PCI 準拠ガイド

PCI データセキュリティ基準 (PCI DSS) はデータセキュリティに関する最低基準を設定しています。PCI 準拠を維持するための手順ガイドや、Stripe がどのように役立つかについてご紹介いたします。

はじめに

2005 年以降、8,500 件を超えるデータ漏洩により 110 億件以上の顧客情報が不正アクセスにさらされました。Privacy Rights Clearinghouse によるデータ漏洩とセキュリティ違反に関する最新のレポートでは、2005 年まで遡って消費者への影響が報告されています。

消費者データの安全性と、支払いエコシステムへの信頼を向上させるため、データセキュリティに対する最低基準が設けられました。Visa、MasterCard、American Express、Discover、および JCB は、2006 年、クレジットカードのデータを扱う企業に対するセキュリティ基準を運用、管理するための PCI SSC (Payment Card Industry Security Standards Council) を設立しました。PCI SSC が設立される前は、これらのクレジットカード会社 5 社は、要件と目的はほぼ同じながらそれぞれが独自のセキュリティ基準プログラムを運用していました。各社は協力し、PCI SSC を通じてひとつの標準ポリシー PCI DSS (PCI Data Security Standards) としてまとめあげ、インターネット時代における消費者と銀行の基本的な保護レベルを確保しました。

PCI DSS を理解するのは複雑で困難

使用しているビジネスモデルでカードデータの処理が必要な場合、PCI DSS が定める 300 を超えるセキュリティ制御要件のそれぞれに準拠する必要があります。PCI Council が発行した PCI DSS に関する公式文書は 1,800 ページを超え、PCI 準拠の認証を受けるために必要なフォームはどれなのかを説明するものだけで 300 ページ以上が割かれています。読むだけで 72 時間以上もかかってしまいます。

次の手順ガイドに従って PCI 準拠の認証を受け、これを維持することで、負担を軽減することができます。

PCI データセキュリティ基準 (PCI DSS) の概要

PCI DSS は、カード会員のデータや機密認証データを保存、処理、または転送するあらゆる団体に対応したグローバル規模のセキュリティ基準です。PCI DSS は消費者に対する基本レベルの保護を定め、支払いエコシステム全体での不正使用やデータ漏洩の削減に役立ち、ペイメントカードの受け付けや処理を行うあらゆる組織に適用可能です。

PCI DSS 準拠には、主に 3 つのフレームワークがあります。

  1. 顧客からのクレジットカードデータ入力の処理。カードの詳細な機密情報の収集と安全な転送など。
  2. データの安全な保存。PCI 基準の 12 のセキュリティ要件である、暗号化、継続的な監視、クレジットカードデータへのアクセスにおけるセキュリティテストなどが含まれます。
  3. 必要なセキュリティ制御が適切に行われているかを毎年検証。これには、フォーム、自己問診、外部の脆弱性スキャニングサービス、サードパーティによる監査が含まれます。(4 つの要件については、下記の手順ガイドを参照)

カードデータの処理

ビジネスモデルによっては、支払い受け付けの時点でクレジットカードの機密データを直接処理する必要があるものと、ないものがあります。カードデータを処理する必要がある企業 (支払いページで トークン分解されていない PAN を許可するなど) は、300 件を超える PCI DSS の各セキュリティ制御要件を満たさなければなりません。カードデータがサーバを短時間通過するだけであっても、その企業はセキュリティ用のソフトウェアとハードウェアを購入および導入し、維持する必要があります。

クレジットカードの機密データを処理する必要がない企業は、処理しないことをおすすめします。サードパーティによるソリューション (Stripe Elements など) がデータを安全に受け付け、保存するため、企業は複雑さやコスト、リスクの重荷から解放されます。サーバがカードデータに接することがないため、企業に必要なのは、推測されにくいパスワードを使用するなどの簡単な 22 件のセキュリティ制御要件を確認するだけです。

データの安全な保存

組織がクレジットカードデータを処理または保存する場合、カード会員のデータ環境 (CDE) の範囲を定義する必要があります。PCI DSS は CDE のことを、カード会員データや機密認証データを保存、処理、送信する人、および、プロセス、技術、データに接続するあらゆるシステムとして定義しています。CDE には PCI DSS に定められた 300 件を超えるすべてのセキュリティ要件が適用されるため、支払い環境と他の手続きを適切に切り分け、PCI の検証範囲を限定することが重要です。組織が詳細な区分に CDE スコープを収めることができない場合、PCI セキュリティ制御はそのネットワークに繋がれたすべてのシステム、ノートパソコン、およびデバイスに適用されてしまいます。

1 年ごとの検証

カードデータの受け付け方法にかかわらず、組織は毎年 PCI 検証フォームを提出する必要があります。PCI 準拠の検証方法は、下記に挙げた要素の数に応じて異なります。次に挙げるのは、PCI 準拠を示すため組織に求められる 3 つのシナリオです。

