ペイメントカード業界データ・セキュリティー基準(PCI DSS)は、カード保有者のデータ(カード保有者のプライマリー・アカウント番号(PAN)、氏名、有効期限、サービス・コード)およびその他のカード保有者の機微情報をライフサイクル全体にわたって保護するための一連のセキュリティー要件です。
PCI DSSは、カード会員データを保管・処理または送信する販売業者やサービス・プロバイダーまたはその他の組織、およびカード会員データを保管・処理または送信するシステムに接続されているすべての組織に適用されます。(これらのシステムは、カード会員データ環境(CDE)と呼ばれます。)PCI DSSは、カード保有者のデータを保護するために組織が実装する必要がある詳細なセキュリティー制御やプロセス、テストの概要を示しています。これらのセキュリティー対策は、eコマース取引やPOSシステム、ワイヤレス・ホットスポット、モバイル・デバイス、クラウド・コンピューティング、紙ベースのストレージ・システムなど、カード会員データ環境全体の幅広い機能領域をカバーします。
PCI DSSコンプライアンスには、販売業者とサービス・プロバイダーによる年次報告と、CDEの大幅な変更後の追加報告が必要です。コンプライアンスの検証には、組織のセキュリティー体制の継続的な評価ならびにセキュリティー・ポリシーやテクノロジー、手順のギャップに対処するための継続的な修復も含まれます。
組織やサービス・プロバイダーは認定審査機関(QSA)による評価を受けることができ、評価に合格するとQSAによって準拠証明書(AOC)が発行されます。
PCI DSSの最初のバージョンは、2004年にペイメントカード・ブランドのアメリカン・エキスプレスやディスカバー、JCBインターナショナル、マスターカード、ビザによってリリースされました。これらのブランドが、基準の技術的要件を管理するために共同でペイメントカード業界セキュリティー基準評議会(PCI SSC)を結成しました。 2020年に、PCI SSCは銀聯銀行カード協会を追加しました。PCI DSSは定期的に更新され、個人情報の盗難や詐欺、データ侵害など、ペイメントカード・データに対する最新のサイバーセキュリティーの脅威に対処しています。
IBMはPCI DSSのレベル1サービス・プロバイダーであり、お客様はIBM Cloudを使用してPCI-DSS準拠の環境とアプリケーションを構築できます。
IBM Cloudプラットフォーム・サービスには、多くの場合、認定審査機関(QSA)によって発行されたPCI DSS 準拠証明書(AOC)が付与されています。
PCI DSSの最新バージョン(v4.0)は、2022年3月にリリースされました。組織はコンプライアンスを達成するために、2025年3月31日までにこれら12の要件を実装する必要があります。
IBM Cloudは、特定のPCI DSS要件を満たし、コンプライアンスへの取り組みを加速するのに役立つ以下の一連のサービスを提供します。
1. ネットワーク・セキュリティー制御のインストールと保守 |
---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
IBM Cloudゲートウェイ・アプライアンス
ゲートウェイアプライアンスは、ネットワークトラフィックの制御を強化し、ネットワークのパフォーマンスを向上させ、ネットワークのセキュリティを強化するデバイスです。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
ハードウェア・ファイアウォール
サービスを中断することなくオンデマンドでプロビジョニングされるセキュリティーの重要な層。
2. すべてのシステム・コンポーネントに安全な構成を適用する |
---|
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
ハードウェア・ファイアウォール
サービスを中断することなくオンデマンドでプロビジョニングされるセキュリティーの重要な層。
IBM Z Security and Compliance Center
ポリシーをコードとして定義し、安全なデータやワークロードを導入するための制御を実装し、セキュリティーとコンプライアンス体制を評価するための統合ソリューション・スイート。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
3. 保管されているカード会員データの保護 |
---|
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
Security and Compliance Center - データ・セキュリティー・ブローカー - マネージャー
セキュリティーおよびコンプライアンスセンタースイートのセキュリティーソリューション。一元化された暗号化ポリシーと、さまざまなデータソースにわたるデータの監査を提供します。
IBM Cloud Hyper Protect Virtual Servers
完全に管理された機密コンピューティング・コンテナ・ランタイムであり、技術保証付きの高度に分離された環境で機密性の高いコンテナ化されたワークロードのデプロイメントを可能にします。
IBM Cloud Hardware Security Module
改ざん防止ハードウェア・デバイス内で暗号鍵をより安全に管理・処理・保管することで、暗号インフラを保護します。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloudストレージ・サービス
