書籍「PCI DSSのすべて」
~初心者でもわかるペイメントカードの世界基準~
株式会社TIプランニングが提供するカード情報ポータルサイト「ペイメントナビ(payment navi)」、PCI DSSポータル&資料請求サイト「ペイメントワールド(PAYMENT WORLD)」では、サイトのオープン以来、中立的な立場でPCI DSS関連のニュースや準拠企業事例などを紹介してきました。
国内では、決済代行事業者など、サービスプロバイダのPCI DSS準拠は徐々に進んできましたが、加盟店の対応は必ずしもカード会社やブランドの期待通りに進んでいない状況です。
そこで、TIプランニングでは、加盟店のPCI DSS準拠を応援するために、初心者でもわかりやすく読んでいただける書籍を発行することになりました。
本書の発行が、国内におけるPCI DSSの普及の後押しにつながれば幸いです。
■出版概要
「PCI DSSのすべて」
●発行:TIプランニング
●出版日時:2012年3月10日
●著者:ペイメントナビ/ペイメントワールド編集部
●販売:2,100円(税込)(送料200円)
●「書籍版」と「電子書籍版」を販売(※電子版の場合は必ず「備考」に電子版とご記入ください)
ISBN: 978-4-9905788-0-0
※クレジットカード(Visa、MasterCard、JCB、American Express、Diners)および銀行振り込みが可能です。
■初めて弊社と取引を行うお客様
お申込みを確認後、当社からご請求書をお送りいたします。書籍が完成次第、ご請求書をお送りします。入金確認後、当社より書籍を発送いたします。
■2冊以上の購入で送料が無料となります。PCI DSSの営業活動に最適です!
2冊以上のご購入 送料無料
10冊~49冊のご購入 5%割引
50冊~99冊のご購入 10%割引
100冊以上のご購入 20%割引
====書籍「PCI DSSのすべて」目次(Contents)====
第1章 PCI DSS を取り巻く背景と関連プレイヤー
(1)ペイメントカードの不正利用の現状
(2)PCI DSS(Payment Card Industry Data Security Standard)とは?
(3)PCI DSS にかかわるプレイヤー
(4)PCI SSC( Payment Card Industry Security Standards Council)
(5)国際ペイメントブランド
(6)QSA・ISA とASV
(7)PCI DSS 準拠の確認方法
①自己評価(自己評価問診票)
②脆弱性スキャンテスト
③訪問審査(オンサイトレビュー)
(8)国内でのPCI DSS の遵守状況
(9)国内でPCI DSS を推進する動き
第2章 国際ブランドの取り組み
(1)Visa のAIS の概要
●年間の取引件数により、レベル1 ~ 4 の4 レベルに分類
● Visa はPCI DSS 普及のためにさまざまな準拠期限を設定
●国内での普及に向けたさまざまな取り組み
●普及への課題は対応や維持コストの軽減策
(2)MasterCard Worldwide のPCI DSS 普及/ 推進戦略
● MasterCardWorldwide におけるPayment System Integrity
● PCI SSC とMasterCard
● PCI DSS とSDP
● PCI DSS 実施は複数の関係者の緊密な協力によって達成できる
●加盟店の役割は何か?
●ペイメントカードデータ流出事件が発生した場合の対応
● MasterCard 提供のPCI DSS Web セミナー
●まとめ
(3)JCB の「JCB データセキュリティプログラム」
● 3 種類の診断プログラム
( 自己診断、脆弱性スキャンテスト、訪問審査)を用意
● JCB の推進の第一優先はEC 加盟店
●各国の事情や決済環境に応じた取り組みを実施
(4)American Express の「データセキュリティ運営 方針(DSOP)」
● American Express のバリデーション基準
第3章 PCI DSS の12 要件を概観
(1)カード会員データとセンシティブ認証データ
(2)PCI DSS の対象範囲
(3)PCI DSS の12 要件と各項目
●安全なネットワークの構築と維持
要件1 / 要件2
●カード会員データの保護
要件3 / 要件4
●脆弱性管理プログラムの整備
要件5 / 要件6
●強固なアクセス制御手法の導入
要件7 / 要件8 / 要件9
●ネットワークの定期的な監視およびテスト
要件10 / 要件11
●情報セキュリティポリシーの整備
要件12
●共有ホスティングプロバイダ向けのPCI DSS 追加要件
(付録A)
●代替コントロール
(4)対応が困難な要件、解釈に迷う部分は?
● JCDSC QSA 部会で議題にあがった要件は2、3、6、10、11 が多い
(5)PCI DSS Version2.0 のポイントは?
第4章 関連プレイヤーの動向
(1)PCI DSS の普及・啓発に取り組む日本カード情報セキュリティ協議会
●国内のQSA 有資格者が集う「QSA 部会」
●「認定トレーニングに関するワーキンググループ」、「 統一ロゴマーク」の発行を検討へ
●ソリューションベンダーが活動するベンダー部会
(2)PCI SSC PO Japan 連絡会の活動とは?
● 2010年度は「PCI DSS 部会」「PTS/PA-DSS 部会」を設置
● 2011年度はPCI DSS のさらなる認知度向上に力を入れる
(3)ISMS との同時審査によるメリット
(4)割賦販売法によるクレジットカード番号等の保護
(5)データベース・セキュリティ・コンソーシアムが「データベース暗号化ガイドライン 第1.0 版」を策定
第5章 カード会員情報を保護するセキュリティ最新動向
(1)カード番号を保管しないメリット
(2)情報漏えいの傾向とフォレンジック対応
(3)新たなテクノロジーとして注目を集めるトークナイゼーション
事例 ゴルフダイジェスト・オンライン
日本最大級のゴルフポータルサイトがトークナイゼーションを導入
●決済代行事業者へのデータ委託ではセキュリティ強化の抜本的解決にはならない
● SQL インジェクションなどの攻撃に対応 暗号化よりもセキュリティ対策が強固に
●今後は会員の個人情報のトークナイゼーション管理も視野に
(4)「PCI DSS Virtualization Guidelines」とは?
●リリースの前から強い関心を集める、ガイドラインでは11 の仮想化のリスクを紹介
●混合モードの使用は避け、ハイパーバイザのセキュリティ管理が必要
(5)PA-DSS、PCI PTS について
事例 日本NCR
日本NCR の決済アプリが国内初、PA-DSS Version 2.0 認定を取得
●国内で初めて2008 年にPA-DSS に準拠
●前回の審査よりもPA-QSA の要求が高まる
●最近は顧客企業からもPA-DSS 準拠のリクエストが増える
第6章 PCI DSS の準拠事例
事例① メットライフアリコ
大手生命保険会社のメットライフアリコがPCI DSS に完全準拠
●年間取引件数は600 万件を優に超える、システムが大規模なためファイアウォールの設定で苦労
●現場との交渉により社内のルールを見直す、業務委託先の管理基準も作成
● Web サイトに監査証明マークを掲載
事例② NEC ビッグローブ
大手ISP のBIGLOBE がPCI DSS に完全準拠、取得に向けて既存システムから決済環境を完全分離
●国際標準として自ら取得を決意、カード会員情報を既存のシステムから分離
●自社システムと要件とのギャップに苦しむ、8 つの要件で代替コントロールを適用
●当初の想定よりも安価なコストで準拠を果たす、PCI DSS 取得は営業面でもプラスに
事例③ ソネットエンタテインメント
レベル1 のインターネットサービスプロバイダ「So-net」がPCI DSS準拠
ISMS、プライバシーマークと統合したマネジメントマニュアルを作成
● Version2.0 の発行に合わせて準備を開始、2 回の予備審査で準拠に備える
●従来からカード情報などの個人情報を一元管理、CVSS スコア4.0 未満を維持するための素早い対応が課題
● ISMS とPCI DSS の合同審査を5 日で実施、審査の負荷を軽減しISMS はコストを削減
事例④ ニフティ
@nifty のクレジットカード決済システムが完全準拠、取得に向け既存のデータベースからカード会員情報を分離
●会員数は1,000 万人を超える、AIS のバリデーションはレベル1
●アカウントの管理やセキュリティパッチの適用で苦戦、要件11 はソリューションの導入で対応
●取得に向け予備審査を2 回実施、大切なのは取得ではなくセキュリティレベルの維持・向上
事例⑤ ヤフー
「Yahoo! ウォレット」がPCI DSS に完全準拠、
レベル1 加盟店として世界基準のセキュリティ対応に意義を見出す
●取得に向け各部門のエキスパートが結集、審査まで5 カ月かけて準備に取り組む
●「課題管理票」や「想定問答集」を作成 大きなシステム投資、予備調査を受けずに準拠を達成
● Ver.1.2 にもスムーズに対応、取得経験も踏まえたPCI DSS の課題とは?
