最近、VisaとMasterCardは、加盟店とカードデータサービスプロバイダーからのPCI DSS標準を要求し始めました。 この点で、この規格の要件の問題は、市場の大企業だけでなく、小規模な取引およびサービス企業にとっても重要になります。
PCI DSS標準は、Payment Card Industry Security Standards Council(PCI SSC)によって開発され、組織の技術的側面と組織的側面の両方に影響する支払いカードデータ(WPC)のセキュリティを確保するための要件の特定のリストを規制します。
まず、この規格は、支払いカードのデータが保存、処理、または送信される情報インフラストラクチャの組織、およびこのデータのセキュリティに影響を与える可能性のある組織の要件を定義しています。 2012年半ば以降、WPCの保管、処理、転送に関与するすべての組織は、PCI DSSで定義された要件を満たしている必要があり、ロシア連邦の企業も例外ではありません。
会社がPCI DSS標準に準拠する必要があるかどうかを理解するには、2つの主な質問に答える必要があります。支払いカードのデータは組織で保存、処理、または送信されますか? また、組織のビジネスプロセスは、これらの支払いカードのセキュリティに影響を与える可能性がありますか? 両方の質問に対する答えが「いいえ」の場合、PCI DSS認定は必要ありません。
明らかに、標準に準拠するためには、特定の要件を満たす必要があります:コンピュータネットワークの保護、カード所有者のデータのアクセス制御、情報インフラストラクチャコンポーネントの構成、認証メカニズム、情報インフラストラクチャの物理保護、カード所有者の送信データの保護など。 一般に、この標準では約440のスクリーニング手順が必要です。
PCI DSS要件への準拠を検証するには、外部監査(QSA)、内部監査(ISA)、または自己評価(SAQ)など、さまざまな方法があります。
QSAの外部監査は、PCI SSC評議会によって認定された外部監査組織によって実行されます。 監査中、監査人は標準の要件に準拠している証拠を収集し、3年間保管します。
ISA内部監査は、トレーニングを受け、認定された内部PCI SSC取締役監査員によって実施されます。 SAQの自己評価については、自己評価シートに記入することにより独立して実施されます。 この場合、標準の要件に準拠している証明書のコレクションは必要ありません。
どのような状況で外部監査を実施する必要があり、どのような状況で内部監査を実施する必要があるのかという質問に答えるには、組織のタイプを調べて、年間の処理済みトランザクション数を見積もる必要があります。 貿易およびサービス企業とサービスプロバイダーの2種類の組織があるという分類があります。
貿易とサービス企業は、商品やサービスの支払いに支払いカード(ショップ、レストラン、オンラインストアなど)を受け入れる組織です。
サービスプロバイダーは、トランザクション処理に関連する支払いカード業界でサービスを提供する組織です(これらは、データセンター、ホスティングプロバイダー、国際決済システムなどです)。
1年間に処理されるトランザクションの数に応じて、商人とサービスプロバイダーを異なるレベルに割り当てることができます。 たとえば、販売およびサービス会社は、電子商取引を使用して年間最大100万件のトランザクションを処理します。
VisaとMasterCardの分類によれば、組織はレベル3に分類されます。したがって、PCI DSSへの準拠を確認するには、情報インフラストラクチャASV(承認済みスキャンベンダー)のコンポーネントの脆弱性の四半期ごとの外部スキャンとSAQの毎年の自己評価が必要です。
サービスプロバイダーについては、クラウドプロバイダーが提供するサービスの数は毎年増加しています。 したがって、クラウドインフラストラクチャを使用している組織では、PCI DSSホスティングの問題が重要になります。
PCI DSSホスティングは、認定されたPCI DSSホスティングプロバイダーの側にインフラストラクチャを展開し、その内部でペイメントカードデータが保存、処理、または送信される組織に対して、ペイメントカードの安全な処理を保証するサービスです。
そのようなサービスを選択することにより、組織はPCI DSS標準の要件の重要な部分を自動的に閉じます。これは、プロバイダーが要件の一部(たとえば、ホストサーバーの物理保護やオペレーティングシステムの管理)の履行を引き受けることを意味します。
ご存知のように、アウトソーシングは多くの問題を解決し、組織の生活を楽にします。 以前は、多くの企業が自社のサーバールームに情報インフラストラクチャを展開し、独自に標準に準拠するためのすべての要件を満たしていましたが、現在では多くの人々がこれらのタスクを認定サービスプロバイダーに提供しているため、カード処理環境のセキュリティレベルが向上し、起こりうる情報セキュリティインシデントによる経済的損失のリスクが低減されています。
独自のカード処理を使用している組織は、遅かれ早かれ、PCI DSS標準に従った認証の必要性に直面します。 認定サービスプロバイダーに適用すると、貿易およびサービス企業の認定プロセスが大幅に簡素化され、適切なレベルでの支払いカードデータの保護が保証されます。
PSHabréのブログからのその他の興味深い資料: