 年 1 回 の 自 己 問 診 ASVによる 四 半 期 毎 の ネットワークスキャン ASVによる 四 半 期 毎 の ネットワークスキャン Copyright International Certificate Authority of Management System All rights Reserved. 14
加 盟 店 の 検 証 方 法 2 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCBデータセキュ リティプログラム) American Express (DSOP) 3 年 1 回 の 自 己 問 診 ASVによる 四 半 期 毎 のネットワークスキャン 年 1 回 の 自 己 問 診 ASVによる 四 半 期 毎 の ネットワークスキャン N/A ASVによる 四 半 期 毎 の ネットワークスキャン ( 強 く 推 奨 ) 4 年 1 回 の 自 己 問 診 ( 推 奨 ) ASVによる 四 半 期 毎 のネットワークスキャン ( 推 奨 ) アクワイアラが 定 める 準 拠 要 件 年 1 回 の 自 己 問 診 ( 推 奨 ) ASVによる 四 半 期 毎 の ネットワークスキャン ( 推 奨 ) N/A N/A Copyright International Certificate Authority of Management System All rights Reserved. 15
サービスプロバイダのレベル1 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCBデータセキュ リティプログラム) American Express (DSOP) 1 Visa Netに 接 続 する プロセッサ または 取 引 の 伝 送 / 処 理 / 格 納 の 件 数 が 年 間 30 万 件 以 上 あるサービスプ ロバイダ すべてのTPP 1 年 間 30 万 件 超 の 取 引 を 伝 送 / 処 理 / 格 納 する DSE 2 過 去 にカード 情 報 の 漏 洩 事 件 を 起 こしたことが あるすべてのTPP 及 び DSE すべてのTPP すべてのTPP 2 取 引 の 伝 送 / 処 理 / 格 納 の 件 数 が 年 間 30 未 満 のサービスプロバ イダ 年 間 30 万 件 以 下 の 取 引 を 伝 送 / 処 理 / 格 納 するデータストレージエン ティティ(DSE) 1 TPP (サードパーティープロセッサ): 取 引 処 理 サービスをアクワイアラのために 行 うサービスプロ バイダ(インターネットペイメントサービス 等 ) 2 DSE (データストレージエンティティ): 取 引 処 理 サービスを 加 盟 店 又 は 他 のサービスプロバイダ のために 行 うサービスプロバイダ(Webホスティングサービス 等 ) Copyright International Certificate Authority of Management System All rights Reserved. 16
サービスプロバイダの 検 証 方 法 レベル VISA Inc. (AIS) MasterCard (SDP) JCB (JCBデータセキュ リティプログラム) American Express (DSOP) 1 QSAによる 年 1 回 の オンサイト 監 査 ASVによる 四 半 期 毎 のネットワークスキャン 準 拠 証 明 書 VISA Incのサービス プロバイダリストに 掲 載 QSAによる 年 1 回 の オンサイト 監 査 ASVによる 四 半 期 毎 の ネットワークスキャン QSAによる 年 1 回 の オンサイト 監 査 ASVによる 四 半 期 毎 の ネットワークスキャン QSAによる 年 1 回 の オンサイト 監 査 ASVによる 四 半 期 毎 の ネットワークスキャン 2 年 1 回 の 自 己 問 診 ASVによる 四 半 期 毎 のネットワークスキャン VISA Incのサービス プロバイダリストには 掲 載 されない(レベル1と して 検 証 すれば 掲 載 ) 年 1 回 の 自 己 問 診 ASVによる 四 半 期 毎 の ネットワークスキャン Copyright International Certificate Authority of Management System All rights Reserved. 17
サービスプロバイダの 再 検 証 VISA Inc. (AIS) ROC 承 認 日 より12ヶ 月 以 内 に 年 1 回 の 再 検 証 を 行 わなければならない 検 証 書 類 は 期 日 までに 承 認 されな ければならない 期 日 を 過 ぎた 検 証 書 類 は 義 務 の 不 履 行 とみなされ 次 のように 色 分 けされ たリストに 記 載 される - 期 日 超 過 が60 日 までの 場 合 は 黄 色 - 期 日 超 過 が61 日 以 上 の 場 合 は 赤 色 期 日 超 過 が90 日 以 上 となったサー ビスプロバイダは 検 証 書 類 が 受 領 及 び 承 認 されるまでリストから 削 除 され る MasterCard (SDP) レポート 日 より12ヶ 月 以 内 に 年 1 回 の 検 証 を 行 わなければならない QSAは 準 拠 証 明 書 または 検 証 証 明 書 をMasterカードに 提 出 しなけれ ばならない -ROCが 承 認 されなかった 場 合 準 拠 証 明 書 または 検 証 証 明 書 を 期 日 までに 提 出 しなければならない 期 日 までに 提 出 できない 場 合 は 義 務 の 不 履 行 とみなされMasterCardの Webサイトに 掲 載 する 準 拠 サービス プロバイダのリストから 削 除 されるこ とがある また 該 当 するアクワイアラ に 準 拠 していないと 評 価 されることが ある American Express (DSOP) ROCレポート 日 より12ヶ 月 以 内 に 年 1 回 の 再 検 証 を 行 わなければなら ない Amexは 顧 客 に 対 し スキャン 期 日 の30 日 前 までに またROC 期 日 の 30 日 前 及 び90 日 前 までに 再 検 証 を 行 わなければならないことを 通 知 ROCは 顧 客 の 年 1 回 の 再 検 証 期 日 までに 承 認 されなければならない その 期 日 を 過 ぎたROCは 義 務 の 不 履 行 とみなされ Amex 独 自 の 義 務 履 行 管 理 プロセスが 実 行 される ROCが 承 認 されると その 後 の ROCのレポート 日 から12ヵ 月 後 とし て 新 たに 再 検 証 が 設 定 される JCB(JCBデータセキュリティプログラム)では 再 検 証 についての 定 めはない Copyright International Certificate Authority of Management System All rights Reserved. 18
カード 会 員 データ クレジットカードの 磁 気 ストライプまたはチップ 内 の データをさす カード 会 員 データ - プライマリアカウント 番 号 (15 ~16 桁 ):PAN - カード 会 員 名 チップ - サービスコード 4000 0012 1111 2222 12/10 ICMS Taro - 有 効 期 限 カード 会 員 名 磁 気 ストライプ センシティブ 認 証 データ - 全 磁 気 ストライプ/チップ 上 の 磁 気 ストライプイメージ - CVC2/CVV2/CID/CAV2 - PIN/PINブロック PAN 有 効 期 限 CVV2 CVC2 Copyright International Certificate Authority of Management System All rights Reserved. 19
保 管 禁 止 データ1 データ 要 素 保 管 可 能 保 護 必 須 PCI 基 準 要 件 3.4 カード 会 員 データ カード 番 号 (PAN) YES YES YES カード 会 員 名 YES YES 1 NO サービスコード YES YES 1 NO 有 効 期 限 YES YES 1 NO センシティブ 認 証 データ 2 完 全 な 磁 気 ストライプデータ NO N/A N/A CVC2/CVV2/CID/CAV2 NO N/A N/A 暗 証 番 号 (PIN)/ PINブロック NO N/A N/A 1 これらのデータ 要 素 はPANと 共 に 保 管 される 場 合 は 保 護 が 必 要 です 2 センシティブ 認 証 データはオーソリ( 承 認 ) 処 理 の 後 (たとえ 暗 号 化 していても) 保 管 してはならない Copyright International Certificate Authority of Management System All rights Reserved. 20
PCI DSSのバージョンアップサイクル 10~9ヶ 月 目 (08/10~09/06) 新 規 バージョンをリリース 旧 バージョンの 休 止 v1.1の 休 止 は3ヵ 月 後 に 到 来 (08/12/31) 524ヶ 月 目 (10/09) 新 バージョンのリリース コミュニティミーティング 210~13ヶ 月 目 (09/07~09/10) フィードバックの 開 始 コミュニティミーティング 420~23ヶ 月 目 (10/05~10/08) 新 規 リリースの 最 終 的 な レビュー 314~19ヶ 月 目 (09/11~10/04) フィードバックの レビューと 判 断 Copyright International Certificate Authority of Management System All rights Reserved. 21
オンサイト 監 査 の 実 情 Copyright International Certificate Authority of Management System All rights Reserved. 22
PCI DSS 対 象 範 囲 決 定 のキーワード1 保 存 処 理 伝 送 この3つのキーワードの1つでも 該 当 するものは PCI DSSの 対 象 範 囲 となる Copyright International Certificate Authority of Management System All rights Reserved. 23
PCI DSS 対 象 範 囲 決 定 のキーワード2 ネットワークセグメンテーション カード 会 員 データを 取 扱 う 環 境 をできる 限 り 企 業 ネットワークから 隔 離 する Copyright International Certificate Authority of Management System All rights Reserved. 24
