PCI DSS(ペイメントカード業界データセキュリティ基準) について

PCI DSS (Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティ基準) とは、加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、カード情報セキュリティの国際的なデータセキュリティ基準です。

PCI DSS は、国際ペイメントブランド5社(VISA、マスターカード、JCB、アメックス、ディスカバー)が策定した基準ですが、同5社が共同で設立したPCI SSC (Payment Card Industry Security Standards Council)によって運用、管理されています。

対象となる組織

カード情報を「保存」、「処理」、または「伝送」するすべての組織。加盟店、イシュア、アクワイアラ銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS に準拠する必要があります。

基準の概要

PCI DSSは、セキュリティマネジメント、方針、手順、手法、ネットワーク構造、ソフトウェアデザインおよびその他カード情報を保護するための手法に関する要求事項を多面的に規定しています。

PCI DSSでは、6つの目的を達成するために12の要件事項が規定されています。

これら12の要件は、さらに詳細を規定した約400項目の要求基準で構成されています。

PCI DSSの日本語文書は、下記のPCI SSCのWebページで公開されています。

PCI DSS の日本語文書 >

準拠の方法

PCIDSSに準拠するためには、カード情報の取扱い形態や規模によって、以下の3つの方法のうち、いくつかに対応する必要があります。

 

  • SAQ(自己問診)

    アンケート形式の「自己問診票」の各項目に回答し、すべて「Yes」で埋まれば準拠を認めらます。カード情報取扱い件数の比較的少ない組織は、この方法での準拠が認められています。

 

  • QSA(審査機関)による訪問審査

    カード情報の取り扱い規模の大きな組織は、PCI SSCによって認定されたQSA(Qualified Security Assessor)の審査を受けて、認証を取得することを要請されています。

    BSIジャパンは、QSAとしてPCI DSSの訪問審査を提供しています。


    BSIジャパンPCI DSSのページへ

 

  • ASV(スキャニングベンダー)による脆弱性スキャン

    インターネットに接続されている機器の脆弱性に問題がないかを確認する目的で、PCI SSCによって認定されたASV(Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、脆弱性のないことの認証を得ることが要請されています。