情報セキュリティマネジメント試験情報＆徹底解説

情報セキュリティマネジメント試験 用語辞典

(Wikipedia PCIデータセキュリティスタンダードより)

PCIデータセキュリティスタンダード（PCI DSS：Payment Card Industry Data Security Standard）は、
クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。
2010年10月28日に改訂版であるV2.0が発表された。このバージョンは2011年11月1日発効となる。
これに伴いV1.2は2011年10月31日に失効した。

管理団体

上記5社が(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。

準拠性確認

PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。

認定審査機関は次の種類がある。

QSA(Qualified Security Assessor)： 訪問審査を行い、PCIDSSの順守状況を確認・判定する。

ASV(Approved Scanning Vendors)： PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。

要件

PCI DSS（バージョン2.0）には、カード会員データおよび取り引き情報を保護するための12要件が規定されている。

安全なネットワークの構築と維持

要件1： カード会員データを保護するために、ファイアウォールをインストールして構成を維持する

要件2： システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

要件3： 保存されたカード会員データを保護する

要件4： オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備

要件5： アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する

要件6： 安全性の高いシステムとアプリケーションを開発し、保守する

強固なアクセス制御手法の導入

要件7： カード会員データへのアクセスを、業務上必要な範囲内に制限する

要件8： コンピュータにアクセスできる各ユーザに一意の ID を割り当てる

要件9： カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

要件10： ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

要件11： セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの整備

要件12： すべての担当者の情報セキュリティポリシーを整備する.

• PCI DSS
• CVSS
• CVE
• CWE
• ペネトレーションテスト
• 耐タンパ性
• ITセキュリティ評価及び認証制度
• 暗号モジュール試験及び認証制度
• ISO/IEC 15408

• 情報セキュリティ(113)
• 情報セキュリティ管理(44)
• セキュリティ技術評価(9)
• 情報セキュリティ対策(41)
• セキュリティ実装技術(19)

このページのWikipediaよりの記事は、ウィキペディアの「PCIデータセキュリティスタンダード」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。