支払いカード業界データセキュリティ基準 (PCI DSS) - V4.0.1 コンプライアンスレポート
支払いカード業界データセキュリティ基準 (PCI DSS) コンプライアンスレポートは、カード会員のアカウントデータを保護するために設計された要件に対するアプリケーションのセキュリティを評価するのに役立ちます。
PCI DSS V4.0.1 について
支払いカード業界データセキュリティ基準 (PCI DSS) は、カード会員データのセキュリティを促進および強化し、世界的に一貫したデータセキュリティ対策の広範な採用を促進するために開発されました。PCI DSS は、アカウントデータを保護するために設計された技術的および運用上の要件の基準を提供します。
PCI DSS は、カード会員データを保護するための最低限の要件を含んでおり、リスクをさらに軽減するために追加のコントロールや実践によって強化することができます。また、地域、地方、セクターの法律や規制も考慮されます。さらに、法律や規制の要件により、個人情報やその他のデータ要素(例:カード会員名)の特定の保護が必要になる場合があります。PCI DSS は、地域や地方の法律、政府の規制、その他の法的要件を上回るものではありません。
PCI DSS のセキュリティ要件は、カード会員データ環境 (CDE) に含まれる、または接続されているすべてのシステムコンポーネントに適用されます。CDE は、カード会員データまたは機密認証データを保存、処理、または送信する人、プロセス、技術で構成されています。
「システムコンポーネント」には、ネットワークデバイス、サーバー、コンピューティングデバイス、およびアプリケーションが含まれます。システムコンポーネントの例としては、以下のものが含まれますが、これらに限定されません。
- セキュリティサービスを提供するシステム(例:認証サーバー)、セグメンテーションを促進するシステム(例:内部ファイアウォール)、またはCDEのセキュリティに影響を与える可能性のあるシステム(例:名前解決またはウェブリダイレクションサーバー)。
- 仮想化コンポーネントには、仮想マシン、仮想スイッチ/ルーター、仮想アプライアンス、仮想アプリケーション/デスクトップ、およびハイパーバイザーが含まれます。
- ネットワークコンポーネントには、ファイアウォール、スイッチ、ルーター、ワイヤレスアクセスポイント、ネットワークアプライアンス、およびその他のセキュリティアプライアンスが含まれますが、これらに限定されません。
- サーバーの種類には、ウェブ、アプリケーション、データベース、認証、メール、プロキシ、ネットワークタイムプロトコル(NTP)、およびドメインネームシステム(DNS)が含まれますが、これらに限定されません。
- アプリケーションには、購入済みおよびカスタムアプリケーション、内部および外部(例:インターネット)アプリケーションが含まれます。
- CDE内またはCDEに接続されているその他のコンポーネントまたはデバイス。
対象となるエンティティ
PCI DSSは、支払いカード処理に関与するすべてのエンティティに適用されます。これには、マーチャント、プロセッサー、アクワイアラー、イシュアー、サービスプロバイダー、およびカード会員データ(CHD)および/または機密認証データ(SAD)を保存、処理、または送信するその他のすべてのエンティティが含まれます。
PCI DSSの要件は、アカウントデータ(カード会員データおよび/または機密認証データ)が保存、処理、または送信される組織および環境に適用されます。いくつかのPCI DSS要件は、支払い業務やCDEの管理を外部委託している組織にも適用される場合があります。さらに、CDEや支払い業務を第三者に外部委託している組織は、該当するPCI DSS要件に従って第三者がアカウントデータを保護していることを確認する責任があります。
コンプライアンス違反の罰則
加盟店またはサービスプロバイダーがセキュリティ要件に準拠していない場合、またはセキュリティ問題を修正しない場合、カード会社は取得メンバーに罰金を科すか、加盟店またはその代理店に制限を課すことがあります。
コンプライアンスが必要な日
PCI DSSバージョン4.0.1は、PCI DSSバージョン4.0に取って代わり、2025年1月1日から有効です。PCI DSSバージョン4.0は、2024年12月31日以降、PCI DSSコンプライアンスには使用できません。
規制当局
PCIセキュリティ基準評議会、およびその創設メンバーであるAmerican Express、Discover Financial Services、JCB、MasterCard Worldwide、Visa International。
PCI DSS V4.0.1の脆弱性報告
次の表は、評価される特定のPCI DSS V4.0.1要件を示しています。アプリケーションで見つかった脆弱性は、これらの要件にマッピングされます。
| ID | 名前 (Name) |
|---|---|
| 要件2 | すべてのシステムコンポーネントに安全な構成を適用する |
| 要件2.2.2 | ベンダーのデフォルトアカウントが使用される場合、デフォルトパスワードは要件8.3.6に従って変更されます。ベンダーのデフォルトアカウントが使用されない場合、アカウントは削除または無効化されます。 |
| 要件2.2.4 | 必要なサービス、プロトコル、デーモン、および機能のみが有効化され、不要な機能はすべて削除または無効化されます。 |
| 要件2.2.6 | システムのセキュリティパラメータは誤用を防ぐように設定されています。 |
