ペイメントカード業界のデータ・セキュリティー規格(PCI -DSS)
コンピュータのインターフェイスを操作する人物の背後に、さまざまな文書とミニチュアの高層ビルが描かれているイラスト
PCI DSSとは

ペイメントカード業界データ・セキュリティー基準(PCI DSS)は、カード保有者のデータ(カード保有者のプライマリー・アカウント番号(PAN)、氏名、有効期限、サービス・コード)およびその他のカード保有者の機微情報をライフサイクル全体にわたって保護するための一連のセキュリティー要件です。

PCI DSSは、カード会員データを保管・処理または送信する販売業者やサービス・プロバイダーまたはその他の組織、およびカード会員データを保管・処理または送信するシステムに接続されているすべての組織に適用されます。(これらのシステムは、カード会員データ環境(CDE)と呼ばれます。)PCI DSSは、カード保有者のデータを保護するために組織が実装する必要がある詳細なセキュリティー制御やプロセス、テストの概要を示しています。これらのセキュリティー対策は、eコマース取引やPOSシステム、ワイヤレス・ホットスポット、モバイル・デバイス、クラウド・コンピューティング、紙ベースのストレージ・システムなど、カード会員データ環境全体の幅広い機能領域をカバーします。

PCI DSSコンプライアンスには、販売業者とサービス・プロバイダーによる年次報告と、CDEの大幅な変更後の追加報告が必要です。コンプライアンスの検証には、組織のセキュリティー体制の継続的な評価ならびにセキュリティー・ポリシーやテクノロジー、手順のギャップに対処するための継続的な修復も含まれます。

組織やサービス・プロバイダーは認定審査機関(QSA)による評価を受けることができ、評価に合格するとQSAによって準拠証明書(AOC)が発行されます。

PCI DSSの最初のバージョンは、2004年にペイメントカード・ブランドのアメリカン・エキスプレスやディスカバー、JCBインターナショナル、マスターカード、ビザによってリリースされました。これらのブランドが、基準の技術的要件を管理するために共同でペイメントカード業界セキュリティー基準評議会(PCI SSC)を結成しました。 2020年に、PCI SSCは銀聯銀行カード協会を追加しました。PCI DSSは定期的に更新され、個人情報の盗難や詐欺、データ侵害など、ペイメントカード・データに対する最新のサイバーセキュリティーの脅威に対処しています。

