PCI DSSコンプライアンス

FortraでPCI DSS 4.0コンプライアンスの複雑さを克服

今すぐお問い合わせください

PCI DSS とは何ですか?

PCI Compliance

PCI DSS (Payment Card Industry Data Security Standard) は、クレジットカード情報を処理、保存、または送信する組織が安全な環境を維持できるように開発された、世界的に認められたセキュリティ要件のフレームワークです。標準のバージョン 4.0 では、支払いデータの漏洩を削減し、カード詐欺に対処し続けながら、セキュリティ成果を達成および検証するための、より柔軟でカスタマイズされたアプローチが強調されています。

PCI DSS 4.0 は、技術的制御と運用慣行の両方をカバーし、カード所有者データ環境 (CDE) を保護するためのベースラインを提供します。この標準は、継続的なセキュリティを促進し、進化するテクノロジーをサポートし、新たな脅威に対処します。

PCIセキュリティ標準協議会(PCI SSC) Visa、MasterCard、American Express、Discover、JCB などの主要な決済カードブランドによって設立された独立組織である が、この標準を管理しています。施行とコンプライアンスの責任は、各決済ブランドが負うことになります。

PCI DSS 4.0 では、セキュリティ制御のカスタマイズされた実装をサポートするためにターゲットを絞ったリスク分析の使用など、リスクベースのアプローチに重点を置き、組織がセキュリティを継続的なプロセスとして統合することを推奨しています。この規格は、組織がセキュリティ インシデントを防止、検出、対応できるように詳細なガイダンスとリソースを提供し、最終的には、絶えず変化する脅威の状況においてカード所有者の機密情報を保護できるようにサポートします。

PCI Compliance

PCI DSS 4.0 の対象範囲は何ですか?

PCI DSS コンプライアンスは 12 のコア要件に基づいて構築されており、それぞれがカード所有者データを保護するための重要な安全策です。IT 環境内でこれらの標準を満たすには、チェックリスト以上のものが求められます。セキュリティに対する戦略的かつ階層化されたアプローチが必要です。組織は多くの場合、進化する脅威から防御し、継続的なコンプライアンスを確保するために連携して機能する統合データ保護ソリューションのスイートを通じてこれを実現します。

PCI DSS 4.0 の 12 の要件は、次の 6 つのカテゴリに分類されます。

安全なネットワークとシステムの構築と維持

1. ネットワークセキュリティ制御をインストールして維持する

2. すべてのシステムコンポーネントに安全な構成を適用する

アカウントデータを保護する

3. 保存されたアカウントデータを保護する

4. オープンなパブリックネットワーク経由での送信時に、強力な暗号化技術を使用してカード所有者のデータを保護する

脆弱性管理プログラムを維持する

5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護する

6. 安全なシステムとソフトウェアの開発と維持

強力なアクセス制御対策を実施する

7. システムコンポーネントとカード会員データへのアクセスを業務上必要な範囲に制限する

8. ユーザーを識別し、システムコンポーネントへのアクセスを認証する

9. カード会員データへの物理的なアクセスを制限する

ネットワークを定期的に監視およびテストする

10. システムコンポーネントとカード会員データへのすべてのアクセスをログに記録し、監視する

11. システムとネットワークのセキュリティを定期的にテストする

情報セキュリティポリシーを維持する

12. 組織のポリシーとプログラムで情報セキュリティをサポートする

PCI DSS コンプライアンスはあなたに適用されますか?

個人経営のコーヒーショップから世界規模の企業まで、決済カードやカード所有者のデータを受け取ったり、送信したり、処理したり、保存したりするあらゆる組織は、PCI DSS に準拠する必要があります。組織の特定の年における取引量に応じて、必要な PCI コンプライアンスのレベルは異なります。

PCI DSS コンプライアンスのさまざまなレベルとは?

カード所有者のデータを承諾、送信、処理、または保存するすべての組織は PCI DSS の要件に従う必要がありますが、個々の組織には 4 つの異なるレベルのコンプライアンスが要求されます。これらのレベルは、12 か月間の取引量に基づいています。

レベル1:

年間600万件以上のカード取引を処理する加盟店

レベル2:

年間100万~600万件の取引を処理する加盟店

レベル3:

年間2万~100万件の取引を処理する加盟店

レベル4:

年間2万件未満の取引を処理する加盟店

最高のコンプライアンス レベル (レベル 1) では、組織は認定セキュリティ評価機関 (QSA) または内部セキュリティ評価機関 (ISA) が実施する外部監査を受ける必要があります。この評価では、評価の範囲を検証し、ドキュメントを確認し、PCI DSS 要件が満たされているかどうかを判断し、コンプライアンスを達成するためのガイダンスを提供します。完了すると、PCI DSS 標準への準拠を証明するコンプライアンス レポート (RoC) が提出されます。

コンプライアンス レベルの低い組織 (レベル 2 ~ 4) では外部監査は必要ありませんが、代わりに自己評価アンケート (SAQ) を完了することができます。レベル 2 の組織も RoC を完了する必要があります。

