PCIコンプライアンス
PCIコンプライアンスとは何ですか?
ペイメントカード業界(PCI)への準拠は、ペイメント業界でのクレジットカード取引のセキュリティを確保するためにクレジットカード会社によって義務付けられています。ペイメントカード業界のコンプライアンスとは、カード所有者によって提供され、カード処理トランザクションを通じて送信されるクレジットカードデータを保護および保護するために企業が従う技術的および運用上の基準を指します。コンプライアンスのためのPCI標準は、PCIセキュリティ標準評議会によって開発および管理されています。
##PCIコンプライアンスを理解する
連邦取引委員会(FTC)は、消費者保護と監視の必要性に該当するため、クレジットカード処理の監視に責任を負っています。 PCIコンプライアンスには必ずしも規制上の義務はありませんが、判例を通じて義務付けられていると見なされています。
一般に、PCIコンプライアンスは、クレジットカード会社のセキュリティプロトコルのコアコンポーネントです。これは通常、クレジットカード会社によって義務付けられており、クレジットカードネットワーク契約で議論されています。
PCI Standards Councilは、PCIコンプライアンスの標準の開発を担当しています。これらの標準はマーチャント処理に適用され、暗号化されたインターネットトランザクションの要件の概要にも拡張されています。クレジットカード業界の標準設定にも関連するその他の主要なエンティティには、カード協会ネットワークと全米自動決済機関(NACHA)が含まれます。
##PCIコンプライアンスの要件
PCIコンプライアンス基準では、マーチャントやその他の企業がクレジットカード情報を安全な方法で処理することを求めています。これにより、カード所有者が機密の金融口座情報を盗まれる可能性を減らすことができます。加盟店がPCI標準に従ってクレジットカード情報を処理しない場合、カード情報がハッキングされ、多数の不正行為に使用される可能性があります。さらに、カード所有者に関する機密情報が個人情報詐欺に使用される可能性があります。
PCIに準拠するということは、PCIStandardsCouncilによって定められた一連のガイドラインを一貫して順守することを意味します。 PCIコンプライアンスは、クレジットカードのセキュリティを管理する目的で2006年に設立された組織であるPCIStandardsCouncilによって管理されています。
評議会によって開発された要件は、Payment Card Industry Data Security Standards(PCI DSS)として知られています。 PCI DSSには、12の主要な要件、78の基本要件、および400を超えるテスト手順があります。ガイドラインは、セキュリティのベストプラクティスとも見なされます。その12の主要な要件は次のとおりです。
1.データを保護するためのファイアウォールを実装する
1.適切なパスワード保護
1.カード所有者のデータを保護する
1.送信されたカード会員データの暗号化
1.アンチウイルスソフトウェアを利用する
1.ソフトウェアを更新し、セキュリティシステムを維持します
1.カード会員データへのアクセスを制限する
1.データにアクセスできるユーザーに割り当てられた一意のID
1.データへの物理的なアクセスを制限する
1.アクセスログを作成および監視します
1.セキュリティシステムを定期的にテストします
1.文書化され、従うことができるポリシーを作成します
PCI DSSの最新バージョンは2018年5月にリリースされ、バージョン3.2.1と呼ばれています。全体として、6つの目標と12の要件は、クレジットカード処理業者が継続的に従わなければならない一連のステップの概要を示しています。企業はまず、情報技術インフラストラクチャ、ビジネスプロセス、およびクレジットカード処理手順を含むネットワークとシステムを評価するように求められます。
##PCIコンプライアンスの利点
社会保障や運転免許証番号などの機密性の高いカード所有者情報の盗難を可能な限り回避するには、セキュリティのギャップを常に維持および評価することも非常に重要です。
企業は、カード処理契約の一環として、コンプライアンスレポートを定期的に提供する必要があります。ペイメントカード業界のデータセキュリティ標準の監視、評価、および監査はすべて、企業のセキュリティ部門の重要な部分です。