事例⑥ DMM.com/DMM.com ラボ
大手EC サイト「DMM.com」運営のDMM.com 社、システム委託先のDMM.com ラボ社と共にPCI DSS に完全遵守
●レベル1 の到達前に取得を決意 、カード会員情報は自社で保持
●準拠後の負担が大きいパッチの適用とログの集約、代替コントロールは適用せず
●加盟店より先にカード会社に準拠してほしい、2011 年以降も審査は継続
事例⑦ ユーシーカード
国内カード会社初、メインシステム環境でPCI DSS に完全準拠、
継続的なセキュリティレベルの維持により大幅なシステム改修をせずに対応を果たす
●メインシステムで準拠する強みを生かす、社内規定やシステム要件設定書といった書類関係の確認・整備に時間を費やす
●代替コントロールは要件3 などで適用、PCI DSS のオリジナル要件と遜色ないセキュリティを確保
● 2011 年はVersion2.0 に完全準拠、要件6.2 の脆弱性のリスクランク付けは導入済
事例⑧ 三井住友カード
厳密になった規格に対し予備調査を行うことでクリア、自社の経験を生かして加盟店へのサポートも
●審査基準の厳密化に備え予備調査を実施
●ブランドの意向に沿う形でカード会社もPCI DSS の審査対象に
●加盟店に対するサポートに意欲、業界全体の推進力に
事例⑨ NTT データ
CAFIS を中心とした6 つのシステムでPCI DSS に完全準拠
● 2008 年からPCI DSS の準拠をスタート、2011 年はCAFIS伝票保管で新規に準拠
●仮想環境下での利用についてはVersion1.2 から対応、PCI DSS 要件以上のセキュリティレベルの実装を意識
●日本NCR の決済アプリケーション・ソフトウェアとPastelPort と組み合わせPA-DSS Version2.0 に準拠
事例⑩ GMO ペイメントゲートウェイ
決済代行事業者のリーディングカンパニーとしてPCI DSS に取り組む、
ISMS との合同審査で審査日数の削減と作業の効率化を図る
● ISMS の認証を上場決済代行事業者で一番に取得、1.1 から1.2 へのバージョンアップで審査項目が増加
● Version 2.0 の基準変更はプラスに、次期システムでは仮想化を意識
●「PG マルチペイメントサービス」で加盟店が安心して決済できる環境を
事例⑪ スマートリンクネットワーク
大幅な修正なく6 年連続でPCI DSS に完全準拠、今後は加盟店への支援も積極的に実施
●詳細な事前書類の提示などシステム対応より人的コストが増大
● Version2.0 の審査もスムーズに対応、日頃の社内の運用ルールも厳しく設定
事例⑫ ゼウス
バージョンアップごとに要件の明確化が図られ、運用面の負荷が増す
次年度以降はリスクランク付けのアプローチが課題に
● Version2.0 の審査もスムーズに対応、QSA に確認を取りながらシステム対応を行う
●継続的なセキュリティの維持・向上に努める、トークナイゼーションの導入も検討へ
事例⑬ ソフトバンク・ペイメント・サービス
PCI DSS への遵守について加盟店からの問い合わせが増加、
2012 年はリスクのランク分けを割り当てるためのプロセスの確立が課題に
●リスクランクの設定は審査の対象から外す、事前にVersion2.0 の変更箇所についてQSA と確認
● PCI DSS 準拠の問い合わせを受けた加盟店には(AOC)を提出、トークナイゼーションの導入も検討へ
事例⑭ 大日本印刷
カード決済における本人認証サービス「SIGN3D」でPCI DSS に完全遵守、
Visa の「3-D セキュア」の基準と並行して対応を進める
● 3-D セキュアと基準が異なる場合は厳しい基準に合わせて対応
● QSA の品質保証プログラム実施によりドキュメントとして証跡が必要に
● CDMS の運用管理はPCI DSS 準拠により格段に向上、準拠を目指す企業のデータ受託も検討
事例⑮ ヤマトシステム開発
国内でいち早くPCI DSS 取得に取り組む、準拠後もセキュリティレベルの強化を継続
●「クロネコweb コレクト(クロネコ@ペイメント)」を中心としたEC システムと決済サーバから準拠に取り組む
● Version2.0 からは「Web 明細サービス」も対象範囲に追加
QSA を変更し、前年までと違った角度での審査を実施
●リスクランク付けのアプローチも対応済み、ペイメント・アプリケーション基準「PA-DSS」の準拠も検討