2014年7月2日13:26
クレジットカードなどの決済代行サービスを提供するインターネットペイメントサービス(IPS)は、2014年1月に発行されたPCI DSSの新基準であるVer.3.0の全項目に完全準拠し、2014年5月16日、認定審査機関であるBSIグループジャパンにより、正式に認証を取得したと発表した。IPSは2010年よりPCI DSSを採用し、毎年の認証更新と基準改定に対応した社内マネジメントを行っている。
PCI DSSは、国際ペイメントブランド5社(Visa、MasterCard、JCB、American Express、Discover)が策定したカード情報セキュリティの国際統一基準となる。クレジットカード情報保護のためのセキュリティ対策フレームワークを策定し、カード情報を取り扱うカード発行会社や加盟店、決済代行会社をはじめとするすべての企業にこの基準を満たすよう推奨、または義務付けている。PCI DSSを遵守することで、より具体的にセキュリティポリシーが定義され、不正アクセスによるクレジットカード情報の流出や盗用などのリスクが低減される。
Ver.2.0から3.0への改訂では、IT環境の変化や依然として発生するカード情報を狙った事故を踏まえ、カード情報を取り扱う企業の日常の業務手順に即し、より具体的な要件が加えられているという。同社は今回の基準に対応するための運用を行うことで、カード情報の強度なセキュリティを目指し、運用規則を定期的に検査する体制を整えたそうだ。
具体的には、基準の趣旨に対して、教育と啓蒙が不十分であればインシデントが発生する結果となってしまうことを念頭におき、PCI DSSの基準の趣旨を理解させる教育を加速させ、意識向上させるための修正が行われている。また、漏洩事故の発生につながるリスクのうち、パスワード設定の強化や認証設定など高頻度で原因とみられるものにフォーカスし、要件を満たすために状況に合わせた判断と実装ができるよう配慮されている。さらに、近年のIT環境の複雑化や新しい技術の発展により生じた新たな脅威に対応し、業務委託先などと共同で作業を行い、カード情報を共有する際の情報管理について要件が強化されているそうだ。
