PCI DSS ぴーしーあいでぃーえすえす
PCI DSSクレジットカード決済セキュリティカード情報保護コンプライアンス
PCI DSSについて教えて
簡単に言うとこんな感じ!
クレジットカード情報を扱う企業が守らなければならないセキュリティ基準だよ。ECサイトの決済システムを作るなら必須知識!違反すると罰金や決済処理の停止になることも。
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard:ペイメントカード業界データセキュリティ基準)は、クレジットカード情報(カード番号・有効期限・セキュリティコード等)を取り扱うすべての事業者に適用されるセキュリティ標準です。Visa・Mastercard・American Express・Discover・JCBの5大国際ブランドが共同設立したPCI SSC(PCI Security Standards Council)が策定・管理しています。
「カード番号を自社サーバーに保存するECサイト」「カード決済端末を使う実店舗」「決済システムを開発するサービス会社」など、カード情報の伝送・処理・保存に関わる全ての組織が対象です。
6つの要件領域と12の要件
| 領域 | 要件 | 内容 |
|---|---|---|
| 安全なネットワーク | 1 | ファイアウォールの設置と維持 |
| 2 | デフォルトパスワードの変更 | |
| カード会員データの保護 | 3 | 保存されたカード会員データの保護 |
| 4 | 伝送時のカード会員データの暗号化 | |
| 脆弱性管理 | 5 | マルウェア対策 |
| 6 | 安全なシステムとアプリの開発・維持 | |
| アクセス制御 | 7 | カード会員データへのアクセス制限 |
| 8 | IDの識別と認証管理 | |
| 9 | 物理的アクセスの制限 | |
| 監視とテスト | 10 | ネットワークリソースへのアクセス監視 |
| 11 | セキュリティシステムとプロセスの定期テスト | |
| 情報セキュリティポリシー | 12 | 情報セキュリティポリシーの整備 |
レベル別の適用要件
年間取引件数に応じてレベルが決まり、要求される審査方法が異なります。
| レベル | 年間取引件数 | 審査方法 |
|---|---|---|
| Level 1 | 600万件超 | 外部認定審査機関(QSA)による訪問審査 |
| Level 2 | 100万〜600万件 | 年次SAQ(自己問診票) |
| Level 3 | 2万〜100万件 | 年次SAQ |
| Level 4 | 2万件未満 | 年次SAQ(推奨) |
歴史と背景
2000年代初頭、各カードブランドが独自のセキュリティプログラムを持っていたため、事業者の対応が煩雑でした。2004年に5ブランドが統一基準としてPCI DSS 1.0を策定・公表。2008年のPCI DSS 1.2、2013年のv3.0、2018年のv3.2.1と改訂を重ね、2022年にはPCI DSS v4.0が公開されました。v4.0はクラウドや新技術への対応強化が特徴で、2025年3月に旧版のv3.2.1は廃止されました。
クラウドでのPCI DSS対応
関連用語
- ISO 27001・27017 — 情報セキュリティの国際標準
- データ分類 — カード情報の適切な分類と管理
- TLS — カード情報転送時の暗号化プロトコル