情報セキュリティマネジメント試験 用語辞典

PCI DSS
【Payment Card Industry Data Security Standard】ぴーしーあいでぃーえすえす
カード会員のデータセキュリティを強化し、均一なデータセキュリティ評価基準の採用をグローバルに推進するためにクレジットカードの国際ブランド大手5社共同(VISA,MasterCard,JCB,AmericanExpress,Diners Club)により策定された標準化基準。クレジットカード関連サービスを提供する企業は、カード会員データを保護するためにPCI DSSに規定された技術面および運用面の要件をセキュリティ基準のベースラインとして利用することができる。
基準内には12の要件が定義され、これらの要件を満たすための詳細要件およびテスト手順が規定されている。
別名:
PCIデータセキュリティ基準
分野:
セキュリティ技術評価 » セキュリティ評価
出題歴:
29年春期問26 
重要度:

(Wikipedia PCIデータセキュリティスタン ードより)

PCIデータセキュリティスタンダードPCI DSS:Payment Card Industry Data Security Standard)は、
クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。
2010年10月28日に改訂版であるV2.0が発表された。このバージョンは2011年11月1日発効となる。
これに伴いV1.2は2011年10月31日に失効した。

管理団体

上記5社が(Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。PCI SSCが管理する基準にはPCI DSSの他にPA-DSS(Payment Application DSS)、PTS(PIN Transaction Secutity)がある。

準拠性確認

PCI DSSはカード会員情報を格納、処理、又は伝送するすべてのメンバー機関、加盟店、サービスプロバイダに対して適用するとされており、その内、カード取扱件数が多い事業者はPCI SSCが認定する審査会社による準拠性確認が必要とされている。

認定審査機関は次の種類がある。

QSA(Qualified Security Assessor): 訪問審査を行い、PCIDSSの順守状況を確認・判定する。
ASV(Approved Scanning Vendors): PCIDSS要件11.2に規定される、脆弱性スキャンサービスを提供するベンダー。

要件

PCI DSS(バージョン2.0)には、カード会員データおよび取り引き情報を保護するための12要件が規定されている。

安全なネットワークの構築と維持
要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3: 保存されたカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12: すべての担当者の情報セキュリティポリシーを整備する.

出題例

PCIデータセキュリティ基準(PCI DSS Version2.0)の要件のうち,詳細要件の選択肢として,WAFの導入を含むものはどれか。
  • 要件1:カード会員データを保護するために,ファイアウォールをインストールして構成を維持すること
  • 要件3:保存されるカード会員データを保護すること
  • 要件6:安全性の高いシステムとアプリケーションを開発し,保守すること
  • 要件7:カード会員データへのアクセスを,業務上必要な範囲内に制限すること

正解

「セキュリティ評価」に属する用語
「セキュリティ」の他のカテゴリ

クリエイティブ・コモンズ・ライセンス

このページのWikipediaよりの記事は、ウィキペディアの「PCIデータセキュリティスタン ード」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。

© 2015-2019 情報セキュリティマネジメント試験ドットコム All Rights Reserved.

Pagetop