PCIとは何ですか?PCIコンプライアンスの重要性を理解する

PCI DSSは、Payment Card Industry Data Security Standardの略です。 会社概要 がクレジットカード情報を処理、保存、または送信する場合、PCI DSS コンプライアンスは非常に重要です。

PCI DSSは、カード会員情報を安全に使用、保存、および送信することを保証します。ルールに従うことは、業界のベストプラクティスです。あなたはあなたの会社概要が信頼できることをあなたの顧客に証明します。

しかし、PCIに準拠していない場合、ビジネスに支障をきたす可能性のある高額な罰金が科せられる可能性もあります。

PCIコンプライアンスとは何ですか?

ガイドラインは、PCIコンプライアンスプロセスを開始します。会社概要 が何を期待されているかを理解し、それに応じてプロセスを構築する必要があります。 その後、ドキュメントが始まります。カード会員データを安全に保つためにできる限りのことをしていることを証明する必要があります。

PCIコンプライアンスはPCIのITから始まります。 Payment Card Industry Councilは、2006年に以下の代表者によって設立されました。

• アメリカン・エキスプレス
• ディスカバー
• JCBインターナショナル
• マスターカード
• 査証

各会社概要は、協議会の責任を平等に分担し、すべての企業がビジネスパートナーにPCI DSSの遵守を求めています。

PCIは、データセキュリティ標準(DSS)を作成し、次のようなサポート資料を作成しました。

• 仕様フレームワーク
• ツールキット
• 測定ガイド
• サポート資料

カード所有者データを受け入れ、保存、または送信する会社概要 は、PCI DSS に準拠している必要があります。 非常に小規模な会社概要や、サードパーティの支払いプロセッサと連携する会社概要でも、準拠する必要があります。

コンプライアンスに違反した場合、 セキュリティ侵害インシデントごとに最大500,000万ドル の罰金が科せられる可能性があります。さらに、攻撃にさらされた可能性のあるすべての人に通知する必要があり、その通知にはコストがかかる可能性があります。

消費者は、独立してあなたを訴えることを選択する場合もあります。また、政府から罰金が科せられる可能性もあります。

PCIに準拠していますか?

収集するカード会員データの安全性について思い込みをしないでください。ガイドラインの内容を把握し、コンプライアンスを確保するためのプロセスを順を追って説明します。

PCI DSS標準は6ゴールでスタートします。 各会社概要は、次のことを行う必要があります。

1. 安全なネットワークを構築して維持します。
2. カード会員データを保護します。
3. 脆弱性管理プログラムを維持します。
4. 強力なアクセスコントロール対策を実施します。
5. ネットワークを定期的に監視およびテストします。
6. 情報セキュリティポリシーを維持します。

これらの目標を達成するにはどうすればよいでしょうか?PCI DSS 要件 には、手順が示されています。

1. ファイアウォールから始めます。 ファイアウォールをインストールして保守し、侵入者を締め出すために可能な限りITを構成します。
2. パスワードを強化します。 デバイスに付属のパスワードを使用せず、パスワード ベストプラクティスに従っていることを確認する方法を探してください。
3. ストレージで保護します。 カード所有者データを保存する場合は、ITをセキュリティで囲むようにしてください。
4. 移行中を保護します。 ネットワーク間でデータを移動する場合は、IT が暗号化されていることを確認してください。
5. 攻撃を阻止します。 ウイルス対策プログラムをインストールし、常に最新の状態に保ちます。
6. 引き締める。 安全なシステムを作成し、維持します。
7. 電子アクセスを制限します。 すべてのユーザーがカード所有者のデータに触れることを許可しないでください。ITについて知る必要がある人だけがITを見ることができるようにします。
8. 追跡する. 会社概要 コンピューターにアクセスできる各ユーザーに一意の ID を付与します。
9. 物理的なアクセスを制限します。 カード会員データのハードコピーを全員が触ることを許可しないでください。
10. 試験。 定期的なテストスケジュールを設定し、ITに従ってください。
11. 成文化する。 従業員と契約社員のセキュリティに関するポリシーを詳しく説明したドキュメントを作成します。

PCIコンプライアンスレベルの説明

カード会員のデータを収集するすべての会社概要 PCI DSSコンプライアンスを達成するためには、どんなに小さなものであっても必要です。 しかし、より大きな会社概要は、彼らがルールを理解し、理解していることを証明するために、より多くのステップを踏む必要があります。

ビザを検討してください。この会社概要 ( 世界最大の主要な決済ネットワーク ) は、4 つのコンプライアンス レベルを作成します。

その 4 つのレベル は次のとおりです。

• レベル1。年間600万件以上のVisa取引を処理しているお客様は、このグループ(グループ)に属しています。
• レベル2。 年間100万から600万件のVisa取引を処理する場合、あなたはこのグループ(グループ)に属しています。
• レベル3。 年間20,000〜100万件のVisa取引を処理する場合、このグループ(グループ)に属しています。
• レベル4。 年間20,000件未満のVisa Eコマース取引を処理し、最大100万件のVisa取引を処理する場合、このグループ(グループ)に属します。

ルールは Group (グループ) から Group (グループ) に変更されません。 しかし、取引件数が多いほど直面するリスクはあります。その結果、Visaはコンプライアンスを証明するために、より大きな会社概要からより多くの書類を要求します。

小規模なLevel 4の会社概要の場合は、アンケートに回答するだけでよい場合があります。 ただし、Level 1 会社概要の場合は、2 つの会計フォームに記入する必要があります。

PCI DSSのすべきこととすべきでないこと

ルールはシンプルに見えるかもしれません。しかし、IT 部門は、収集したデータに対して何をすべきで、何をすべきでないかについて混乱しがちです。 いくつかのベストプラクティスを理解することが役立つかもしれません。

PCI DSS に準拠するには、次のことを行う必要があります。

• 遅れないようにしてください。 PCIを綿密にフォローし、新しいリリースについて読んでください。業界が変化し、新たなリスクが出現すると、従わなければならないルールも変わる可能性があります。
• リスク評価を実施します。 環境を定期的に評価します。懸念事項を特定したら、できるだけ早くリスクを軽減します。
• 定期的なトレーニングを開催します。 スタッフが放置されると、コンプライアンスを危険にさらす回避策(サーバー上のスプレッドシートにカード所有者データを保存するなど)を作成できます。スタッフの再教育を期待してください。

PCI DSS に準拠するために、次のことを行わないでください。

• パートナーシップは慎重に考えてください。 POSのハードウェアとソフトウェアに関する最良の案件を探す必要はありません。 あなたが協力する会社概要もPCI DSSに準拠しており、リスクを真剣に受け止めていることを確認してください。
• ネットワークをマージします。 カード所有者のデータは、会社概要のオープンサーバーに侵入したハッカーがアクセスできないようにする必要があります。 データを安全に保つために、できるだけ多くのセグメント化を行います。
• 忘れてください。 コンプライアンスは、常に変化する目標です。常にセキュリティを最優先に考えてください。

PCI DSSコンプライアンスを確保するためのパートナーをお探しなら、Oktaをご検討ください。ホワイトペーパーをダウンロードして 、コンプライアンスへの取り組みをどのように支援できるかをご覧ください。

参考文献

私たちに関しては。PCIセキュリティ標準評議会。

PCI-DSS:セキュリティペナルティ。カリフォルニア大学サンタクルーズ校。

支払いのセキュリティの維持。PCIセキュリティ標準評議会。

Credit Card 会社概要: 15 Largest Issuers of 2021. CardRates.com。

PCIコンプライアンスは、貴社と貴社の顧客のデータを安全に保つのに役立ちます。査証。