HOME > すべての記事 > クレジットカードの基本豆知識 > クレジットカードセキュリティの基準と言われているPCI DSSとは

クレジットカードの基本豆知識

クレジットカードセキュリティの基準と言われているPCI DSSとは

  • このエントリーをはてなブックマークに追加

クレジットカードを使う事ができる場所が増えて、今ではクレジットカードを使えないお店を探す方が難しいくらいの時代になりました。

もちろんクレジットカードをあちこちで使う事ができるようになると、セキュリティの問題で情報が漏えいしてしまったりする事も少なからずあります。

それでもセキュリティ基準が高くなった事によって、情報の漏えいが少ないのもまた事実です。それもこれもPCI DSSがあるからなのです。

今回はこのクレジットカードのセキュリティのPCI DSSについてのお話をしたいと思います。

PCI DSSはクレジットカードの国際セキュリティ基準の事

creditcard-security-pcidss02

クレジットカードはカードを持っているだけでは価値がありません。使えてなんぼですよね! クレジットカードを使うためには、そのクレジットカードを使える店舗がないといけません。

ですがクレジットカードを使用する事ができるようになるためには、セキュリティ対策をしっかりとしている店舗じゃないと扱えません。

そのクレジットカード会社のセキュリティの基準に達していないといけないだけではなく、それぞれのカード会社の規定内に入っていなければならないのです。

つまり店舗では扱う事ができるクレジットカードが多ければ多いほど、満たさないといけないセキュリティ基準が増えるという事になるわけです。

数種類のセキュリティ基準を一つにしたのがPCI DSS

creditcard-security-pcidss03

お客様の利便性を追求するために、扱う事ができるクレジットカードを増やすごとに、そのクレジットカード会社の基準を満たすセキュリティを入れていたのでは時間がかかりますし面倒です。

そこで登場したのがPCI DSSというセキュリティ基準なわけです。このセキュリティは5つの世界ブランドが共同で管理運営をしているセキュリティなのです。

クレジットカードの5大ブランドとは「VISA」「MastarCard」「JCB」「American Express」「Diners Club」です。

そしてこのセキュリティには6つの大きなセキュリティ基準と、12の要件が含まれています。

6つの基準と12の要件とは?

クレジットカードを使用する時に起こりうるあらゆる問題点の中でも、特に必要とされている項目を簡単にご紹介いたしましょう。

その1:安全なネットワーク構築と維持

要件1、ファイアウォールをインストールする事! 要件2、システムパスワードやセキュリティパラメータを変更する事、となっています。

これは基本中の基本ですよね。オリジナルで壊されにくいパスワードを設定する事や、ファイアウォールを入れてカード会員データを保護するという基本的な最低限必要なものです。

その2:カード会員データの保護

要件3、カード会員のデータは必ず保護する。カードを使用する事によって、顧客データは保存される事になりますので、この時のデータを盗まれたりしないように保護しなくてはならないわけです。

要件4、公共ネットワーク経由でカード会員データを送る時は暗号化しなくてはならない。これもデータを万が一盗まれてしまったり紛失してしまったりした場合でも、簡単にはデータが読み取れないようにするための措置です。

その3:脆弱性管理プログラムの維持

要件5:システムをマルウェアから保護する必要があり、ウイルス対策ソフトやウイルス対策プログラムを導入して、定期的に更新する必要がある。

要件6:安全性の高いシステム、また安全性の高いアプリケーションを開発する必要がある。それを保守する事ができる。

これも常にウイルスなどからデータを守るために必要な事です。さらにデータを守るためにアプリケーションやシステムを開発して情報をしっかりと守る事も必要だという事ですね。

その4:アクセス制御手法の導入をする

要件7、いつでもどんな事でもデータにアクセスする事ができるというのは危険なので、業務上必要最低限の範囲内にアクセスを制限する必要がある。

要件8、システムコンポーネントへのアクセスを確認して許可制にする必要がある。

要件9、保存してあるカード会員データへの物理的なアクセスをできないようにする。

これも保存してある顧客データが流出するのを防ぐためのものです。制限を設ける事によって情報の漏えいを防ぐ事ができるという事ですね。

その5:ネットワークの監視とテスト

要件10、ネットワークからのアクセスなどすべてのアクセスは追求する事ができる。監視する事ができる。

要件11、セキュリティシステムやそのプロセスについては定期的にテストをして常に最新の状態にする事。

ネットワークを定期的にテストする事によって、顧客情報への接触などを監視したり追跡したりする事ができる。より安全性を高める事ができる。

その6:セキュリティポリシーを維持する

要件12、担当している人の情報セキュリティに関するポリシーを維持する事。

この大きく分けた6つの基準、そして要件を満たしている事によって初めてクレジットカードを扱う事ができるお店になるわけです。

まとめ

creditcard-security-pcidss04

いかがでしたか? 言い換えれば、クレジットカードを扱っている店舗や会社はしっかりとしているという事になりますね。もちろんお客様のカードを預かった店員へのセキュリティについても問題はあります。

ですが認定を取得する事によって、より信頼される店舗となっているのは事実です。また、認定を受ける事は大変ですが、受けておく事によって問題が発生した場合には、損害の補償の義務が免責される事になります。

クレジットカードが使えるようになるのって、難しい事だったのだという事や、認定された店舗は信用ができるという事がわかりましたね。

  • このエントリーをはてなブックマークに追加

おすすめのクレカはこちら!

クレジットカードの基本豆知識カテゴリの関連記事