PCI DSS徹底解説
はじめに
PCI DSSとは?
クレジットカードの会員情報保護を目的として策定されたカード情報セキュリティの国際統一基準です。
クレジットカードのシステム以外には関係無いの?
ISMSやPマークなどの規格で求められている管理策よりもはるかに具体的であることから、個人情報保護や営業秘密保護のためのベースラインとして参考になります。
さらに、世の中の流れに追従して改訂され、関連基準・参考情報が追加されてきていますので
- 脆弱性スキャンや脆弱性診断、ペネトレーションテストの実施観点、頻度
- 二要素認証、多要素認証が求められるポイント
- クラウド利用時において考慮すべきセキュリティ、責任分界点
- SaaSとして提供されるソフトウェアのセキュリティ
- スマートフォンやタブレットのアプリケーションのセキュリティ
- 機密情報、機微情報の無価値化
- サプライチェーンにおけるセキュリティ管理
などを考慮するうえでも、PCI DSSや他の関連基準、およびそれらの追加情報を参考とすることはとても有効です。
「PCI DSS徹底解説」の目的は?
より安全なカード社会の実現を目指し、PCI DSSおよびその関連基準、追加情報を解説しています。クレジットカード情報の保護にとどまらず、セキュリティ対策を考慮するうえでも参考としていただければ幸いです。
2024年
EC事業者がクレジットカード・セキュリティガイドライン5.0版およびSAQ(自己問診)で求められるセキュリティ対策とは ~SAQ AとSAQ A-EPの違いと主な要件~
2023年
PCI DSS Version 4.0における変更点のポイント 第二回 ~ 未来日付の新規要件について~
2022年
「PCI DSS Version 4.0における変更点のポイント 第一回 ~移行スケジュールと主な変更点の概要~
2020年
PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その5:SSFの認定プログラムとまとめ
PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その4:Secure Software Lifecycle Standardの概要
PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その3:Secure Software Standardのコントロール目標
PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その2:Secure Software Standardの概要
新型コロナウイルス(COVID-19)と PCI DSS リモート評価
2019年
クラウドサービス利用時のPCI DSS準拠のポイント② ~PCI DSS Implementation Considerationsの概要~
「非保持化」対応後の加盟店に求められるセキュリティ対策
PCI の新たなソフトウェアセキュリティ基準 Software Security Framework - その1:Framework の概要
2018年
当社が翻訳協力した「PCI DSS v3.2.1 日本語版」が公開されました
クラウドサービス利用時のPCI DSS準拠のポイント ~PCI DSS Responsibility Matrixとは~
求められる業界の連携情報の非保持化とPCI DSS準拠が要件に
これに伴い、偽造カードの使用や本人になりすましたカードの不正使用が後を絶たない状況だ。セキュリティ事業部 セキュリティコンサルティング担当 担当課長 シニアコンサルタントの羽生千亜紀は…
カード情報非保持化のための「PCI DSS Tokenization Guidelines」
実行計画では、加盟店におけるクレジットカード情報保護のため…
2017年
OWASP Top 10 2017 のリリースとPCI DSS要件の影響について
OWASP Top 10は、PCI DSS要件の中のアプリケーション開発(要件6)やペネトレーションテスト(要件11)などで参照されていることが多く…
PCI DSS維持活動のポイント~「Best Practices for Maintaining PCI DSS Compliance」の概要~
当社が翻訳協力した「PCI DSS SAQ v3.2 Rev. 1.0日本語版」が公開されました
「PCI DSS v3.2」と同様、JCDSC(日本カード情報セキュリティ協議会)のQSA部会有志によるワーキングにおいて…
当社が翻訳協力した「PCI DSS v3.2 日本語版」が公開されました
当社は、2016年5月より、JCDSC(日本カード情報セキュリティ協議会)のQSA部会有志によるワーキングにおいて、翻訳品質向上を目的に、翻訳、レビューを協働で行い、公開に向けてPCI SSCとの調整を進めてきました…
2020年オリンピック・パラリンピック東京大会開催に向けての SAQによるPCI DSSへの取組み
2016年
2020年オリンピック・パラリンピック東京大会開催に向けての 「Prioritized Approach for PCI DSS」活用のすすめ
PCI DSS v3.2主な変更点の解説
PCI DSS v3.2の公開と変更点一覧
PCI DSS v3.2 まもなくリリース
PCI SSCは2015年12月に公開されたSSLおよび初期のTLSからの移行期限の延長に関する通知[2][3]で、2016年にPCI DSS v3.1が更新される予定であるとしていましたが…
SSL/TLS 1.0 はいつまでに無効化しなければならないか?
2015年
脆弱なSSLおよびTLSからの移行期限の変更について
PCI SSC は、2015年4月に公開した PCI DSS 3.1 で、移行期限を2016年6月30日としていましたが、その後、ビジネス的制約および技術的制約に関するフィードバックを受け…
PCI DSS v3.1の公開と変更点の概要
対面/POS加盟店が考慮すべき5つのポイント(後編)
対面/POS加盟店が考慮すべき5つのポイント(前編)
SSL v3.0 の脆弱性とPCI DSSおよびPA-DSSの改訂について
~2014年
第01回 PCI DSSの概要 -起源とその必要性-
第02回 PCI DSSの概要 -PCI DSSの12要件を読み解く-
全ての文書は、PCI SSCのサイトからダウンロードすることができます…
第03回 ネットワークセグメンテーションによるアプローチ
https://www.pcisecuritystandards.org/pci_security/
PCI DSSバージョン1.2では、様々な項目について明確化、説明の付与などが行われ、より分かりやすく、必要に応じて柔軟になっています…
第04回 Prioritized Approachの活用
第05回 カード会員データを探せ
第06回 無線環境におけるセキュリティ対策
第07回 基準のライフサイクル変更でどうなるか?
今回は、ライフサイクルが変更された3つの基準のうち、PCI DSSとPA-DSSについて、ライフサイクルの主な変更点と今後の展開を説明したいと思います。
第08回 PCI DSS v2.0公開
現在PCI SSCからは、英語版のみ公開されており、日本語版の正式公開は後になる予定です。
日本国内ではPCI DSS対応企業が増えており、一日でも早い日本語での情報展開が期待されていることから、弊社では、株式会社日立ソリューションズと共同で"PCI DSSバージョン2.0 翻訳版"を作成、公開いたします…
第09回 ASVの役割と定期的なテスト
第10回 仮想環境に対するPCI DSSの視点…Part.1
第11回 仮想環境に対するPCI DSSの視点…Part.2
前半では、まず使用される言葉や概念の定義を行っており、PCI DSSにあまり依存しない形で…