  • 支払い処理機関が、ペイメントカードブランドへの必須レポートの一部として要求する
  • ビジネスパートナーが、商取引の合意に入る前提条件として要求する
  • プラットフォーム企業の場合 (自社技術によって複数の異なるユーザ間でのオンライン取引を促進している)、顧客が、その先の顧客に対してデータ処理の安全性を示すために要求する

最新のセキュリティ基準である PCI DSS バージョン 3.2 には、12 の主要要件と 300 以上の副要件があり、セキュリティのベストプラクティスを正確に表しています。

    安全なネットワークとシステムの構築と維持

  1. カード会員データを保護するファイアウォール設定の導入と維持
  2. システムのパスワードや他のセキュリティパラメータにベンダーが提供するデフォルトを使用しない
  3. カード会員データの保護

  4. 保存されているカード会員データを保護
  5. オープンネットワークまたはパブリックネットワークを介したカード会員データの送信を暗号化
  6. 脆弱性管理プログラムを保守

  7. マルウェアに対してすべてのシステムを保護し、アンチウイルスソフトウェアを定期的にアップデート
  8. 安全なシステムとアプリケーションの開発と保守
  9. 強固なアクセス管理方法の導入

  10. カード会員データへのアクセスは業務上最小限に制限
  11. システムコンポーネントへのアクセスの特定と認証
  12. カード会員データへの物理的アクセスを制限
  13. ネットワークの定期的な監視とテスト

  14. ネットワークリソースとカード会員データへの全アクセスを追跡、監視
  15. セキュリティシステムとプロセスを定期的にテスト
  16. 情報セキュリティポリシーの維持

  17. すべての関係者に対し、情報セキュリティに対応するポリシーを維持

新規企業に対して PCI 準拠への検証を容易にするため、PCI Council は、PCI DSS 要件全体のサブセットである 9 通りの異なるフォームとして、SAQ (自己問診) を作成しました。これにより、適用される項目を把握したり、PCI DSS セキュリティの各要件を満たしているかを検証するのに、PCI Council の認定を受けた監査人を採用する必要があるかを判断することができます。PCI Council は、3 年ごとに規則を改定し、年間を通して複数の更新を行なっているため、より複雑さが増しています。

PCI DSS v3.2.1 準拠の手順ガイド

1. 自社要件の把握

PCI 準拠の最初のステップは、貴社の組織に適用する要件を理解することです。PCI 準拠には 4 つの異なるレベルがあり、通常は、12 カ月間にビジネスが処理するクレジットカード取引の量に応じてレベルが決まります。

対象 要件
レベル 1
  1. 年間取引数が 600 万件以上の組織 、または
  2. 過去にデータ漏洩を経験した組織、または
  3. カードブランド (Visa、MasterCard など) が “レベル 1” だと判定した組織
  1. 認定監査会社 (QSA) による年次報告書 (ROC) — レベル 1 オンサイト評価とも呼ばれる — もしくは内部監査役による現場監査報告
  2. 四半期ごとの認定スキャンベンダー (ASV) によるネットワークのスキャン
  3. オンサイト評価の準拠証明書 (AOC) – 加盟店およびサービスプロバイダ専用フォームあり
レベル 2 年間取引数が 100 ~ 600 万件の組織
  1. 年 1 回の PCI DSS 自己問診 (SAQ) — 9 通りの SAQ タイプの概要については下記の表を参照
  2. 四半期ごとの認定スキャンベンダー (ASV) によるネットワークのスキャン
  3. 準拠証明書 (AOC) — 9 通りの SAQ それぞれに異なる AOC フォームあり
レベル 3
  1. オンラインでの年間取引数が 20,000 ~ 100 万件の組織
  2. 年間取引数の合計が 100 万件未満の組織
レベル 4
  1. オンラインでの年間取引数が 20,000 件未満の組織、または
  2. 年間取引数の合計が最大 100 万件の組織

レベル 2 ~ 4 では、使用する支払いの組み込み方法に応じて SAQ タイプが異なります。概要は次のとおりです。

SAQ 説明
A

カードを提示しない (E コマースまたは通信販売) 加盟店で、すべてのカード会員データ機能が PCI DSS に準拠したサードパーティに委託されており、加盟店のシステムや施設で電子形式で保存、処理、または転送しない。

対面式の加盟店には適用されません。

A-EP

すべての支払い処理を PCI DSS 認証サードパーティに委託している E コマース加盟店。所有する Web サイトは、カード会員データを直接受信しないが、支払い取引のセキュリティに影響を与える可能性がある。カード会員データを加盟店のシステムや施設で、電子形式で保存、処理、または転送しない。

