ニュースレター
知っておきたい最新情報を毎月お届けいたします。
PCIDSS(Payment Card Industry Data Security Standard)は、PCISSC(PCI Security Standards Council)によって運用されてい
ます。
PCIDSSへの準拠が要求されるのは、カード加盟店、プロセッサ(決済代行事業者)、カード情報処理にかかわるサービス
プロバイダです。 加盟店やサービスプロバイダなどがPCIDSSに準拠しているかどうかの遵守状況確認(バリデーション)の方法として、以下の3つが
あります。
(1)QSA(Qualified Security Assessor セキュリティ評価機関)による訪問評価
(2)ASV(Approved Scanning Vendor 認定スキャニングベンダー)が提供する脆弱性スキャニングテスト
(3)自己問診表による診断
※QSA、ASVとして活動するのはPCISSCに登録された組織。 エイエスアールはQSAとして登録されています。
大規模(基準として年間取引件数などが用いられている)な加盟店やサービスプロバイダなどにはQSAによる指導・訪問評価が要求され、中堅・小規模の加盟店は、自己審査のために自己問診表や脆弱性スキャニングテストの実施が推奨されています。ただし、どういった規模・運用形態の会社に、どの確認手段をどういった頻度で実施するよう求めるかといった、遵守状況確認の具体的な要件は、各カードブランドごとに定められた制度によって異なります。
以下、例としてJCB とVISAのカードセ キュリティプログラムについてのWebページを紹介します。
【JCBデータセキュリティプログラム】 http://www.jcb-global.com/jdsp/index.html
【VISAアカウント情報セキュリティ】 http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais.shtml
なお、上述した各カードブランド会社の制度上の基準とは別に、 カード会員データの流出事故を発生させた会社に対し、取引再開の条件としてPCI DSS準拠をカード会社(アクワイアラ)から要求されるケースが見られるようになっています。
PCIDSSを巡る各プレーヤーの関係図