PCIセキュリティ標準協議会のリソースを見る

PCI DSS コンプライアンス チェックリスト

  • データの保存、処理、または送信に使用されるシステムでカード所有者データを保護するためのWeb アプリケーション ファイアウォールを導入していますか?
  • 定期的に更新およびメンテナンスされていますか?
  • デフォルトのパスワードを、一意の強力なパスワードに置き換えましたか?
  • パスワードは、漏洩リスクを最小限に抑えるために保護され、安全に保存されていますか?
  • 社内システム内に保存されているデータを保護するためのセキュリティ管理が実施されていますか?
  • カード所有者のデータは転送中に保護されていますか?
  • カード所有者のデータを保護するために暗号化を使用していますか?
  • データはオープンネットワーク上を移動しているときや保存されているときに保護されますか?
  • 組織全体でウイルス対策ソフトウェアまたはプログラムを導入していますか?
  • プログラムまたはソフトウェアは最新バージョンになっていますか?
  • ソフトウェアを定期的にレビューしていますか?
  • あなたの組織ではシステムとアプリケーションが保護され、メンテナンスされていますか?
  • PCI DSS 準拠のためにシステムとアプリケーションを開発する必要がありますか?
  • 社内システム内でカード所有者データへのアクセスを制限していますか?
  • 毎日のタスクを完了するために、知る必要がある場合や処理する必要がある場合に、アクセスが制限されていますか?
  • タスクの完了の必要性は、データへのアクセスを提供するリスクを上回りますか?
  • 組織内の全員に、コンピューターへのアクセス用に固有のユーザー ID を付与していますか?
  • システム管理者はこれらの固有 ID の権限/アクセス制御を管理していますか?
  • アクセスと権限の制御は、ビジネス上必要な範囲にのみ許可されていますか?
  • カード所有者のデータが保存、処理、または送信される可能性のあるサーバー、コンピューター、データ センターなどへの物理的なアクセスを制限していますか?
  • 組織内でカード所有者データへのアクセスが見つかる可能性があるエリアへのすべての訪問者をログに記録して監視していますか?
  • すべての物理メディアは、不適切なアクセスを防ぐために安全に保管されていますか?
  • 悪用を防ぐために組織のネットワークを定期的に確認していますか?
  • 規制監査証跡のレビュープロセスは記録されていますか?
  • システムを頻繁にテストして脆弱性を発見していますか? また、発見された脆弱性は適切に対処され、維持されていますか?
  • 新しいソフトウェアをインストールしたり、構成を変更したりするときに、脆弱性をテストしますか?
  • テストには内部および外部ネットワークの脆弱性スキャンと侵入テストが含まれていますか?
  • 重要なシステム ファイルが不正に変更されたりアクセスされたりしないよう監視していますか?

データセキュリティポリシーを維持する

組織内に強力なセキュリティ文化を確立することで、PCI DSS 4.0 コンプライアンスと全体的なデータ セキュリティを強化できます。組織は、特に PCI DSS コンプライアンスを重視し、データ セキュリティに重点を置いた定期的なトレーニング プログラムと継続的な教育を実施する必要があります。

社内データセキュリティポリシー

現在、社内データセキュリティポリシーが実施されていますか?

PCI DSS要件

あなたのポリシーは PCI DSS の要件をすべて包括的にカバーしていますか?

社内システムの変更

ポリシーは定期的に、または内部システムに変更があったときに見直されていますか?

PCIコンプライアンスの責任

ポリシーには、サービス プロバイダーの PCI コンプライアンス責任を特定して監視する方法が概説されていますか?

データ侵害

データ侵害が発生した場合にすぐに展開できる実用的なインシデント対応計画はありますか?

脆弱性管理の役割

 

PCI DSS 4.0 に準拠するには、組織は、セキュリティ上の弱点が生じたときにそれを速やかに特定して対処するプロアクティブな脆弱性管理(VM) プログラムを確立する必要があります。VM は、保存されたカード所有者データの保護やシステム アクセスの監視など、いくつかの主要な PCI DSS 要件を満たす上で重要な役割を果たします。

PCI SSC は、脆弱性を「悪用されると、意図的または意図せずにシステムの侵害につながる可能性がある欠陥または弱点」と定義しています。組織は、一般的な脆弱性と露出 (CVE) をスキャンする自動ツールを導入することで、これらのリスクを軽減できます。高度な VM ソリューションは継続的なスキャンとリスクベースの優先順位付けを提供し、チームが最も重要な脅威に最初に集中できるようにします。適切に文書化された VM プログラムは PCI 監査プロセスを合理化し、コンプライアンスをより迅速かつ容易にします。

Fortra VM について知る

主要なPCI DSS 4.0コンプライアンスソリューション

組織全体に多層セキュリティ ソリューションを導入して機密性の高いカード所有者データを保護することで、PCI DSS 要件への準拠が容易になります。Fortra のセキュリティ スイートは、PCI DSS 義務を満たし、カード所有者のデータを保護するために設計されたさまざまなソリューションを提供します。

