ECommerce Knowledgebase

大手クレジットカード会社は、個人情報の保護や、ペイメントカードを利用しての、トランザクション処理の際のセキュリティ強化のため、PCI遵守基準（PCI (Payment Card Industry) compliance standards）を策定した。

金融機関・クレジットカード会社・販売業者など、ペイメントカード業界全体に対し、クレジットカードを容認する場合は、これら基準に従わなければならないとしている。遵守基準を満たさない業者は、クレジットカード会社や銀行から罰金を科せられ、場合によってはクレジットカードでの処理ができなくなる可能性もある。

PCI基準にはカテゴリーが6あり、販売業者はそのいづれもを満たすことが求められる。

1.　安全なネットワークの維持

この基準は、カード会員情報が丸見えになっていると懸念されている、実際のネットワークに適用される。オンラインビジネスの場合、この種の脆弱性が顕著に現れるのがウェブサーバであるが、幸いなことに、殆どのホスティング会社でネットワークの安全確保のための対策を講じている。しかしながら、この基準には“目には見えない部分”が存在する。
例えば、あなたはカード会員情報をノートパソコンに保存し、同じパソコンでインターネットに接続してはいないだろうか？　あなたのオフィスネットワークには、ファイアウォールがインストールされているだろうか？　もしくは適切なセキュリティ対策がきちんと機能しているだろうか？

要するに、カード会員に関する個人情報が、コンピューターに保存されているのであればどんな場合においても、そのコンピューターは（情報を保護するために）ファイアウォールをインストールする必要があるし、適切なセキュリティ対策を講じる必要がある。

2.　カード会員情報の保護

このカテゴリーでは、カード会員情報の保存及び送信方法について説明している。カード会員情報を保存する際には、情報を保護することが義務付けられている。情報の保護とは即ち、限られた人のみ、その情報にアクセスできるということ。実際にクレジットカード番号を保存する場合には、そのデータを暗号化して保存することになるだろう。そうすれば、もし仮に誰かがそのデータベースにアクセスしたとしても、その中の情報を解読することはできない。

またEコマースビジネスでは、カード会員情報の送信方法にも、特に注意を払わなければならない。顧客がサイト上で商品を購入する際、カード会員情報はインターネットを経由して送信されることになる。PCI基準を満たすためには、少なくとも128ビットのSSL暗号化強度がなければならない。
 
3.　脆弱性管理プログラムの維持

これに関しては、システムを常に更新していくこと、に尽きる。脆弱性露出は、コンピューターのハードウエアの更新、システム及びソフトウエアの動作を定期的に行えば、最小限に抑えることができる。システムが脆弱性の影響を受けやすいのであれば、定期的にウイルススキャンを行うと同時に、アンチウイルスソフトを更新することも、基準を満たすためには必須とされる。

カテゴリー4〜6については、後編で。

この記事の原文はWhat Is PCI Compliance And Should Merchants Be Concerned About It?を参照のこと。

Popularity: 36% [?]

関連する記事

• PCI（ペイメントカード産業データセキュリティ基準）を遵守するということ―後編―

トラックバックURI http://ecnews.ds-style.com/pci-compliance/trackback/