クレジットカード情報を安全につかいたい!どの会社なら信用できる?③
顧客情報を守るために時間とお金を投資!PCI DSSに準拠している企業
前回はPCI DSS認定を受ける方法について説明をしました。今回はPCI DSSの要件について解説します。
PCI DSSの要件
PCI DSSでは6つの目標とそれに対応する12の要件を掲げています。
安全なネットワークとシステムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして維持する
2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
3.保存されるカード会員データを保護する
4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持
5.マルウェアに対してすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
6.安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する
8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11.セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
12.すべての担当者の情報セキュリティに対応するポリシーを維持する
これらの要件を満たすのは簡単ではありません。つまり、PCI DSSに準拠している会社は、顧客情報を守るために時間とお金を投資している、とても信頼のおける会社と考えることができます。
まとめ
3回にわたって、安全なクレジットカード利用にむけた国際統一ガイドラインであるPCI DSSについて紹介しました。サーバー攻撃が高度化する現代において、いつも使っているお店やECサイトが安全かどうか不安になることもあるでしょう。そんなときは事業者がPCI DSSに準拠しているか調べてみるといいかもしれません。