IBM CloudとPCI DSS

IBMはPCI DSSのレベル1サービス・プロバイダーであり、お客様はIBM Cloudを使用してPCI-DSS準拠の環境とアプリケーションを構築できます。

IBM Cloudプラットフォーム・サービスには、多くの場合、認定審査機関(QSA)によって発行されたPCI DSS 準拠証明書(AOC)が付与されています。

以下のリストにあるサービスについてPCI DSS AOCを請求される場合は、IBMにお問い合わせください。
利用可能なPCI DSS AOCを備えたIBM Cloudサービスには、次のものがあります。
    1. IBM Cloud Activity Tracker(Mezmo経由)
    2. IBM Cloud App ID
    3. IBM Cloud Backup
    4. IBM Cloud Backup for VPC
    5. IBM Cloud Bare Metal
    6. IBM Cloud Bare Metal Servers for VPC
    7. IBM Cloud Block Storage
    8. IBM Cloud Block Storage for Virtual Private Cloud
    9. IBM Cloud Block Storage Snapshots for VPC
    10. IBM Cloud Container Registry
    11. IBM Cloud Databases for DataStax
    12. IBM Cloud Databases for Elasticsearch
    13. IBM Cloud Databases for EnterpriseDB
    14. IBM Cloud Databases for etcd
    15. IBM Cloud Databases for MongoDB
    16. IBM Cloud Databases for MySQL
    17. IBM Cloud Databases for PostgreSQL
    18. IBM Cloud Databases for Redis
    19. IBM Cloud Direct Link
    20. IBM Cloud Direct Link Connect (2.0)
    21. IBM Cloud Direct Link Dedicated (2.0)
    22. IBM Cloud DNS Services
    23. IBM Cloud File Storage
    24. IBM Cloud File Storage for Virtual Private Cloud
    25. IBM Cloud Flow Logs for VPC
    26. IBM Cloud for VMware Solutions (Dedicated)
    27. IBM Cloud Hardware Security Module
    28. IBM Cloud Internet Services Enterprise Package(Cloudflare経由)
    29. IBM Cloud Internet Services Enterprise Usage(Cloudflare経由)
    30. IBM Cloud Internet Services Standard(Cloudflare経由)
    31. IBM Cloud Kubernetes Service and Red Hat OpenShift on IBM Cloud
    32. IBM Cloud Load Balancer
    33. IBM Cloud Messages for RabbitMQ
    34. IBM Cloud Object Storage
    35. IBM Cloud Object Storage (IaaS)
    36. IBM Cloud Platform - Core Services - IBM Cloud Identity and Access Management
    37. IBM Cloud Secrets Manager
    38. IBM Cloud Transit Gateway
    39. IBM Cloud Virtual Private Cloud
    40. IBM Cloud Virtual Private Cloud - Load Balancer for VPC:アプリケーション・ロード・バランサー、ネットワーク・ロード・バランサー
    41. IBM Cloud Virtual Private Cloud – VPN for VPC:サイト間ゲートウェイとクライアント間サーバー
    42. IBM Cloud Virtual Private Endpoint for VPC
    43. IBM Cloud Virtual Servers
    44. IBM Cloud Virtual Server for VPC
    45. IBM Cloud Virtual Server for VPC - Auto Scale for VPC
    46. IBM Cloud Virtual Server for VPC - Dedicated Host for VPC
    47. IBM Cloudant for IBM Cloud
    48. IBM Event Streams for IBM Cloud (Enterprise)
    49. IBM Event Streams for IBM Cloud (Standard)
    50. IBM Key Protect for IBM Cloud
    51. IBM Log Analysis(Mezmo経由)
    52. IBM Power Virtual Server on IBM Cloud
    53. IPSec VPN
    54. SAP認定クラウド・インフラストラクチャー
    IBM Cloudサービスを使用してコンプライアンスを加速

    PCI DSSの最新バージョン(v4.0)は、2022年3月にリリースされました。組織はコンプライアンスを達成するために、2025年3月31日までにこれら12の要件を実装する必要があります。

    IBM Cloudは、特定のPCI DSS要件を満たし、コンプライアンスへの取り組みを加速するのに役立つ以下の一連のサービスを提供します。

     

    1. ネットワーク・セキュリティー制御のインストールと保守

    IBM Cloud Internet Services (CIS)

    ネットワーク

    IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。

    サービスを見る

    IBM Cloud Direct Link

    ネットワーク

    IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。

    サービスを見る

    IBM Cloudゲートウェイ・アプライアンス

    ネットワーク

    ゲートウェイアプライアンスは、ネットワークトラフィックの制御を強化し、ネットワークのパフォーマンスを向上させ、ネットワークのセキュリティを強化するデバイスです。

    サービスを見る

    IBM Cloud Transit Gateway

    ネットワーク

    IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。

    サービスを見る

    Fortigateセキュリティー・アプライアンス

    ネットワーク

    2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。

    サービスを見る

    ハードウェア・ファイアウォール

    ネットワーク

    サービスを中断することなくオンデマンドでプロビジョニングされるセキュリティーの重要な層。

    サービスを見る

    2. すべてのシステム・コンポーネントに安全な構成を適用する

    Fortigateセキュリティー・アプライアンス

    ネットワーク

    2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。

    サービスを見る

    ハードウェア・ファイアウォール

    ネットワーク

    サービスを中断することなくオンデマンドでプロビジョニングされるセキュリティーの重要な層。

    サービスを見る

    IBM Z Security and Compliance Center

    セキュリティー

    ポリシーをコードとして定義し、安全なデータやワークロードを導入するための制御を実装し、セキュリティーとコンプライアンス体制を評価するための統合ソリューション・スイート。

    サービスを見る

    IBM Cloud Security and Compliance Center - ワークロード保護

    セキュリティー

    ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。

    サービスを見る

    IBM QRadar スイート

    セキュリティー

    IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。

    サービスを見る

    3. 保管されているカード会員データの保護

    IBM Key Protect for IBM Cloud

    セキュリティー

    IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。

    サービスを見る

    Security and Compliance Center - データ・セキュリティー・ブローカー - マネージャー

    セキュリティー

    セキュリティーおよびコンプライアンスセンタースイートのセキュリティーソリューション。一元化された暗号化ポリシーと、さまざまなデータソースにわたるデータの監査を提供します。

    サービスを見る

    IBM Cloud Hyper Protect Virtual Servers

    コンテナ

    完全に管理された機密コンピューティング・コンテナ・ランタイムであり、技術保証付きの高度に分離された環境で機密性の高いコンテナ化されたワークロードのデプロイメントを可能にします。

    サービスを見る

    IBM Cloud Hardware Security Module

    セキュリティー

    改ざん防止ハードウェア・デバイス内で暗号鍵をより安全に管理・処理・保管することで、暗号インフラを保護します。

    サービスを見る

    IBM Security Guardium

    セキュリティー

    脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。

    サービスを見る

    IBM Cloudストレージ・サービス

    ストレージ

    従来のワークロードとクラウドネイティブのワークロードをサポートしながら、スケーラブルでセキュリティが強化され、コスト効率の高いデータの保管場所。アクセス・オブジェクト、ブロック、ファイル・ストレージなどのサービスをプロビジョニングおよび導入します。

    サービスを見る

    IBM Cloud Databasesサービス

    データベース

    インフラストラクチャーとデータベース・ソフトウェアの導入・更新やインフラストラクチャーの運用、バックアップなど、複雑で時間のかかるタスクから開発者とIT部門を解放します。

    サービスを見る

    4. オープンなパブリック・ネットワークでの送信中に強力な暗号化を使用してカード保有者データを保護

    IBM Cloud Direct Link

    ネットワーク

    IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。

    サービスを見る

    IBM Cloud Transit Gateway

    ネットワーク

    IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。

    サービスを見る

    IBM Key Protect for IBM Cloud

    セキュリティー

    IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。

    サービスを見る

    5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護

    IBM Cloud Internet Services (CIS)

    ネットワーク

    IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。

    サービスを見る

    IBM Cloud Direct Link

    ネットワーク

    IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。

    サービスを見る

    Fortigateセキュリティー・アプライアンス

    ネットワーク

    2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。

    サービスを見る

    IBM QRadar スイート

    セキュリティー

    IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。

    サービスを見る

    IBM Security Guardium

    セキュリティー

    脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。

    サービスを見る

    6. 安全なシステム・ソフトウェアの開発・維持

    IBM Cloud Internet Services (CIS)

    ネットワーク

    IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。

    サービスを見る

    IBM Cloud Security and Compliance Center - ワークロード保護

    セキュリティー

    ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。

    サービスを見る

    IBM Security Guardium

    セキュリティー

    脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。

    サービスを見る

    IBM Cloud Container Registry

    コンテナ

    完全に管理されたプライベート・レジストリーにコンテナ・イメージを保存し、分配します。プライベート・イメージをプッシュして、IBM Cloud Kubernetes Service やその他のランタイム環境で便利に実行できます。

    サービスを見る

    IBM Cloud Continuous Delivery

    開発者用ツール

    エンタープライズ対応のDevOpsの採用。アプリの配信タスクをサポートするツールチェーンの作成。構築・テスト・導入などの自動化。

    サービスを見る

    IBM Cloud Kubernetes Service

    コンテナ

    ネイティブKubernetesエクスペリエンスで、セキュアで可用性の高いアプリをデプロイしましょう。

    サービスを見る

    7. ビジネス上の必要事項に応じて、システム・コンポーネントとカード会員データへのアクセスを制限

    IBM Cloud App ID

    セキュリティー

    Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。

    サービスを見る

    IBM Cloud Identity and Access Management (IAM)