PCI DSS 対 象 範 囲 決 定 のキーワード3 第 三 者 /アウトソーシングの 取 り 扱 い 保 存 処 理 伝 送 に 係 わる 外 部 組 織 対 応 1. 外 部 組 織 自 らPCI DSSに 準 拠 していることを 証 明 する 2. 自 身 のオンサイト 監 査 の 対 象 範 囲 とする Copyright International Certificate Authority of Management System All rights Reserved. 25
組 織 の 悩 み Copyright International Certificate Authority of Management System All rights Reserved. 26
PCI DSS 対 象 範 囲 の 決 定 1 対 象 ネットワーク クレジットカード 関 連 システム 以 外 との 共 存 - 電 子 マネー 関 連 システム (Edy WAON Suica PASMO id 等 々) - 社 内 OAシステム - 基 幹 システム 既 存 システムとのセグメント 分 けが 困 難 Copyright International Certificate Authority of Management System All rights Reserved. 27
PCI DSS 対 象 範 囲 の 決 定 2 対 象 拠 点 - 本 社 各 拠 点 ( 店 舗 等 含 む) データセンター バック アップデータセンター 対 象 部 門 - システム 部 営 業 部 カスタマーサポート 部 各 拠 点 カード 会 員 データの 取 扱 範 囲 が 把 握 されていない ネットワークのセグメント 分 けが 曖 昧 Copyright International Certificate Authority of Management System All rights Reserved. 28
PCI DSS 対 象 範 囲 の 決 定 3 外 部 組 織 の 取 扱 - MSP 事 業 者 ホスティング 業 者 アプリケーション 保 守 業 者 データセンター データ 保 管 業 者 等 々 - 子 会 社 ( 海 外 含 む) カード 会 員 データを 取 扱 う 先 の 対 応 が 曖 昧 Copyright International Certificate Authority of Management System All rights Reserved. 29
代 替 コントロールの 選 択 が 多 い 要 件 1 要 件 2 システムパスワードおよび 他 のセキュリティパラメータにベンダ 提 供 のデフォルト 値 を 使 用 しないこと - 要 件 2.3 すべてのコンソール 以 外 の 管 理 アクセスを 暗 合 化 する Webベースの 管 理 やその 他 のコンソール 以 外 の 管 理 アクセ スについては SSH VPN またはSSL/TLSなどのテクノロジ を 使 用 する ネットワーク 機 器 等 でTelnetやhttp 接 続 以 外 できないものがある Copyright International Certificate Authority of Management System All rights Reserved. 30
代 替 コントロールの 選 択 が 多 い 要 件 2 要 件 3 保 存 されたカード 会 員 データを 保 護 すること - 要 件 3.4 すべての 保 存 場 所 でPANを 少 なくとも 読 み 取 り 不 能 に する DB 等 が 暗 号 化 されておらず 大 幅 なシステム 改 修 が 必 要 システム 改 修 へ 大 規 模 な 投 資 が 必 要 DB 等 を 暗 号 化 作 業 する 際 の 既 存 業 務 への 影 響 が 大 きい (ディスク 暗 合 化 等 実 施 の 場 合 ) Copyright International Certificate Authority of Management System All rights Reserved. 31
代 替 コントロールの 選 択 が 多 い 要 件 3 要 件 3 保 存 されたカード 会 員 データを 保 護 すること - 要 件 3.6.3 安 全 な 暗 合 化 キーの 保 存 暗 合 化 キーがアプリケーションに 組 み 込 まれている 為 変 更 が 不 可 能 Copyright International Certificate Authority of Management System All rights Reserved. 32
代 替 コントロールの 選 択 が 多 い 要 件 4 要 件 3 保 存 されたカード 会 員 データを 保 護 すること - 要 件 3.6.4 定 期 的 な 暗 合 化 キーの 変 更 DBの 再 暗 合 化 を 行 った 場 合 の 業 務 への 影 響 が 大 きい 暗 合 化 キーがアプリケーションに 組 み 込 まれている 為 変 更 が 不 可 能 Copyright International Certificate Authority of Management System All rights Reserved. 33