従来のワークロードとクラウドネイティブのワークロードをサポートしながら、スケーラブルでセキュリティが強化され、コスト効率の高いデータの保管場所。アクセス・オブジェクト、ブロック、ファイル・ストレージなどのサービスをプロビジョニングおよび導入します。
IBM Cloud Databasesサービス
インフラストラクチャーとデータベース・ソフトウェアの導入・更新やインフラストラクチャーの運用、バックアップなど、複雑で時間のかかるタスクから開発者とIT部門を解放します。
4. オープンなパブリック・ネットワークでの送信中に強力な暗号化を使用してカード保有者データを保護 |
---|
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
IBM Cloud Transit Gateway
IBM Cloud Transit Gateway は、IBM Cloud Virtual Private Cloud (VPC) ネットワークの接続と管理に役立ちます。
IBM Key Protect for IBM Cloud
IBM Key Protect for IBM Cloudサービスは、IBM Cloudサービス全体でアプリの暗号化された鍵をプロビジョニングして保管するのに役立ちます。これにより、データ暗号化と鍵のライフサイクル全体を1か所から確認および管理できます。
5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護 |
---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Direct Link
IBM Cloud Direct Linkのスピードと信頼性により、パブリック・インターネットに接触することなく、組織のデータセンター・ネットワークを拡張できます。
Fortigateセキュリティー・アプライアンス
2組のFortiGate仮想アプライアンスを環境に導入すると、仮想インフラストラクチャー内に重要なセキュリティー制御を実装することでリスクを軽減できます。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
6. 安全なシステム・ソフトウェアの開発・維持 |
---|
IBM Cloud Internet Services (CIS)
IBM Cloud Internet Services は、外部の Web コンテンツとインターネット・アプリケーションがクラウドに到達する前に、市場をリードするセキュリティーとパフォーマンスをもたらします。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Container Registry
完全に管理されたプライベート・レジストリーにコンテナ・イメージを保存し、分配します。プライベート・イメージをプッシュして、IBM Cloud Kubernetes Service やその他のランタイム環境で便利に実行できます。
IBM Cloud Continuous Delivery
エンタープライズ対応のDevOpsの採用。アプリの配信タスクをサポートするツールチェーンの作成。構築・テスト・導入などの自動化。
IBM Cloud Kubernetes Service
ネイティブKubernetesエクスペリエンスで、セキュアで可用性の高いアプリをデプロイしましょう。
7. ビジネス上の必要事項に応じて、システム・コンポーネントとカード会員データへのアクセスを制限 |
---|
IBM Cloud App ID
Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
8. ユーザーを識別し、システム・コンポーネントへのアクセスを認証 |
---|
IBM Cloud App ID
Webアプリやモバイル・アプリケーションに認証を簡単に追加できます。多要素認証やシングル・サインオンなどの高度なセキュリティー機能でアプリを強化します。
IBM Cloud Secrets Manager
シークレットを動的に作成し、アプリケーションにリースしながら、単一の場所からアクセスを制御します。オープンソースのHashiCorp Vault上に構築されています。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
9. カード会員データへの物理的なアクセス制限 |
---|
IBM Cloudは、物理的セキュリティーを強化するために以下のような対策を採用しています。
10. システム・コンポーネントとカード会員データへのすべてのアクセスをログに記録して監視する |
---|
IBM Cloud Flow Logs for VPC
仮想プライベートクラウド(VPC)内のネットワーク・インターフェースとの間で送受信されるInternet Protocol(IP)トラフィックに関する情報の収集・保管・表示を実現します。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Cloud Identity and Access Management (IAM)