    セキュリティー

    IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。

    サービスを見る

    8. ユーザーを識別し、システム・コンポーネントへのアクセスを認証

    IBM Cloud App ID

    セキュリティー

    Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。

    サービスを見る

    IBM Cloud Secrets Manager

    セキュリティー

    シークレットを動的に作成し、アプリケーションにリースしながら、単一の場所からアクセスを制御します。オープンソースのHashiCorp Vault上に構築されています。

    サービスを見る

    IBM Cloud Identity and Access Management (IAM)

    セキュリティー

    IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。

    サービスを見る

    9. カード会員データへの物理的なアクセス制限

    IBM Cloudは、物理的セキュリティーを強化するために以下のような対策を採用しています。

    セキュリティー
    • データセンター境界の物理的セキュリティー
    • 出入口のアクセス制御とロギング
    • 安全なオフィス、部屋、施設
    • 外部脅威や環境脅威に対する保護
    • 電源やネットワーク設備の冗長性
    • デプロビジョニング中の設備の安全な廃棄
    • オンボーディングやトレーニング、オフボーディングに関する企業の人事業務方針とセキュリティー
    サービスを見る

    10. システム・コンポーネントとカード会員データへのすべてのアクセスをログに記録して監視する

    IBM Cloud Flow Logs for VPC

    ネットワーク

    仮想プライベートクラウド(VPC)内のネットワーク・インターフェースとの間で送受信されるInternet Protocol(IP)トラフィックに関する情報の収集・保管・表示を実現します。

    サービスを見る

    IBM QRadar スイート

    セキュリティー

    IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。

    サービスを見る

    IBM Cloud Identity and Access Management (IAM)

    セキュリティー

    IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。

    サービスを見る

    IBM Security Guardium

    セキュリティー

    脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。

    サービスを見る

    IBM Cloud Logs

    ロギングとモニタリング

    IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。

    サービスを見る

    IBM Cloud Monitoring

    ロギングとモニタリング

    インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング

    サービスを見る

    11. システムとネットワークのセキュリティを定期的にテストする

    IBM Z Security and Compliance Center

    セキュリティー

    ポリシーをコードとして定義し、安全なデータやワークロードを導入するための制御を実装し、セキュリティーとコンプライアンス体制を評価するための統合ソリューション・スイート。

    サービスを見る

    IBM Cloud Security and Compliance Center - ワークロード保護

    セキュリティー

    ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。

    サービスを見る

    IBM QRadar スイート

    セキュリティー

    IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。

    サービスを見る

    IBM Security Guardium

    セキュリティー

    脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。

    サービスを見る

    12. 組織のポリシーとプログラムによる情報セキュリティーのサポート

    IBM Z Security and Compliance Center

    セキュリティー

    ポリシーをコードとして定義し、安全なデータやワークロードを導入するための制御を実装し、セキュリティーとコンプライアンス体制を評価するための統合ソリューション・スイート。

    サービスを見る

    IBM Cloud Security and Compliance Center - ワークロード保護

    セキュリティー

    ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。

    サービスを見る

    IBM Cloud Logs

    ロギングとモニタリング

    IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。

    サービスを見る

    IBM Cloud Monitoring

    ロギングとモニタリング

    インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング

    サービスを見る

    よくあるご質問

    PCI DSSコンプライアンス要件とは

    PCI DSSの最新バージョン(v4.0)は、2022年3月にリリースされました。これはカード会員データを保護するための12の要件を列挙しています。組織はコンプライアンスを達成するために、2025年3月31日までにこれらの要件を実装する必要があります。

    ネットワーク・セキュリティー制御のインストールと保守

    ネットワーク・セキュリティ制御(NSC)には、ファイアウォールや仮想デバイス、コンテナ・システム、クラウド・セキュリティー・システム、およびシステムやデータへのアクセスを制御するその他のテクノロジーが含まれる場合があります。

