HOME»情報セキュリティマネジメント平成31年春期»午前問14
情報セキュリティマネジメント平成31年春期 午前問14
問14
PCI DSSv3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか。ここで,用語の定義は次のとおりとする。
〔用語の定義〕
加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
〔用語の定義〕
加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
分類
テクノロジ系 » セキュリティ » セキュリティ技術評価
正解
エ
解説
Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された基準です。
PCI DSSv3.2.1において、カードセキュリティコード(CAV2/CVC2/CVV2/CID)は「機密認証データ」に区分されます。同基準内には、「要件3.2 承認後に機密認証データを保存しない」という規定があり、たとえ暗号化していても承認処理後に機密認証データを保存することを禁止しています。これは、機密認証データからカード情報を偽造し、不正なトランザクションが作成されるのを防止するためです。この規定は、クレジットカード発行会社が正当な事由によって行う保存行為を除き、機密認証データを保存、処理、または送信するその他のすべての事業体に適用されます。
したがって、カードセキュリティコードは加盟店及びサービスプロバイダのどちらにおいても「保管しない」とするのが適切な組合せです。
PCI DSSv3.2.1において、カードセキュリティコード(CAV2/CVC2/CVV2/CID)は「機密認証データ」に区分されます。同基準内には、「要件3.2 承認後に機密認証データを保存しない」という規定があり、たとえ暗号化していても承認処理後に機密認証データを保存することを禁止しています。これは、機密認証データからカード情報を偽造し、不正なトランザクションが作成されるのを防止するためです。この規定は、クレジットカード発行会社が正当な事由によって行う保存行為を除き、機密認証データを保存、処理、または送信するその他のすべての事業体に適用されます。
したがって、カードセキュリティコードは加盟店及びサービスプロバイダのどちらにおいても「保管しない」とするのが適切な組合せです。