代 替 コントロールの 選 択 が 多 い 要 件 5 要 件 3 保 存 されたカード 会 員 データを 保 護 すること - 要 件 3.6.5 古 いキーまたは 危 険 にさらされた 疑 いのあるキー の 破 棄 また 取 替 暗 合 化 キーがアプリケーションに 組 み 込 まれている 為 変 更 が 不 可 能 Copyright International Certificate Authority of Management System All rights Reserved. 34
代 替 コントロールの 選 択 が 多 い 要 件 6 要 件 3 保 存 されたカード 会 員 データを 保 護 すること - 要 件 3.6.6 暗 合 化 キーの 知 識 分 割 と 二 重 管 理 (キー 全 体 を 再 構 築 するには 2~3 人 を 必 要 とし 各 自 がキーの 一 部 のみをしっている) システム 上 暗 合 化 キーを 複 数 に 分 けることが 出 来 ない 運 用 管 理 上 暗 合 化 キーを 知 る 管 理 者 複 数 名 必 要 Copyright International Certificate Authority of Management System All rights Reserved. 35
代 替 コントロールの 選 択 が 多 い 要 件 7 要 件 8 コンピュータにアクセスできる 各 ユーザに 一 意 のIDを 割 り 当 てる) - 要 件 8.5.5 少 なくとも90 日 ごとに 非 アクティブのユーザアカウントを 削 除 / 無 効 化 する システム 運 用 上 ログイン 実 績 のないアカウントでも 削 除 できないものが ある Copyright International Certificate Authority of Management System All rights Reserved. 36
代 替 コントロールの 選 択 が 多 い 要 件 8 要 件 8 - 要 件 8.5.9 少 なくとも90 日 ごとにユーザパスワードを 変 更 する - 要 件 8.5.10 パスワードに7 文 字 以 上 を 要 求 する - 要 件 8.5.11 数 字 と 英 文 字 の 両 方 を 含 むパスワードを 使 用 - 要 件 8.5.12 最 後 に 使 用 した4つのパスワードと 同 じもの 利 用 し ない - 要 件 8.5.13 最 大 6 回 の 試 行 後 にユーザIDをロックアウトする - 要 件 8.5.14 ロックアウト 期 間 を 最 小 30 分 間 または 管 理 者 が 有 効 にするまでとする 以 下 の 要 求 を 全 て 自 動 設 定 することを 要 求 されている 利 用 のOSによっては 自 動 設 定 できないものがある 利 用 しているログインシステムよっては 対 応 できない 要 件 がある Copyright International Certificate Authority of Management System All rights Reserved. 37
要 件 事 項 への 対 応 状 況 組 織 は12 要 件 204 項 目 へ 全 ての 対 応 が 出 来 ているか? - オリジナル 要 件 どおり 対 応 できる 組 織 は 少 ない 既 に 稼 動 しているアプリケーションの 改 修 が 困 難 既 に 稼 動 しているサーバ 等 の 設 定 変 更 に 伴 う 業 務 への 影 響 が 見 えない ネットワークセグメントの 変 更 に 伴 う 業 務 への 影 響 が 見 えない - 多 くの 企 業 が 代 替 コントロールを 利 用 している Copyright International Certificate Authority of Management System All rights Reserved. 38
今 後 の 動 向 Copyright International Certificate Authority of Management System All rights Reserved. 39
国 際 カードブランドからの 要 求 1 VISA International( 以 下 VISA Inc.)による AIS(アカウントインフォメーションセキュリティ)プログラム - VISA Inc.に 直 接 賠 償 責 任 を 負 うのは 加 盟 店 募 集 のクレジットカード 会 社 (アクワイアラ) - レベル1 加 盟 店 のPCI DSS 完 全 準 拠 の 期 限 2010/9/30 - 期 限 を 超 過 した 場 合 はVISA Inc.は 当 該 加 盟 店 と 契 約 しているクレジット カード 会 社 (アクワイヤラ)に 対 して 罰 金 を 含 む 何 らかのリスクコントロールを 課 すことを 表 明 している - Visa グローバルなPCI DSS 推 進 のための 奨 励 金 制 度 を 制 定 加 盟 店 がPCI DSSへ 完 全 準 拠 すると レベル1 加 盟 店 につき $50,000 レベル2 加 盟 店 につき $10,000 がクレジットカード 会 社 (アクワイアラ)に 支 給 される 2010 年 9 月 10 日 まで 予 算 が 無 くなり 次 第 終 了 - http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/nr_jp_150110.shtml Copyright International Certificate Authority of Management System All rights Reserved. 40
