分野：テクノロジ系
中分類：セキュリティ
小分類：セキュリティ技術評価

Payment Card Industry(PCI)データセキュリティ基準(DSS)は、カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA，MasterCard，JCB，AmericanExpress，Diners Club)により策定された基準です。
クレジットカード関連サービスを提供する企業は、カード会員データを保護するためにPCI DSSに規定された技術面および運用面の要件をセキュリティ基準のベースラインとして利用することができます。(PCI DSS本文より一部引用)

PCI DSSでは次に示す12の要件が定義され、これらの要件を満たすための詳細要件およびテスト手順が規定されています。WAF(Web Application Firewall)は、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するXSSやSQLインジェクション，OSコマンドインジェクションなどの攻撃を検知・遮断するソフトウェア(またはハードウェア)です。WAFはアプリケーションの脆弱性を防御する目的で設置されるので、該当する要件は「要件6：安全性の高いシステムとアプリケーションを開発し，保守すること」になります。

文書中では「6.6　一般公開されているWeb」の項で「アプリケーションの手前に、Web アプリケーションファイアウォールをインストールする」という詳細要件が示されています。

参考URL: PCI DSS v2.0
　https://ja.pcisecuritystandards.org/minisite/en/pci-dss-v2-0.php