    すべてのシステム・コンポーネントに安全な構成を適用する

    ベンダーが提供するデフォルトのパスワードやその他のデフォルトのシステム設定は、サイバー攻撃に対して脆弱であるため、使用しないのが賢明です。

    保管されているカード会員データを保護する

    ビジネス上の必要性がない限り、組織はカード会員データを保管すべきではありません。保管する場合は、暗号化やマスキングその他の手段によって読み取り不能にする必要があります。

    オープンなパブリック・ネットワーク経由での送信中に強力な暗号化を使用してカード会員データを保護する

    ハッカーがカード番号や個人を特定できる情報(PII)などの機微情報にアクセスするのを阻止するには、パブリック・ネットワークの送信前や送信中にデータを暗号化する必要があります。

    すべてのシステムとネットワークを悪意のあるソフトウェアから保護する

    スパイウェアやキーロガー、ランサムウェア、スクリプトその他のウイルスなどのマルウェアに対するウイルス対策ソフトウェアやその他の防御を維持します。

    安全なシステムとソフトウェアの開発と保守

    組織は、アプリの開発時に最新のセキュリティー・パッチを適用し、安全なプラクティスに従うことで、データ侵害のリスクを最小限に抑えられます。

    ビジネス上の必要に応じてシステム・コンポーネントとカード会員データへのアクセスを制限する

    強力なアクセス制御手段により、承認済みユーザーには、ジョブの実行に必要なカード保有者情報のみが表示されるようにする必要があります。

    ユーザー識別とシステム・コンポーネントへのアクセス認証

    追跡可能な認証データを備えた一意のIDは、コンピューターから機微なシステムやデータにアクセスできるすべてのユーザーに割り当てられる必要があります。

    カード会員データへの物理的なアクセス制限

    権限のない人物がカード会員データを含むハードウェアやハードコピーを持ち出せないように、システムへの物理的なアクセスを制限する必要があります。

    システム・コンポーネントとカード保有者データへのアクセスをすべてログに記録し、監視します

    機微なシステムとデータのロギングと監視を自動化する機能は、不審なアクティビティーを検知し、侵害後のフォレンジック分析をサポートするのに役立ちます。

    システムとネットワーク・セキュリティーを定期的にテストする

    サイバー犯罪者は変化するIT環境における新たな脆弱性を常に探しているため、ペネトレーション・テストと脆弱性スキャンを定期的に実行する必要があります。

    組織のポリシーとプログラムによる情報セキュリティーのサポート

    組織は、リスクの特定と管理、継続的なセキュリティー意識教育プログラム、PCI DSSの遵守に関する手順を概説した包括的な情報セキュリティー・ポリシーを作成する必要があります。

    PCI DSSの報告と文書化の要件とは

    PCI DSSによって管理される組織は、毎年コンプライアンスを文書化する必要があります。大規模な組織は、詳細なコンプライアンス報告書(ROC)ならびにコンプライアンス証明書(AOC)を提出する必要があります。ROCとAOCの文書は両方ともPCI標準セキュリティー評議会によって認定された認定セキュリティー評価者(QSA)が作成・署名する必要があります。中小規模の組織は、セルフアセスメント質問票(SAQ)の記入でコンプライアンス検証を行えます。

    組織がインターネット経由でカード保有者データの送信を行う場合、安全なネットワークを維持するために脆弱性管理の実装も必要になる場合があります。コンプライアンスを達成するには、PCI SSCによって認定された承認済みスキャン・ベンダー(ASV)が四半期ごとに脆弱性スキャンを実行してネットワーク・セキュリティーをテストする必要があります。

    PCI DSSの報告要件は、組織が年間処理する取引数に応じて異なります。コンプライアンスには4つのレベルがあります。

    レベル1

    年間ペイメントカード取引数600万件超。認定セキュリティー評価者が作成したコンプライアンスに関する報告書の提出が必要。認定スキャン・ベンダーによる四半期ごとのネットワーク脆弱性スキャンの実行が必要。

