PCIDSS適合次世代WAF
:PCIDSS適合証明書取得モデル
PCIDSSとは?
加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。
Payment Card Industry Data Security Standardsの頭文字をとったもので、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
導入が必要な企業
カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS 準拠する必要があります。カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。
PCI DSS遵守の対応が想定されるお客様
イシュアー、アクワイアラー、サービス・プロバイダー、加盟店
- 金融業 :
- クレジットカード会社、クレジットカード発行金融機関
- 流通業 :
- 大手百貨店、スーパー、量販店、鉄道、航空会社
- 通信/メディア/公共 :
- 携帯電話会社、通信会社、ユーティリティ、新聞
- 製造業 :
- 石油業界 他
PCIDSS 12個の概要
※PCIDSS 要件とセキュリティ評価手順 バージョン2.0参照
| PCI データセキュリティ基準 -概要 | ||
|---|---|---|
| 安全なネットワークの 構築と維持 |
1. | カード会員データを保護するために、ファイアウォールをインストールして構成を維持する。 |
| 2. | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない。 | |
| カード会員データの保護 | 3. | 保存されるカード会員データの保護。 |
| 4. | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する。 | |
| 脆弱性管理プログラムの 整理 |
5. | アンチウイルスソストウェアまたはプログラムを使用し、定期的に更新する。 |
| 6. | 安全性の高いシステムとアプリケーションを開発し、保守する。 | |
| 強固なアクセス逝去手法 の導入 |
7. | カード会員データへのアクセスを、業務上必要な範囲内に制御する。 |
| 8. | コンピュータにアクセスできる各ユーザに一意のIDを割り当てる。 | |
| 9. | カード会員データへの物理アクセスを制御する。 | |
| ネットワークの定期的な 監視およびテスト |
10. | ネットワークリソースおよびカード会員データへのすべてを追跡および監視する。 |
| 11. | セキュリティシステムおよびプロセスを定期的にテストする。 | |
| 情報セキュリティポリシー の整備 |
12. | すべての担当者の情報セキュリティポリシーを整備する。 |
WAFと関係がある項目
要件6:安全性の高いシステムとアプリケーションを開発し、保守する
- PCIDSS要件6.6
- 一般公開されているWebアプリケーションは、常時、新しい脅威と脆弱性に対処し、以下のいずれかの手法によって既知の攻撃から保護する必要がある
- 一般公開されているWebアプリケーションは、アプリケーションのセキュリティ脆弱性を手動/自動で評価するツールまたは手法によって少なくとも年1回および何らかの変更を加えた後にレビューする
- 一般公開されているWebアプリケーションの手前にWebアプリケーションファイアウォールをインストールする
WAPPLES(ワップル)はPCIDSSの適合証明を取得
適合証明取得において、WAPPLESはPCIDSSバージョン1.2、要件6.6オプション2を満たしました。
PCI-DSS 適合証明書 2009年12月
PCISSC(PCIセキュリティ基準協議会)承認のQSAC(認定審査機関)であるテュフラインランドジャパン株式会社(https://www.tuv.com/japan/jp/)が実施している100種類以上のテストに合格しました。