IBM Cloud Identity and Access Managementサービスは、ユーザーを安全に認証し、IBM Cloudプラットフォーム内のすべてのリソースへのアクセスを一貫して制御します。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
IBM Cloud Logs
IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング
11. システムとネットワークのセキュリティを定期的にテストする |
---|
IBM Z Security and Compliance Center
ポリシーをコードとして定義し、安全なデータやワークロードを導入するための制御を実装し、セキュリティーとコンプライアンス体制を評価するための統合ソリューション・スイート。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM QRadar スイート
IBM Security QRadar Suiteは、セキュリティー・アナリストの体験を統一し、インシデント・ライフサイクル全体のスピードを加速させるために設計、近代化された脅威検出および対応ソリューションです。
IBM Security Guardium
脆弱性を発見し、オンプレミスおよびクラウドの機微データを保護する、IBM Securityポートフォリオのデータ・セキュリティー・ソフトウェア。
12. 組織のポリシーとプログラムによる情報セキュリティーのサポート |
---|
IBM Z Security and Compliance Center
ポリシーをコードとして定義し、安全なデータやワークロードを導入するための制御を実装し、セキュリティーとコンプライアンス体制を評価するための統合ソリューション・スイート。
IBM Cloud Security and Compliance Center - ワークロード保護
ソフトウェアの脆弱性を見つけて優先順位を付け、脅威を検知して対応し、ソースから実行までの構成や権限、コンプライアンスを管理しましょう。
IBM Cloud Logs
IBM Cloud Logsでログのオブザーバビリティーを高め、インフラストラクチャーとアプリの性能を向上させましょう。
IBM Cloud Monitoring
インフラストラクチャー、クラウド・サービス、アプリケーションのクラウド・モニタリングとトラブルシューティング
PCI DSSの最新バージョン(v4.0)は、2022年3月にリリースされました。これはカード会員データを保護するための12の要件を列挙しています。組織はコンプライアンスを達成するために、2025年3月31日までにこれらの要件を実装する必要があります。
ネットワーク・セキュリティー制御のインストールと保守
ネットワーク・セキュリティ制御(NSC)には、ファイアウォールや仮想デバイス、コンテナ・システム、クラウド・セキュリティー・システム、およびシステムやデータへのアクセスを制御するその他のテクノロジーが含まれる場合があります。
すべてのシステム・コンポーネントに安全な構成を適用する
ベンダーが提供するデフォルトのパスワードやその他のデフォルトのシステム設定は、サイバー攻撃に対して脆弱であるため、使用しないのが賢明です。
保管されているカード会員データを保護する
ビジネス上の必要性がない限り、組織はカード会員データを保管すべきではありません。保管する場合は、暗号化やマスキングその他の手段によって読み取り不能にする必要があります。
オープンなパブリック・ネットワーク経由での送信中に強力な暗号化を使用してカード会員データを保護する
ハッカーがカード番号や個人を特定できる情報(PII)などの機微情報にアクセスするのを阻止するには、パブリック・ネットワークの送信前や送信中にデータを暗号化する必要があります。
すべてのシステムとネットワークを悪意のあるソフトウェアから保護する
スパイウェアやキーロガー、ランサムウェア、スクリプトその他のウイルスなどのマルウェアに対するウイルス対策ソフトウェアやその他の防御を維持します。
安全なシステムとソフトウェアの開発と保守
組織は、アプリの開発時に最新のセキュリティー・パッチを適用し、安全なプラクティスに従うことで、データ侵害のリスクを最小限に抑えられます。
ビジネス上の必要に応じてシステム・コンポーネントとカード会員データへのアクセスを制限する
強力なアクセス制御手段により、承認済みユーザーには、ジョブの実行に必要なカード保有者情報のみが表示されるようにする必要があります。
ユーザー識別とシステム・コンポーネントへのアクセス認証
追跡可能な認証データを備えた一意のIDは、コンピューターから機微なシステムやデータにアクセスできるすべてのユーザーに割り当てられる必要があります。
カード会員データへの物理的なアクセス制限
権限のない人物がカード会員データを含むハードウェアやハードコピーを持ち出せないように、システムへの物理的なアクセスを制限する必要があります。
システム・コンポーネントとカード保有者データへのアクセスをすべてログに記録し、監視します
機微なシステムとデータのロギングと監視を自動化する機能は、不審なアクティビティーを検知し、侵害後のフォレンジック分析をサポートするのに役立ちます。
システムとネットワーク・セキュリティーを定期的にテストする
サイバー犯罪者は変化するIT環境における新たな脆弱性を常に探しているため、ペネトレーション・テストと脆弱性スキャンを定期的に実行する必要があります。