    レベル2

    年間ペイメントカード取引数100万から600万件。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。

    レベル3

    年間ペイメントカード取引数20,000〜100万件。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。

    レベル4

    年間カード取引件数20,000件未満。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。

    PCI DSSの実施法

    加盟店や決済サービス・プロバイダーはPCI DSSに従う必要がありますが、その遵守は法律や官公庁、さらにはPCI セキュリティー基準評議会によっても強制されるものではありません。その代わり、コンプライアンスは、VisaやMasterCardなどのクレジットカード会社と、カード支払いを処理する銀行や金融機関であるアクワイアラー(加盟店管理会社)によって管理されています。

    カード会員データの処理または保管する組織は、年に1回、PCI DSSへの準拠を検証する必要があります。組織が支払い処理を外部委託する場合でも、クレジットカード取引がPCI DSS基準要件に従って保護されていることを確認する必要があります。

    コンプライアンス違反に対する罰則とは

    PCI DSS違反に対する罰金は、ペイメントカード・ブランドによって設定され、ブランドや加盟店またはサービス・プロバイダー、ならびに影響を受ける銀行やその他の金融機関の間で交渉されます。ペイメントカード・ブランドは、罰金や手数料体系を公表しておらず、通常、ペナルティ情報を一般に公開していません。

    経験則として、違反に対する罰金は、違反の最初の3か月間は5,000~10,000米ドル、違反が6か月間続いた後は1か月あたり50,000~100,000米ドルの範囲になります。データ侵害が発生した場合、不遵守の加盟店やサービス・プロバイダーには、顧客1人当たり50~90米ドル、最高50万米ドルの罰金が科される可能性があります。

    ペイメントカード・ブランドは独自の裁量でさらに高額な罰金を課すことができ、組織のPCI DSS不遵守、特にデータ侵害につながる不遵守に対する最終交渉による罰金は、調査費用や官公庁・自治体からの請求、集団訴訟などの費用を賄うために数百万ドルから数億ドルにまで高騰する可能性があります。

    罰金が発生するだけでなく、不遵守の組織はペイメントカード取引処理停止の処分を受けることがあります。

    PCI DSSコンプライアンスのメリットとは

    機微データの保護

    カード会員データを含むデータ侵害の結果は深刻です。罰金や法的罰則、風評被害に加えて、組織は現在の顧客と潜在的な顧客の両方を失う可能性があります。PCI DSSの要件は、機微データの盗難防止に有用です。

    顧客の信頼の向上

    詐欺や個人情報盗難が頻繁にニュースになるため、消費者は機微なクレジットカード情報を小売業者に提供することに消極的になることがあります。PCI DSSコンプライアンスにより、顧客は自分のデータが保護されていると信頼できるようになり、より安心して購入できるようになります。

    より広範な規制コンプライアンスのサポート

    PCI DSSは法的義務ではありませんが、PCI DSSが実施するセキュリティー管理は、組織が政府規制に準拠する上で有用です。PCI DSSの一部は、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA法)やサーベンス・オクスリー法(SOX)、一般データ保護規則 (GDPR)などのデータ保護法を補完するものです。

    関連ソリューション
    IBM Z Security and Compliance Center

    ハイブリッド・マルチクラウド環境全体で統合セキュリティー、コンプライアンス、リスクの可視化に取り組みます。

    IBM Z Security and Compliance Centerはこちら
    IBM Cloud ソリューション

    安全でスケーラブルなインフラストラクチャーを低コストで構築しましょう。新しいアプリケーションを即座にデプロイし、需要に応じてミッションクリティカルなワークロードや機微なワークロードをスケールアップします。これらはすべて、セキュリティーが強化されたプラットフォーム内で行われます。

    ソリューションはこちら
    次のステップ

    コンプライアンス・プログラムについて、ご質問がありますか?保護されたコンプライアンス・レポートが必要ですか?当社がお手伝いいたします。保護されたコンプライアンス・レポートが必要ですか?当社がお手伝いいたします。

    準拠プログラムの詳細はこちら