1. TOP
  2. 検証サービス
  3. PCIDSSの特徴

PCIDSS

  • PCIDSSの特徴
  • 1.保護対象となるデータが明確である。

  • 保護の対象が、カード会員データ(センシティブ認証データを含む)と明確に決まっています。

    一例としては、カード会員番号(PAN プライマリアカウント番号)とともに「カード会員名」「サービス コード」「カード会員データ」「有効期限」の情報が保管される場合、それらの情報の保護が要求されています。
    加盟店やプロセッサ(決済代行事業者)が、「センシティブ認証データ」を承認手続き(オーソリゼーション)後に適切に破棄すること――「センシティブ認証データ」を保管しつづけることの禁止――を要求しています。
     

  • 2.要求事項(要件)が具体的である。

  • PCI DSSでは、対象範囲で遵守事項を6つの目的、12の要件として提示しています。

    12の要件はさらに詳細化された項目が用意されていますが、具体的なセキュリティ対策、定量的な表現が多く提示されているのが特徴です。
     

  • 3.対象範囲は特定組織に限定されるとは限らない。

  • PCI DSSでは「『カード会員データ環境』およびそこに接続された環境」をスコープ(対象範囲)と考えます。

    「カード会員データ環境」とは、具体的には、カード会員番号(PAN)を扱っている環境(伝送、処理、保管のいずれかを行うすべてのシステムコンポーネント)を指します。対象範囲は組織が自主的に定義するのではなく、こうした要件から定まるため、自社外の組織も監査の対象となる可能性があります。監査対象範囲を絞り込むためには、「カード会員データ環境」とみなされる業務処理の範囲を明確にし、限定する必要があるでしょう。
     


    ⇒  PCIDSSとは?
    ⇒  PCIDSSの制度について
    ⇒  PCIDSSの特徴
    ⇒  PCIDSS要件の概要
    ⇒  ISO/IEC27001(ISMS)とは相互補完的な関係