ニュースレター
知っておきたい最新情報を毎月お届けいたします。
1.保護対象となるデータが明確である。
保護の対象が、カード会員データ(センシティブ認証データを含む)と明確に決まっています。
一例としては、カード会員番号(PAN プライマリアカウント番号)とともに「カード会員名」「サービス コード」「カード会員データ」「有効期限」の情報が保管される場合、それらの情報の保護が要求されています。
加盟店やプロセッサ(決済代行事業者)が、「センシティブ認証データ」を承認手続き(オーソリゼーション)後に適切に破棄すること――「センシティブ認証データ」を保管しつづけることの禁止――を要求しています。
2.要求事項(要件)が具体的である。
PCI DSSでは、対象範囲で遵守事項を6つの目的、12の要件として提示しています。
12の要件はさらに詳細化された項目が用意されていますが、具体的なセキュリティ対策、定量的な表現が多く提示されているのが特徴です。
3.対象範囲は特定組織に限定されるとは限らない。
PCI DSSでは「『カード会員データ環境』およびそこに接続された環境」をスコープ(対象範囲)と考えます。
「カード会員データ環境」とは、具体的には、カード会員番号(PAN)を扱っている環境(伝送、処理、保管のいずれかを行うすべてのシステムコンポーネント)を指します。対象範囲は組織が自主的に定義するのではなく、こうした要件から定まるため、自社外の組織も監査の対象となる可能性があります。監査対象範囲を絞り込むためには、「カード会員データ環境」とみなされる業務処理の範囲を明確にし、限定する必要があるでしょう。