E コマース加盟店にのみ適用されます。

B

下記の方法のみを使用する加盟店:

  • カード会員データを電子形式で保存しないインプリントのみの加盟店、および / または、
  • スタンドアロン型ダイアルアップ端末を使用し、カード会員データを電子形式で保存しない。

E コマース加盟店には適用されません。

B-IP

支払い処理機関への IP 接続にスタンドアロンの PTS 認定支払い端末のみを使用し、カード会員データを電子形式で保存しない加盟店。

E コマース加盟店には適用されません。

C-VT

PCI DSS 認証のサードパーティサービスプロバイダが提供しホスティングしている、インターネットベースの仮想端末に、 取引を 1 件ずつキーボードから手入力する加盟店。カード会員データを電子形式で保存しない。

E コマース加盟店には適用されません。

C

支払いアプリケーションシステムがインターネットに接続されており、カード会員データを電子形式で保存しない加盟店。

E コマース加盟店には適用されません。

P2PE

ハードウェア端末のみを使用する加盟店。端末は、認証され、PCI SSC にリストされている P2PE (ポイントツーポイント暗号化) ソリューションに含まれており、これを経由して管理、検証される。カード会員データを電子形式で保存しない。

E コマース加盟店には適用されません。

D

加盟店向け SAQ D: 上記の SAQ タイプの説明に含まれないすべての加盟店。

サービスプロバイダ向け SAQ D: ペイメントブランドにより SAQ を完成する資格があると定義されたすべてのサービスプロバイダ。

組織に最適な SAQ および準拠証明書を選択するには、この PCI ドキュメントのページ 18 にあるフローチャートが役立ちます。

PCI DSS 要件は適宜変更されます。新規または変更された証明書要件についての最新情報を入手し、それらの要件を満たす最適な方法の 1 つは、PCI の参加団体 (PO) になることです。

2. データフローのマッピング

クレジットカードの機密データを保護する前に、それがどこに存在し、どうやってそこに入ったかを知る必要があります。組織内でクレジットカードデータをやり取りするシステム、ネットワーク接続、およびアプリケーションの包括的なマップを作成してください。自身の役割によっては、IT チームやセキュリティチームと協力する必要があるかもしれません。

  • 最初に、支払い取引に関係する業務のうち、消費者と接するすべての領域を特定する。たとえば、支払いの受け付けは、オンラインのショッピングカートや実店舗内の端末からの場合や、電話注文も考えられます。
  • 次に、組織内でカード会員データを処理する方法を特定する。データの保存場所とアクセスできる人を正確に把握することは重要です。
  • さらに、支払い取引に関わる内部システムまたは基盤技術を特定する。これには、使用するネットワークシステム、データセンター、およびクラウド環境が含まれます。

3. セキュリティの管理とプロトコルの確認

組織内でクレジットカードデータに関わるすべての潜在的なタッチポイントを精密にマッピングしたら、IT チームおよびセキュリティチームと協力して、適切なセキュリティ設定とプロトコルが正常に実施されているかどうかを確認します (前述の PCI DSS の 12 のセキュリティ要件リストを参照)。これらのプロトコルは、トランスポート層セキュリティ (TLS) プロトコルのように、データ転送を安全に行うことを目的としています。

PCI DSS v3.2.1 でのこれら 12 のセキュリティ要件は、あらゆる業務に対して機密データを保護するためのベストプラクティスから生じたものです。GDPR、HIPAA、およびその他のプライバシー要件を満たすために必要な事項には重複する部分があるため、一部はすでに組織内で適用されている場合もあります。

4. 監視と保守

PCI 準拠は 1 回限りの出来事ではないことに注意してください。これは、データフローや顧客とのタッチポイントが変化しても、企業が準拠し続けなければならない継続的なプロセスです。年間 600 万件を超える取引を処理している組織は特に、一部のクレジットカードブランドから四半期ごとまたは 1 年ごとにレポートの提出を求められる場合や、準拠継続を検証するオンサイト評価を毎年実行しなければならない場合もあります。

年間を通じて (および対前年比) PCI 準拠を管理するには、他部署からのサポートと協力が必要になります。こういった体制がまだできていない場合は、準拠を適切に維持するための専任チームを内部に発足させるとよいでしょう。対応は各企業で千差万別ですが、“PCI チーム” には、次のような部門の代表者を含めると良いスタートが切れるでしょう。

  • セキュリティ: セキュリティー最高責任者 (CSO)、情報セキュリティー最高責任者 (CISO)、およびそのチームによって、組織が必要なデータセキュリティと、プライバシーに関するリソースおよびポリシーに、常に適切な投資がされているか確認する。
  • テクノロジー / 支払い: 最高技術責任者 (CTO)、支払い部門の VP、およびそのチームによって、コアツール、組み込み、およびインフラストラクチャが、組織のシステムが変化しても引き続き準拠していることを確認する。
  • 財務: 最高財務責任者 (CFO) と財務チームは、支払いシステムおよびパートナーによる、すべての支払いデータフローの明細を把握する。
  • 法務: このチームは、PCI DSS 準拠に関する多くの法的な意味合いの理解を助ける。

