情報セキュリティに携わると、「PCI DSS(ピーシーアイディーエスエス)」という言葉を耳にします。
PCI DSSとは何でしょうか?
お忙しい情報セキュリティ関係者のために、1分で説明いたします。
PCI DSS は Payment Card Industry Data Security Standard の頭文字をとったものです。
「クレジットカード業界の情報セキュリティ基準」ですね。
クレジットカード事業では、顧客情報と金銭情報を扱うため、様々な業種の中でも厳格なルールが明確に定められています。
そのため、クレジットカード以外の業種でも、参考にされているのです。
PCI DSSの文書はこちらからダウンロードできます。
https://ja-pci.onelink-translations.com/
(目次より抜粋)
PCI DSS 要件およびセキュリティ評価手順の詳細
項目 | 要件 |
---|---|
安全なネットワークとシステムの構築と維持 | 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する 要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
カード会員データの保護 | 要件3: 保存されるカード会員データを保護する 要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
脆弱性管理プログラムの維持 | 要件5: すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する 要件6: 安全性の高いシステムとアプリケーションを開発し、保守する |
強力なアクセス制御手法の導入 | 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する 要件8: システムコンポーネントへのアクセスを識別・認証する 要件9: カード会員データへの物理アクセスを制限する |
ネットワークの定期的な監視およびテスト | 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 要件11: セキュリティシステムおよびプロセスを定期的にテストする |
情報セキュリティポリシーの維持 | 要件12: すべての担当者の情報セキュリティに対応するポリシーを維持する |
PCI DSSでは、上記12の要件について、それぞれ具体的な指針を示しています。
セキュリティ系の基準の中では、「現場に落とし込みやすい」と評価されています。
(ISO27001:ISMS、JIS Q 15001:Pマーク、などと比較して)
弊社も「セキュリティポリシー策定支援」、「中長期計画策定支援」などのサービスの開発で参考にしており、大いに役立っています。