顧客情報を守るために時間とお金を投資！PCI DSSに準拠している企業

前回はPCI DSS認定を受ける方法について説明をしました。今回はPCI DSSの要件について解説します。

PCI DSSの要件

PCI DSSでは6つの目標とそれに対応する12の要件を掲げています。

安全なネットワークとシステムの構築と維持

1．カード会員データを保護するために、ファイアウォールをインストールして維持する
2．システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護

3．保存されるカード会員データを保護する
4．オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの維持

5．マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6．安全性の高いシステムとアプリケーションを開発し、保守する

強力なアクセス制御手法の導入

7．カード会員データへのアクセスを、業務上必要な範囲内に制限する
8．システムコンポーネントへのアクセスを識別・認証する
9．カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト

10．ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11．セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの維持

12．すべての担当者の情報セキュリティに対応するポリシーを維持する

これらの要件を満たすのは簡単ではありません。つまり、PCI DSSに準拠している会社は、顧客情報を守るために時間とお金を投資している、とても信頼のおける会社と考えることができます。

まとめ

3回にわたって、安全なクレジットカード利用にむけた国際統一ガイドラインであるPCI DSSについて紹介しました。サーバー攻撃が高度化する現代において、いつも使っているお店やECサイトが安全かどうか不安になることもあるでしょう。そんなときは事業者がPCI DSSに準拠しているか調べてみるといいかもしれません。