組織のポリシーとプログラムによる情報セキュリティーのサポート
組織は、リスクの特定と管理、継続的なセキュリティー意識教育プログラム、PCI DSSの遵守に関する手順を概説した包括的な情報セキュリティー・ポリシーを作成する必要があります。
PCI DSSによって管理される組織は、毎年コンプライアンスを文書化する必要があります。大規模な組織は、詳細なコンプライアンス報告書(ROC)ならびにコンプライアンス証明書(AOC)を提出する必要があります。ROCとAOCの文書は両方ともPCI標準セキュリティー評議会によって認定された認定セキュリティー評価者(QSA)が作成・署名する必要があります。中小規模の組織は、セルフアセスメント質問票(SAQ)の記入でコンプライアンス検証を行えます。
組織がインターネット経由でカード保有者データの送信を行う場合、安全なネットワークを維持するために脆弱性管理の実装も必要になる場合があります。コンプライアンスを達成するには、PCI SSCによって認定された承認済みスキャン・ベンダー(ASV)が四半期ごとに脆弱性スキャンを実行してネットワーク・セキュリティーをテストする必要があります。
PCI DSSの報告要件は、組織が年間処理する取引数に応じて異なります。コンプライアンスには4つのレベルがあります。
レベル1
年間ペイメントカード取引数600万件超。認定セキュリティー評価者が作成したコンプライアンスに関する報告書の提出が必要。認定スキャン・ベンダーによる四半期ごとのネットワーク脆弱性スキャンの実行が必要。
レベル2
年間ペイメントカード取引数100万から600万件。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。
レベル3
年間ペイメントカード取引数20,000〜100万件。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。
レベル4
年間カード取引件数20,000件未満。セルフアセスメント質問票(SAQ)の回答が必要。四半期ごとのネットワーク脆弱性スキャンの実行が必要になることもある。
加盟店や決済サービス・プロバイダーはPCI DSSに従う必要がありますが、その遵守は法律や官公庁、さらにはPCI セキュリティー基準評議会によっても強制されるものではありません。その代わり、コンプライアンスは、VisaやMasterCardなどのクレジットカード会社と、カード支払いを処理する銀行や金融機関であるアクワイアラー(加盟店管理会社)によって管理されています。
カード会員データの処理または保管する組織は、年に1回、PCI DSSへの準拠を検証する必要があります。組織が支払い処理を外部委託する場合でも、クレジットカード取引がPCI DSS基準要件に従って保護されていることを確認する必要があります。
PCI DSS違反に対する罰金は、ペイメントカード・ブランドによって設定され、ブランドや加盟店またはサービス・プロバイダー、ならびに影響を受ける銀行やその他の金融機関の間で交渉されます。ペイメントカード・ブランドは、罰金や手数料体系を公表しておらず、通常、ペナルティ情報を一般に公開していません。
経験則として、違反に対する罰金は、違反の最初の3か月間は5,000~10,000米ドル、違反が6か月間続いた後は1か月あたり50,000~100,000米ドルの範囲になります。データ侵害が発生した場合、不遵守の加盟店やサービス・プロバイダーには、顧客1人当たり50~90米ドル、最高50万米ドルの罰金が科される可能性があります。
ペイメントカード・ブランドは独自の裁量でさらに高額な罰金を課すことができ、組織のPCI DSS不遵守、特にデータ侵害につながる不遵守に対する最終交渉による罰金は、調査費用や官公庁・自治体からの請求、集団訴訟などの費用を賄うために数百万ドルから数億ドルにまで高騰する可能性があります。
罰金が発生するだけでなく、不遵守の組織はペイメントカード取引処理停止の処分を受けることがあります。
機微データの保護
カード会員データを含むデータ侵害の結果は深刻です。罰金や法的罰則、風評被害に加えて、組織は現在の顧客と潜在的な顧客の両方を失う可能性があります。PCI DSSの要件は、機微データの盗難防止に有用です。
顧客の信頼の向上
詐欺や個人情報盗難が頻繁にニュースになるため、消費者は機微なクレジットカード情報を小売業者に提供することに消極的になることがあります。PCI DSSコンプライアンスにより、顧客は自分のデータが保護されていると信頼できるようになり、より安心して購入できるようになります。
より広範な規制コンプライアンスのサポート
PCI DSSは法的義務ではありませんが、PCI DSSが実施するセキュリティー管理は、組織が政府規制に準拠する上で有用です。PCI DSSの一部は、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA法)やサーベンス・オクスリー法(SOX)、一般データ保護規則 (GDPR)などのデータ保護法を補完するものです。
ハイブリッド・マルチクラウド環境全体で統合セキュリティー、コンプライアンス、リスクの可視化に取り組みます。
安全でスケーラブルなインフラストラクチャーを低コストで構築しましょう。新しいアプリケーションを即座にデプロイし、需要に応じてミッションクリティカルなワークロードや機微なワークロードをスケールアップします。これらはすべて、セキュリティーが強化されたプラットフォーム内で行われます。