2021/07/29
この記事の目次
1.PCI DSSとは?始めに押さえる3つのポイント
- PCI DSSは、クレジットカード情報を安全に取り扱うために策定された、クレジットカード業界のセキュリティ基準です。
- クレジットカードを扱う(カード情報を保持する)全ての事業者が適用対象となります。
- 企業のPCI DSSへの準拠は要件が厳しく費用もかかるため、加盟店(店舗・ECサイト)は「カード情報の非保持化」対応がおすすめです。
PCI DSSは、「PCIデータセキュリティスタンダード(Payment Card Industry Data Security Standard)」の略称で、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
クレジットカードのセキュリティを強化推進する政府主導の取り組みである「クレジットカード・セキュリティガイドライン」(旧:クレジットカード取引におけるセキュリティ対策強化に向けた実行計画)が掲げる3本柱、「1.カード情報の漏えい対策」「2.偽装カードによる不正利用対策」「3.ECにおける不正利用対策」のうち、「1.カード情報の漏えい対策」として「PCI DSS準拠」または「カード情報の非保持化」が求められています。
PCI DSS制定の背景
以前は各カードブランドごとにセキュリティリスク管理プログラムがあり、加盟店は導入した各ブランドごとのセキュリティ基準を満たす必要がありました。しかし、ひとつの加盟店で複数ブランドのカードが使える仕組み(マルチアクワイヤリング)が普及する中で、セキュリティ対応コストが大きな課題となり、統一のセキュリティ対策基準として「PCI DSS」が設定されました。
自社でのPCI DSS対応は現実的ではない
PCI DSS認定取得には多くの場合、膨大なコストと時間が必要となるため、クレジットカード加盟店でのPCI DSS準拠はハードルが高く現実的ではありません。初回の認証取得後も、継続してPCI DSSに準拠した運用を行う必要があり、また2年に1度の更新が発生します。
費用面のハードル
- 初期費用:数千万円~
- 運用のための費用:月100万円~
運用面のハードル
- 最新のセキュリティ脆弱性への対応
- セキュリティ監視、記録、保管
- システムや業務の運用手順書の遵守
- 上記に伴う従業員教育
- 年1回の継続審査
- 約2年に1回のPCI DSSバージョンアップへの対応
多くの事業者が「カード情報の非保持化」を選択
そこで、多くの事業者が選択しているのは、クレジットカード決済をPCI DSS準拠事業者に委託する方法です。実行計画では、PCI DSS準拠事業者と提携し、「カード情報の非保持化」を行えば、カード情報の保護に対応したとされています。
非保持化について詳しく知りたいという事業者様は、下記のコラムをご覧ください。
2.PCI DSSの適用事業者と範囲
カード情報を「保存、処理、または伝送する」企業であるカード加盟店、銀行、決済代行などを行うサービス・プロバイダーは、年間のカード取引量に応じてPCI DSSに準拠する必要があります。
PCI DSS準拠の対応が必要な事業者
- クレジットカード発行会社
- クレジットカード加盟店契約会社
- 決済代行業者等(決済代行会社、ECモール・ECシステム提供会社)
- コード決済事業者等(QRコード決済提供会社等)サービス・プロバイダー
- 加盟店
PCI DSS準拠の対応が必要な業界の例
- 金融業:
- クレジットカード会社、クレジットカード発行金融機関
- 流通業:
- 大手百貨店、スーパー、量販店、鉄道、航空会社
- 通信/メディア/公共:
- 携帯電話会社、通信会社、ユーティリティ、新聞
- 製造業:
- 石油業界 他
PCI DSSの適用範囲
PCI DSS のセキュリティ要件は、カード会員データ環境に含まれる、または接続されるすべてのシステムコンポーネントに適用されます。カード会員データ環境(CDE)は、カード会員データまたは機密認証データを保存、処理、または送信する人、処理、およびテクノロジーで構成されます。「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューター、アプリケーションが含まれます。(以下略)
PCI DSSでは上記のように定義されています。難解ですが、おおまかには下記になります。
- クレジットカードリーダー
- POSシステム
- そのほかクレジットカード決済に関連するシステムとネットワーク
- クレジットカード情報を含む書類
- オンラインでの注文や支払い情報のデータ
自社のシステムだけでなく、委託先の業務やシステムも含まれることがあります。
DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら
3.PCI DSSの要件一覧
PCI DSSでは、クレジットカード情報を安全に取り扱うために、6つの目標とそれに対応する12の要件のもと、具体的な約400項目もの要求基準が定められています。
安全なネットワークの環境と維持 | |
---|---|
要件1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
要件2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
カード会員データの保護 | |
要件3 | 保存されるカード会員データを保護する |
要件4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
脆弱性管理プログラムの整備 | |
要件5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
要件6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
強力なアクセス制御手法の導入 | |
要件7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
要件8 | システムコンポーネントへのアクセスを確認・許可する |
要件9 | カード会員データへの物理アクセスを制限する |
ネットワークの定期的な監視およびテスト | |
要件10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
要件11 | セキュリティシステムおよびプロセスを定期的にテストする |
情報セキュリティポリシーの整備 | |
要件12 | すべての担当者の情報セキュリティに対応するポリシーを維持する |
4.PCI DSSの認定取得方法
PCI DSSの認定取得方法は、カード情報の取扱い形態や規模によって、3つの方法があります。いずれか1つの適用というわけでなく、カード情報の取扱い規模や事業形態によって、複数を実施する必要があります。
1 訪問審査
認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を取得します。カード発行会社など、クレジットカード情報の取扱い件数・金額が大きな事業者に、要請されている方法です。
2 サイトスキャン
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得ます。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