国 際 カードブランドからの 要 求 2 MasterCard SDP(サイトデータプロテクション)プログラム - MasterCardに 直 接 賠 償 責 任 を 負 うのはアクワイアラ - 四 半 期 に 一 度 のPCI DSS 準 拠 に 関 する 報 告 を 怠 った 場 合 に 対 する ペナルティ 最 大 $25,000 - PCI DSSの 非 順 守 に 対 するペナルティ レベル1 加 盟 店 /レベル1,2サービスプロバイダ: 最 大 $25,000 レベル2 加 盟 店 : 最 大 $10,000 レベル3 加 盟 店 : 最 大 $5,000 - PCI DSSの 非 順 守 のよるクレジットカード 情 報 の 漏 洩 のペナルティ 保 管 禁 止 データの 違 反 $100,000( 最 大 $500,000) 当 該 加 盟 店 が 順 守 を 達 成 するまで 最 大 $25,000/1 日 につき 調 査 費 その 他 関 連 費 用 - イシュアに 支 払 われる 補 償 金 再 発 行 1カードあたり 最 大 $ 25 モニターすべきカード1カードあたり 最 大 $5 Copyright International Certificate Authority of Management System All rights Reserved. 41
日 本 カード 情 報 セキュリティ 協 議 会 QSA 部 会 のご 紹 介 Copyright International Certificate Authority of Management System All rights Reserved. 42
QSA 部 会 の 目 的 1. PCI DSS 要 件 の 解 釈 や 代 替 コントロールなど クリティカルイシューを 議 論 することにより 参 加 される QSA 監 査 員 の 監 査 技 術 を 向 上 する 2. 国 内 QSAにおけるPCI DSS 要 件 の 解 釈 を 緩 やかに 統 一 する 解 釈 の 許 容 範 囲 のストライクゾーンを 統 一 していく 3. QSA 監 査 員 の 地 位 向 上 Copyright International Certificate Authority of Management System All rights Reserved. 43
QSA 部 会 の 活 動 2009 年 3 月 より 活 動 を 開 始 現 在 まで5 回 の 会 合 を 実 施 ( 約 3ヶ 月 1 回 実 施 ) 活 動 内 容 - 要 件 解 釈 の 検 討 - オンサイト 監 査 等 からの 問 題 点 討 議 - クレジット 業 界 の 動 向 確 認 今 後 の 予 定 - コンサルタントとの 意 見 交 換 会 - 各 種 協 議 会 との 意 見 交 換 会 Copyright International Certificate Authority of Management System All rights Reserved. 44
QSA 部 会 参 加 企 業 NRIセキュアテクノロジーズ( 株 ) NTTデータ セキュリティ( 株 ) 国 際 マネジメントシステム 認 証 機 構 ( 株 ) 日 本 アイ ビー エム( 株 ) BSIグループジャパン( 株 ) ビジネスアシュアランス( 株 ) ( 株 )ブロードバンドセキュリティ Copyright International Certificate Authority of Management System All rights Reserved. 45
関 連 情 報 関 連 リンク - 日 本 カード 情 報 セキュリティ 協 議 会 http://www.jcdsc.org/ - VISAインターナショナル 加 盟 店 向 け 情 報»リスクマネージメント http://www.visa-asia.com/ap/jp/merchants/riskmgmt/index.shtml - JIPDEC ISMS 制 度 推 進 室 組 織 の 認 証 取 得 に 関 する 基 準 ガイドなど»ISMS 認 証 取 得 に 関 する 文 書 http://www.isms.jipdec.jp/doc/jip-isms116-30.pdf http://www.isms.jipdec.jp/doc/jip-isms118.pdf - PCI Security Standard Council https://www.pcisecuritystandards.org/ Copyright International Certificate Authority of Management System All rights Reserved. 46
ご 清 聴 ありがとうございました PCI DSS 準 拠 に 関 するお 問 い 合 わせ セミナー 内 容 に 関 するご 質 問 お 気 軽 にご 連 絡 ください お 問 い 合 わせ 先 gyoumu@icms.co.jp 0120-796-115 Copyright International Certificate Authority of Management System All rights Reserved. 47