| 要件4 | オープンで公共のネットワーク上での送信中に強力な暗号化でカード会員データを保護します |
| 要件5 | すべてのシステムとネットワークを悪意のあるソフトウェアから保護します |
| 要件6 | 安全なシステムとアプリケーションを開発および維持します。 |
| 要件6.2.1 | 特注およびカスタムソフトウェアは安全に開発されます |
| 要件6.2.4.1 | ソフトウェア開発者によって、特注およびカスタムソフトウェアにおける一般的なソフトウェア攻撃および関連する脆弱性を防止または軽減するためのソフトウェア工学技術または他の方法が定義され、使用されています。これには、SQL、LDAP、XPath、または他のコマンド、パラメータ、オブジェクト、フォールト、またはインジェクションタイプの欠陥を含むインジェクション攻撃が含まれますが、これに限定されません。 |
| 要件6.2.4.2 | ソフトウェア開発者によって、特注およびカスタムソフトウェアにおける一般的なソフトウェア攻撃および関連する脆弱性を防止または軽減するためのソフトウェア工学技術または他の方法が定義され、使用されています。これには、バッファ、ポインタ、入力データ、または共有データを操作しようとする試みを含むデータおよびデータ構造への攻撃が含まれますが、これに限定されません。 |
| Requirement 6.2.4.3 | ソフトウェア開発者は、一般的なソフトウェア攻撃および関連する脆弱性を防止または軽減するために、ソフトウェア工学技術またはその他の方法を定義し、使用しています。これには、暗号化の使用に対する攻撃、弱い、または不適切な暗号化の実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みが含まれます。 |
| Requirement 6.2.4.4 | ソフトウェア開発者は、ビジネスロジックに対する攻撃を防止または軽減するために、ソフトウェア工学技術またはその他の方法を定義し、使用しています。これには、API、通信プロトコルおよびチャネル、クライアント側の機能、またはその他のシステム/アプリケーションの機能およびリソースの操作を通じて、アプリケーションの機能や機能を悪用または回避しようとする試みが含まれます。これには、クロスサイトスクリプティング(XSS)およびクロスサイトリクエストフォージェリ(CSRF)が含まれます。 |
| Requirement 6.2.4.5 | ソフトウェア工学技術やその他の方法は、カスタムおよび特注ソフトウェアにおける一般的なソフトウェア攻撃や関連する脆弱性を防止または軽減するために、ソフトウェア開発者によって定義され、使用されています。これには、アクセス制御メカニズムへの攻撃、識別、認証、または認可メカニズムを回避または悪用しようとする試み、またはそのようなメカニズムの実装における弱点を利用しようとする試みが含まれますが、これに限定されません。 |
| 要件 6.3 | セキュリティ脆弱性が特定され、対処されます |
| 要件 6.3.2 | カスタムおよび特注ソフトウェアに組み込まれたサードパーティソフトウェアコンポーネントのインベントリが維持され、脆弱性およびパッチ管理を容易にします。 |
| 要件 6.3.3 | すべてのシステムコンポーネントは、適用可能なセキュリティパッチ/アップデートをインストールすることにより、既知の脆弱性から保護されます。 |
| 要件 6.4 | 公開されているウェブアプリケーションは攻撃から保護されます。 |
| 要件 6.5.6 | テストデータおよびテストアカウントは、システムが本番稼働に入る前にシステムコンポーネントから削除されます。 |
| 要件 7 | 業務上必要な範囲でシステムコンポーネントおよびカード会員データへのアクセスを制限します。 |
| 要件 7.1 | システムコンポーネントおよびカード会員データへのアクセスは、そのようなアクセスが必要な業務を行う個人にのみ制限されます。 |
| 要件 7.2.2 | アクセスは、職務分類と機能、および職務責任を遂行するために必要な最小限の特権に基づいて、ユーザー(特権ユーザーを含む)に割り当てられます。 |
| 要件 7.2.6 | すべてのユーザーによる保存されたカードホルダーデータのリポジトリへのアクセスは、次のように制限されています。アプリケーションまたは他のプログラム的な方法を介して、ユーザーの役割と最小限の特権に基づいてアクセスと許可されたアクションが決定されます。責任ある管理者のみが保存されたCHDのリポジトリに直接アクセスまたはクエリを実行できます。 |
| 要件 8.2.8 | ユーザーセッションが15分以上アイドル状態の場合、ユーザーは端末またはセッションを再活性化するために再認証が必要です。 |
| 要件 8.3.1 | ユーザーおよび管理者のシステムコンポーネントへのすべてのユーザーアクセスは、次の認証要素の少なくとも1つを介して認証されます。知っているもの(パスワードまたはパスフレーズなど)。持っているもの(トークンデバイスまたはスマートカードなど)。あなた自身であるもの(生体要素など) |
| 要件 8.3.2 | 強力な暗号化が使用され、すべての認証要素が送信およびすべてのシステムコンポーネントでの保存中に読み取れないようにされます。 |
| 要件 8.6.2 | インタラクティブログインに使用できるアプリケーションおよびシステムアカウントのパスワード/パスフレーズは、スクリプト、構成/プロパティファイル、または特注およびカスタムソースコードにハードコードされていません。 |
| 要件 11.4 | 外部および内部の侵入テストが定期的に実施され、悪用可能な脆弱性とセキュリティの弱点が修正されます。 |