3 自己問診
自己問診とはセルフチェックです。チェックリストにそってPCI DSSの要求事項を確認し、すべて「Yes」であれば「PCI DSSに準拠している」と認められます。カード情報取扱い件数の比較的少ない一般加盟店などの事業者向けの方法です。
5.クレジットカード加盟店が要求されるPCI DSS準拠事項
取り扱うクレジットカードブランド(VISA, MASTERなど)と、クレジットカード決済の取り扱い件数(年100万件未満, 2万件未満など)によって、PCI DSSにどのレベルで準拠する必要があるかは異なります。一例としてVISAの分類を紹介します。
VISA:年間決済取扱い件数によるレベル分類と要件
レベル1 | レベル2 | レベル3 | レベル4 | |
---|---|---|---|---|
年間決済取扱件数 | ~2万件 | 2万件~ 100万件 |
100万件~ 600万件 |
600万件~ |
自己問診票(SAQ) | 必須 | 必須 | 必須 | |
四半期ごとに、ASVによる外部ネットワークの脆弱性スキャン | 必須 | 必須 | 必須 | |
四半期ごとに、ASVによる内部ネットワークの脆弱性スキャン | 必須 | 必須 | ||
ネットワーク層とアプリケーション層への内部・外部ペネトレーションテスト | 必須 | 必須 | ||
QSAによる訪問審査 | 推奨 | 必須 |
※サービズプロバイダーは、年30万件以上でレベル1、年30万件未満でレベル2への対応が必要
年間のクレジットカード決済件数が2万件未満であれば「自己問診票(SAQ)」のみでPCI DSSに準拠できます。取り扱い件数が増え、2万件~100万件になると「自己問診票(SAQ)」に加え、「外部ネットワークの脆弱性スキャン」が必要になります。取り扱い件数がさらに増えれば、PCI DSS準拠に必要な条件は厳しくなります。
タイプ別SAQ(自己問診)
自己問診のチェック項目は約400もありますが、条件によっては最小22項目まで減らすことができます。全てのカード決済処理を外部委託するリンク型のクレジットカード決済を利用しているECサイトなどが該当し、「SAQ A」タイプと呼ばれます。
加盟店の業態 | カード情報の取扱い形態 | 求められる PCI DSS SAQ タイプ |
準拠 項目数 (付録含) |
---|---|---|---|
非対面EC/通信販売加盟店 | |||
|
EC または通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない | SAQ A | 22 |
|
EC の決済を PCI DSS 準拠済みのサービスプロバイダーに部分的に委託している EC の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない | SAQ A-EP |
193 |
対面/通信販売加盟店 ※EC加盟店には適用されない | |||
CCT などの決済端末をダイアルアップ接続する主に対面加盟店 | インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない | SAQ B | 41 |
CCT などの決済端末を IP接続する主に対面加盟店 | 決済ネットワークまたは ASP/クラウド事業者に IP 接続されるスタンドアロン型の PCI PTS 認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない | SAQ B-IP | 88 |
POS をインターネットに接続してカード処理する主に POS 加盟店 | POS システムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない加盟店 | SAQ C | 162 |
電話やハガキ/FAX でカード処理する主に通信販売加盟店 | Web ブラウザなどの仮装端末のみでインターネットを経由して、1件ずつカード情報を処理し、カード情報をコンピュータシステムに保存し ない。決済に利用する Web アプリケーションは PSP、アクワイアラーなどサードパーティから提供される必要がある | SAQ C-VT | 85 |
PCI P2PE ソリューションを導入した主に POS 加盟店 | PCI P2PE に認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない | SAQ P2PE | 33 |
対面/非対面加盟店 | |||
|
|
SAQ D Marchant |
331 |
DGフィナンシャルテクノロジーの決済サービスについて詳しく知りたい方はこちら
6.PCI DSSの要件への対応方法|弊社での実例をご紹介します
PCI DSSの要件に対するDGフィナンシャルテクノロジー(DGFT、旧ベリトランス)での対応方法を紹介します。非常に専門的な内容になるので、全て読む必要はありません。ざっと目を通して「専門的で手間のかかる項目が多数ある」ということをご認識ください。
安全なネットワークの環境と維持
No | 要件 | 対応方法 |
---|---|---|
1 | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する |
|
2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない |
|
カード会員データの保護
No | 要件 | 対応方法 |
---|---|---|
3 | 保存されるカード会員データを保護する |
|
4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する |
|
脆弱性管理プログラムの整備
No | 要件 | 対応方法 |
---|---|---|
5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
|
6 | 安全性の高いシステムとアプリケーションを開発し、保守する |
|
強固なアクセス制御手法の導入
No | 要件 | 対応方法 |
---|---|---|
7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
|
8 | システムコンポーネントへのアクセスを確認・許可する |
|
9 | カード会員データへの物理アクセスを制限する |
|
ネットワークの定期的な監視およびテスト
No | 要件 | 対応方法 |
---|---|---|
10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
|
11 | セキュリティシステムおよびプロセスを定期的にテストする |
|
情報セキュリティーポリシーの整備
No | 要件 | 対応方法 |
---|---|---|
12 | すべての担当者の情報セキュリティに対応するポリシーを維持する |
|
DGフィナンシャルテクノロジーでのPCI DSSへの対応方法について、より具体的な話は下記の記事にて紹介しています。興味のある方はチェックしてみてください。
急がれるPCI DSS準拠、ベリトランス(現:DGFT)はどう対応したのか。確実かつ効率的なソリューションは?
