セキュリティ基準のPCI DSS

クレジットカード業界にはPCI DSSというセキュリティー基準が設けられています。
これは2004年に5大ブランド(VISAやMASTERなど)が共同で策定されたもので、カード会員(カードホルダー)の個人情報をサイバー犯罪から守ることを目的としています。
もともとは各カードブランドそれぞれにセキュリティー基準を設けていましたが、時間や費用とアクワライアや加盟店の手間などを考慮し共同で策定されました。
PCI DSSには6つの目的と12個の基準が定められています。



■目的
(1)安全なネットワークの構築と維持
(2)カード会員(カードホルダー)のデータ保護
(3)脆弱性を管理するプログラム整備
(4)強固なアクセス制限方法の導入
(5)定期的なネットワークの監視及びテスト
(6)情報セキュリティポリシーの整備



■基準
(1)ファイアーウォールを導入し適切にシステムを維持する
(2)パスワードやその他セキュリティ類に民間のベンダーが提供する基本データを使用しない
(3)データを安全に保護する
(4)カード会員の情報などを送信する場合には、すべて暗号化する
(5)ウィルス対策ソフトを利用して定期的にその対策ソフトをアップデートする
(6)安全なシステムとアプリケーションを開発し保持する
(7)業務の目的ごとにカード会員(カードホルダー)のデータへアクセスを制限する
(8)コンピュータにアクセスできるスタッフを制限する
(9)カード会員(カードホルダー)の情報へのアクセスを制限する
(10)カード会員(カードホルダー)の情報へのアクセスを追跡及び監視する
(11)セキュリティシステムおよび管理手順を定期的にテストする
(12)従業員と契約社員のための情報セキュリティに関するポリシーを整備する

これらのように、カード会員(カードホルダー)の個人情報を守り安心に利用してもらうために厳しい基準を設けています。
ですが、最初に策定されたのが2004年なので、時代に合せて改訂されています。



厳重なセキュリティ基準ですが、これを準拠するメリットは、大きく4つの理由があります。
(1)準拠した企業の信用度やブランド力が上がる
(2)セキュリティポリシーが明確に隔離すされる事で、不正アクセスによるサイトの改ざんや情報漏洩、悪用などのリスクが少なくなる
(3)もし加盟店で準拠している場合には、万が一カード情報が流失し不正利用された場合にも、そのアクワライアへの損害補償義務がなくなる
(4)各企業でセキュリティ基準を設けているが、PCI-DSSに準拠することで、各社で基準を策定する必要がなくなる事で時間と労力が無くなる

これらのメリットがありますが、デメリットもあります。
例えば、パスワードの文字数がPCI-DSSの基準より少ない場合は、増やす必要があります。
システムの改造で桁数を増やすだけではなく、利用者すべてにパスワードを変更してもらわないとならないなど、時間とコストが必要となります。
また、PCI-DSSに準拠すると、PCI-DSSに準拠していないカードが使えなくなるなどのリスクもあります。
これらの事もあり、100%までなかなか普及していないのも事実です。