何だろう?
情報セキュリティに携わると、「PCI DSS(ピーシーアイディーエスエス)」という言葉を耳にします。
PCI DSSとは何でしょうか?
お忙しい情報セキュリティ関係者のために、1分で説明いたします。

PCI DSS は Payment Card Industry Data Security Standard の頭文字をとったものです。
「クレジットカード業界の情報セキュリティ基準」ですね。

クレジットカード事業では、顧客情報と金銭情報を扱うため、様々な業種の中でも厳格なルールが明確に定められています。
そのため、クレジットカード以外の業種でも、参考にされているのです。

PCI DSSの文書はこちらからダウンロードできます。
https://ja-pci.onelink-translations.com/

(目次より抜粋)
PCI DSS 要件およびセキュリティ評価手順の詳細

項目 要件
安全なネットワークとシステムの構築と維持 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
要件2: システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護 要件3: 保存されるカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持 要件5: すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入 要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: システムコンポーネントへのアクセスを識別・認証する
要件9: カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト 要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持 要件12: すべての担当者の情報セキュリティに対応するポリシーを維持する

PCI DSSでは、上記12の要件について、それぞれ具体的な指針を示しています。
セキュリティ系の基準の中では、「現場に落とし込みやすい」と評価されています。
(ISO27001:ISMS、JIS Q 15001:Pマーク、などと比較して)

弊社も「セキュリティポリシー策定支援」、「中長期計画策定支援」などのサービスの開発で参考にしており、大いに役立っています。

おすすめの記事