PCI 準拠についての詳細は PCI Security Standards Council Web サイトをご覧ください。読了したのがこのガイドと他いくつかの PCI ドキュメントのみであれば、引き続き次のドキュメントをご覧になることをお勧めします。PCI DSS への優先順位によるアプローチSAQ の手順とガイドライン (英文)オンサイト評価要件の決定のために使用する SAQ 資格基準に関する FAQ、および、支払いカードデータを受け付ける消費者デバイス用アプリを開発する加盟店の義務に関する FAQ。

組織が PCI 準拠を実現し維持するために Stripe ができること

Stripe は CheckoutElementsモバイル SDKTerminal SDK を組み込んでいる企業の PCI の負担を大幅に軽減します。Stripe Checkout および Stripe Elements では、すべてのカードデータ処理にオンライン支払いフィールドが使用されます。カード保有者が支払いに関する機密情報を入力するのは、Stripe の PCI DSS 認証サーバから直接作成された支払いフィールドです。Stripe のモバイル SDK と Terminal SDK でも、カード保有者は支払いに関する機密情報を PCI DSS 認証サーバに直接送信できます。

こういったより安全なカード受け付け方法を提供すると共に、Stripe はダッシュボードで PCI フォーム (SAQ) に必要事項を自動入力し PCI の認証を簡素化しました。これによって、小規模な組織では数百時間分、大規模な組織では数千時間分もの労力を節約できます。

組み込みタイプに関わらず、すべてのユーザに対して、Stripe は PCI が推奨する通りに活動し、さまざまな方法でサポートします。

  • お客様の組み込み方法を分析し、使用する PCI フォームと準拠のための労力を軽減する方法を提案する。
  • 取引のボリュームが増加し、準拠の認証を受ける方法の変更が必要な場合は、お客様に事前に通知する。
  • 大規模加盟店 (レベル 1) には、PCI の認証に要する時間を数カ月から数日に短縮できる PCI パケットを提供する。クレジットカードデータを保存しているか、より複雑な支払いフローを使用していて、そのために PCI QSA との連携が必要な場合、世界各地に存在する 350 以上の QSA 企業を通して、さまざまな Stripe 統合方法を熟知した複数の監査人を紹介できる。
Visa 加盟店レベル 平均監査時間 (年間推定) Stripe Elements、Checkout、またはモバイル SDK 使用時の平均監査時間 (年間推定)
レベル 1 3 ~ 5 カ月 2 ~ 5 日
レベル 2 1 ~ 3 カ月 0 日
レベル 3 1 ~ 3 カ月 0 日
レベル 4 1 ~ 3 カ月 0 日

顧客データの保護と PCI 準拠の実現のために Stripe ができることの詳細については、組み込みセキュリティに関するドキュメントをご覧ください。

まとめ

PCI 準拠の評価と認証は通常年に 1 回ですが、PCI 準拠は 1 回限りの出来事ではありません。審査と改善という、継続的な努力が必要となります。企業が成長するにつれ、中核となるビジネスロジックとプロセスも変化します。つまり、準拠要件も時と共に変化するのです。一例として、オンラインビジネスが実店舗をオープンして新たな市場に乗り出したり、カスタマーサポートセンターを立ち上げたりすることが挙げられます。何か新しいことに支払いカードデータが関わるのであれば、現在の PCI 認証方式に影響はないか積極的にチェックし、必要に応じて PCI 準拠を再検証することをお勧めします。

PCI 準拠は有用です。しかし、十分ではありません。

PCI DSS ガイドラインを遵守することは、お客様のビジネスの保護に不可欠な一手ですが、それだけでは十分ではありません。PCI DSS は、カード会員データの処理と保存に関する重要な基準を定めましたが、あらゆる支払い環境に十分な保護を提供しているわけではありません。Stripe Checkout、Elements、およびモバイル SDK といった安全なカード受け付け方法に移行することで、より効率的な方法でお客様の組織を保護することができます。これらがもたらす長期的な利点によって、業界のベースラインの標準に頼ることも、セキュリティ管理の失敗の懸念もなくなります。このアプローチは、俊敏性に優れた企業に潜在するデータ漏洩を軽減し、時間と費用をかけ、尽力を注いできた過去の PCI 認証から脱却する方法を提供します。より安全な組み込み方法であれば、365 日いつでも信頼することができるのです。

ガイドに戻る
You’re viewing our website for the Netherlands, but it looks like you’re in the United States. Switch to the United States site