データ損失防止

Fortra Data Loss Prevention (DLP) は、包括的なデータ保護および監視機能を提供します。エンドポイント、ネットワーク、クラウド環境全体でのデータ アクセスと移動をリアルタイムで可視化することで、カード所有者のデータを保護します。このソリューションは、データ保護ポリシーを適用して、機密情報が暗号化、マスク、または不正アクセスや転送からブロックされるようにします。

データ分類

Fortra のデータ分類ソリューションは、PCI 関連のドキュメントや電子メールにビジュアル タグとメタデータ タグを付けることで、侵害のリスクを軽減します。これにより、適切な処理がサポートされ、必要に応じて暗号化がトリガーされ、DLP の適用が強化されます。分類により、監査やコンプライアンスのためのエンタープライズ検索も改善されます。

脆弱性管理

当社のセキュリティ ソリューションを使用すると、PCI DSS 準拠の証明が容易になります。カード所有者データを扱う組織は、システムのセキュリティ上の脆弱性を特定して定量化し、侵入に対してこれらのシステムを強化することができます。さらに、PCI DSS の監査要件を満たすために、PCI DSS のデータベース アクセスも可視化されます。

整合性とコンプライアンスの監視

Fortra Integrity and Compliance Monitoring により、PCI コンプライアンスを合理化し、カード所有者のデータを保護します。このソリューションは、ファイルの整合性、ログ記録、脆弱性評価に関する PCI DSS 4.0 要件をサポートしています。継続的な監視により、いつでも構成のコンプライアンスを実証するオンデマンド レポートを使用して監査に備えることができます。

拡張検出および対応

Fortra Extended Detection and Response (XDR) は、イベント ログ分析、インシデント検出、アラート、監査証跡の生成など、PCI DSS コンプライアンスをサポートするための継続的な監視を可能にします。PCI 認定スキャンベンダー (ASV) として、Fortra は ASV レポートの紛争に関する専門家のレビューと支援も提供し、正確でタイムリーなコンプライアンス レポートを保証します。

攻撃的なセキュリティ

攻撃的なセキュリティは、システムとプロセスの定期的なテストを要求することで、PCI DSS において重要な役割を果たします。脆弱性管理および侵入テスト ソリューションは、内部および外部の脅威を特定し、優先順位を付け、修復を検証することで、この義務を果たすのに役立ちます。また、監査文書を簡素化する詳細なレポートによるコンプライアンスもサポートします。

マネージド Web アプリケーション ファイアウォール

PCI DSS 4.0 要件 6.4.2 では、Web アプリケーション ファイアウォールがアプリケーションおよび API に対して行う「Web ベースの攻撃を継続的に検出して防止する」ことが義務付けられています。Fortra Managed WAF は、最先端の PCI セキュリティ制御を備えているだけでなく、セキュリティ プロファイルを継続的に最適化する Web セキュリティ専門家のチームも備えています。

安全なマネージドファイル転送

MFT ソリューションは、保存中および転送中のデータを暗号化によって保護し、転送の整合性を検証し、詳細な監査証跡と転送レポートを維持することで、PCI DSS コンプライアンスをサポートします。さらに、コンプライアンス モジュールは PCI DSS 非準拠を監視できます。

Fortra と PCI DSS

Fortra のサイバーセキュリティおよびコンプライアンス製品のポートフォリオは、企業が PCI DSS 4.0 要件に準拠し、リスクや脅威から企業を保護するという日常的な要求を満たすのに役立つ幅広いソリューションとサービスを提供します。次の表は、PCI DSS 4.0 要件と Fortra のソリューションをマッピングしたものです。

要件1: ネットワークセキュリティ制御をインストールして維持する

要件2: 安全な構成を適用する

要件3: 保存されたアカウントデータを保護する

要件4: オープンなパブリックネットワーク経由での送信時に、強力な暗号化技術を使用してカード所有者データを保護する

要件5: システムとネットワークを悪意のあるソフトウェアから保護する

要件6: 安全なシステムとソフトウェアの開発と維持

要件7: システムコンポーネントとカード会員データへのアクセスを制限する

要件8: ユーザーを識別し、アクセスを認証する

要件9: 物理的なアクセスを制限する

要件10: すべてのアクセスをログに記録して監視する

要件11: システムとネットワークのセキュリティを定期的にテストする

要件12: ポリシーとプログラムで情報セキュリティをサポートする

これらすべてのアクティビティを管理する能力がない場合、Fortraのマネージド セキュリティ サービスをチームの延長として利用することで、セキュリティ リスクを軽減し、PCI DSS 4.0 への準拠を簡素化できます。

PCI DSS 4.0 コンプライアンスのお手伝いをいたします。話しましょう。

組織内のカード所有者データを保護するための最適なソリューションを検討するには、Fortra の専門家に連絡して 30 分間の無料コンサルテーションを受けてください。当社はお客様と協力して、PCI DSS 準拠を確実にするための適切な保護層を特定します。

PCI DSS 4.0に関するご相談のご予約