セキュリティ基準のPCI DSS

クレジットカード業界にはPCI DSSというセキュリティー基準が設けられています。
これは2004年に5大ブランド(VISAやMASTERなど)が共同で策定されたもので、カード会員(カードホルダー)の個人情報をサイバー犯罪から守ることを目的としています。
もともとは各カードブランドそれぞれにセキュリティー基準を設けていましたが、時間や費用とアクワライアや加盟店の手間などを考慮し共同で策定されました。
PCI DSSには6つの目的と12個の基準が定められています。

■目的
(1)安全なネットワークの構築と維持
(2)カード会員(カードホルダー)のデータ保護
(3)脆弱性を管理するプログラム整備
(4)強固なアクセス制限方法の導入
(5)定期的なネットワークの監視及びテスト
(6)情報セキュリティポリシーの整備

■基準
(1)ファイアーウォールを導入し適切にシステムを維持する
(2)パスワードやその他セキュリティ類に民間のベンダーが提供する基本データを使用しない
(3)データを安全に保護する
(4)カード会員の情報などを送信する場合には、すべて暗号化する
(5)ウィルス対策ソフトを利用して定期的にその対策ソフトをアップデートする
(6)安全なシステムとアプリケーションを開発し保持する
(7)業務の目的ごとにカード会員(カードホルダー)のデータへアクセスを制限する
(8)コンピュータにアクセスできるスタッフを制限する
(9)カード会員(カードホルダー)の情報へのアクセスを制限する
(10)カード会員(カードホルダー)の情報へのアクセスを追跡及び監視する
(11)セキュリティシステムおよび管理手順を定期的にテストする
(12)従業員と契約社員のための情報セキュリティに関するポリシーを整備する

これらのように、カード会員(カードホルダー)の個人情報を守り安心に利用してもらうために厳しい基準を設けています。
ですが、最初に策定されたのが2004年なので、時代に合せて改訂されています。