クレジットカード情報を処理するすべての企業は、カード処理契約の指示に従ってPCIコンプライアンスを維持する必要があります。 PCIコンプライアンスは業界標準であり、PCIコンプライアンスがない場合、契約違反や過失に対して多額の罰金が科せられる可能性があります。 PCIに準拠していないと、企業は盗難、詐欺、およびデータ侵害に対して非常に脆弱になります。
95%
人為的ミスによって引き起こされたサイバーセキュリティ違反の割合。
コンプライアンスのメリットには、データ侵害のリスクの軽減、カード会員データの保護、個人情報の盗難の可能性の回避などがあります。データ侵害に関連する罰金を減らし、企業のブランドの評判を高め、顧客が責任ある企業と取引していることを顧客に満足させ、自信を持たせ、ブランドの忠誠心につながるため、企業が準拠することをお勧めします。
2020年の前半には、データ侵害によって360億件のレコードが公開されました。侵害の86%は金銭的な動機によるものであり、世界の情報セキュリティ市場は2020年に1,700億ドルに達すると予想されており、財務リスクはさらに高くなっています。カード会員データを保護することは、ビジネスに役立つだけでなく、人々が悪影響を受けたり、経済的損失を被ったりしないようにするための正しい行動でもあります。
##PCIコンプライアンスとデータ侵害
PCIコンプライアンスは、不正行為を回避し、データ侵害を軽減するのに役立ちます。 Verizonは、「VerizonPaymentSecurityReport」で支払いセキュリティの年次評価を提供しています。 2019年のレポートでは、「PCI DSSコンプライアンスの状況、2019年:および12の主要な要件」と呼ばれるセクション全体をPCIDSSに当てています。 「Verizon2019PaymentSecurityReport」のPCIDSSのハイライトには、次のものがあります。
-組織の36.7%は、2018年にPCIDSSプログラムを積極的に維持していました。
-アジア太平洋地域は、南北アメリカ、ヨーロッパ、中東、およびアフリカを上回りました。
-業界の観点からは、ホスピタリティは他のセクターよりもやや遅れています。
##PCIコンプライアンスに関するFAQ
PCI準拠とはどういう意味ですか?
PCI準拠とは、カード所有者のプライベートデータを受け入れ、送信、または保存する企業または組織が、データの安全性とプライベート性を確保するためにPCI SecurityStandardCouncilによって概説されているさまざまなセキュリティ対策に準拠していることを意味します。
PCIコンプライアンスは法律で義務付けられていますか?
PCIコンプライアンスを要求する規制上の義務はありませんが、判例を通じて義務付けられていると見なされています。
PCIに準拠するにはどうすればよいですか?
PCIに準拠するには、最初に、準拠するために従う必要のある自己評価質問票を決定する必要があります。アンケートに回答したら、PCISSC承認済みスキャンベンダーを使用して脆弱性スキャンに合格した証拠を完成させて保持する必要があります。スキャンは一部の販売者にのみ適用されます。次に、コンプライアンスの証明を完了する必要があります。最後のステップは、上記のすべての情報を送信することです。
PCIに準拠している必要があるのは誰ですか?
カード所有者の個人データを受け入れ、送信、または保存する会社または組織。
##結論
PCIコンプライアンスとは、組織が実装および維持する必要のあるPCIセキュリティ標準評議会によって設定された技術および運用標準を指します。 PCIに準拠することの目標は、カード会員データを保護することであり、そのデータを受け入れ、送信、または保存するすべての組織に適用されます。 PCIに準拠することは、消費者データの安全性を最優先し、ブランドの評判を高めることで組織に利益をもたらすという点で、優れたビジネス慣行です。
##ハイライト
-Payment Card Industry Data Security Standards(PCI DSS)に準拠し、それを達成している企業は、PCIに準拠していると見なされます。
-PCIに準拠することで、データ侵害を減らし、カード所有者のデータを保護し、罰金を回避し、ブランドの評判を向上させます。
-PCI DSSには、組織がPCIに準拠していることを確認するために、12の主要要件、78の基本要件、および400のテスト手順があります。
-PCI Security Standards Councilは、PCIDSSの開発を担当しています。
-PCIコンプライアンスは法律で義務付けられていませんが、裁判所の判決により義務付けられていると見なされています。