7.PCI DSS認定取得のプロセスと費用
要件の項目数を限定すれば簡単にも思えるPCI DSS対応ですが、実際には非常に多くの工数が必要です。
PCIDSS準拠までのタスクと流れ
1 スコープ調査 - PCI DSS準拠対象範囲の確定
カード会員情報の取り扱い範囲とPCI DSS準拠対応が必要な範囲を確定します。
2 ギャップ分析
自社のシステムや運用を確認し、PCIDSSの要求項目との「ギャップ分析」を行います。これに基づいて、必要な改善計画を策定します。
3 改善計画の立案と実装
改善計画に基づいて、システムへの実装や運用の変更を行います。実装後は、改善を確認します。PCI DSSのすべての要件が満たされるように改善します。
4 テスト実施
「ASVスキャン」や「ペネトレーションテスト」によって脆弱性対応が完了していることをテストします。訪問審査に向けて、規程類や証跡を準備します。
5 訪問審査
QSAによる訪問審査を受けます。すべての審査にクリアするとPCIDSS準拠が認められます。準拠状態を維持する活動を継続します。
PCIDSS認証取得の費用
一般的には、PCI DSSの初回の認証取得までにかかる費用は小規模でも数千万円~、期間は半年~1年とされています。
PCIDSSの認定取得コスト(初回の場合)
費用 | 数千万円~ |
---|---|
期間 | 半年~1年 |
8.DGフィナンシャルテクノロジーは業界でいち早くPCI DSSに準拠
DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)は、決済代行サービスを提供する会社として日本で初めてPCI DSSに準拠し、以来多くの加盟店さまのクレジットカード情報を預かり「カード情報の非保持化」ソリューションを提供しています。長年に渡って最新のセキュリティ基準への対応を続けています。
DGフィナンシャルテクノロジーのセキュリティ・PCI DSSへの取り組みの歴史
- 2005年
- Pマーク取得(カード番号は個人情報として定義)
- 2006年
- 国内企業初のVISA AIS準拠(PCI DSS ver1.0)
- 2007年
- PCI SSC Participating Organizationに加盟
- 2007年
- PCI DSS ver1.1準拠
- 2009年
- PCI SSC PO Japan連絡会 発足メンバーとして参加
- 2011年
- PCI DSS ver2.0準拠
- 2013年
- サービス環境を全面リニューアル(PCI DSSを見据えて)
- 2014年
- ISMS取得(ISO/IEC27001)
- 2014年
- PCI DSS ver3.0準拠
- 2015年
- PCI DSS ver3.1準拠
- 2016年
- PCI DSS ver3.2準拠
- 2018年
- PCI DSS ver.3.2.1準拠
- 2019年
- PCI DSS ver.3.2.1更新
PCI DSS遵守維持宣言
このように準拠が非常に大変なPCI DSSですが、クレジットカードのセキュリティを守り、お客様に安心・安全なサービスを利用いただくために極めて重要なセキュリティ基準です。DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)では、「PCI DSS遵守維持宣言」としてまとめた文章を公表し、全社員で高いセキュリティの維持に取り組んでいます。
安心・安全なクレジットカード決済の導入ならDGFTにご相談ください
DGフィナンシャルテクノロジー(DGFT、旧ベリトランス)の提供する決済システム「VeriTrans4G」のクレジットカード決済は、事業者様でクレジットカード情報を取り扱う必要のない、非保持・非通過化に完全対応。国際セキュリティ基準「PCI DSS」に完全準拠した万全のシステムで、情報漏えいリスクを軽減します。
また、不正利用防止のため、3Dセキュア、セキュリティコード認証、不正検知ソリューションなど多彩なセキュリティオプションも提供。手間やコストを抑えて「クレジットカード・セキュリティガイドライン」の求めるセキュリティ基準に対応可能です。
これからクレジットカード決済システムを導入したい、現在の決済システムのセキュリティに不安がある、という事業者様はぜひお気軽にご相談ください。
公開日 2019/04/03、最終更新日 2021/07/29