PCI DSSとは？

PCI DSSはPayment Card Industry Data Security Standardの略です。クレジットカード情報を扱う組織がその情報を安全に保つための一連の要件です。この基準は、主要カードブランドのコンソーシアムであるPCI Security Standards Councilによって2006年9月に開始されました。

クレジットカードを支払い方法として受け入れるすべての加盟店およびサービスプロバイダーは、PCI DSSの条項に拘束されます。加盟店がPCI DSSに準拠していない場合、重大な金銭的罰則、評判の損傷、および事業の損失の可能性に直面する可能性があります。

PCI DSSは、カード会員データを取得、管理、保存、または送信するすべての企業が遵守する必要があります。これには、小売業者、決済処理業者、銀行、およびソフトウェア開発者やハードウェア生産者など、カード会員データのセキュリティに影響を与える可能性のあるその他の組織が含まれます。

銀行、信用組合、ホスティング会社、および電話でカード会員データを受け取ったり処理したりするその他の組織は、コンプライアンスを順守する必要があります。クレジットカード決済の受け付けを継続するには、機密性の高いカード会員データを扱う会社の従業員は全員、PCIコンプライアンスを維持する必要があります。

加盟店またはサービスプロバイダーが毎年処理する取引量は、PCI DSSコンプライアンスの程度を決定します。レベル1は、加盟店の4つのレベルの中で最も高く、第三者監査機関による年次コンプライアンスレポート（RoC）などの最も厳格な報告要件が伴います。

レベル2〜4の場合は、通常、自己評価アンケート（SAQ）が完了します。レベル1の加盟店は、毎年RoCを完了し、年間600万件を超えるカード取引を処理する必要があります。

PCI準拠証明書（AoC）は、組織がPCI DSS要件に準拠していることを証明する文書です。組織が自己評価またはQualified Security Assessor（QSA）による外部監査を完了し、標準の要件を満たしていることを示した後に発行されます。

AoCは取引の障害ではありませんが、潜在的な顧客に組織のセキュリティ対策への信頼感を与えます。AoCはセキュリティ証明書またはセキュリティの保証ではなく、組織がPCI DSSを遵守していることを宣言するものです。

その ペイメントカード業界データセキュリティ基準（PCI DSS） カード会員の個人情報のセキュリティを確保するために設計された一連の規則と手順です。この基準は、全体的なセキュリティポリシーに従って6つのグループに分けられる12の項目または要件で構成されています。これらのグループは次のとおりです。 

1) 安全なネットワークを構築および維持する。 

2) カード会員データを保護する。 

3) 強力な暗号化を使用する。 

4) カード会員データへのアクセス制御 

5) ネットワークの監視とテスト 

6) 情報セキュリティポリシーの導入 

最新の規格であるPCI DSS 4.0は、セキュリティ管理を効果的に活用する方法を示す12の主要要件の更新と再構築です。この規格は、カード会員データを処理、保存、または転送するすべての加盟店またはサービスプロバイダーに適用されます。組織は、情報を保護し、信頼性を高めるために、これらの規則を理解し、適用する必要があります。

カード会員データに触れない限りPCI DSSの直接的な対象ではありませんが、決済アプリケーションはPCI DSS準拠に不可欠です。これは、PCI DSSの遵守を求められる加盟店がそれらを使用しているためです。したがって、決済アプリケーションは、セキュリティの脅威を軽減し、安全なネットワーク環境を促進する方法で開発および展開する必要があります。 

小売業者がPCI DSS規制を遵守できるように、これには脆弱性管理などの機能が含まれています。 暗号化、そして安全なデータストレージ。安全性を重視し、PCI DSS準拠を容易にする決済アプリケーションを選択することで、加盟店は作業負荷を大幅に軽減し、カード会員データを保護することができます。

PCI DSSは、カード会員データの取り扱いと保護に関する基準を作成します。これにより、データ漏洩やクレジットカード盗難の可能性が低くなります。 

データ処理のためのシステムを作成することは、プロセスと運用を効率化するのに役立つことを理解することが不可欠です。SaaS企業には、制御を導入し、安全な環境を維持するために従う必要のあるフレームワークが提供されます。さらに、ソフトウェア会社は常に目を光らせておく必要があります セキュリティとコンプライアンス システムを監視し、すべてが円滑に実行されていることを確認し、PCI DSS規制に準拠していることを確認します。

PCI DSSに準拠していない場合、多額の罰金、取引コストの増加、銀行やカード会社との業務提携の終了、法的措置の可能性など、経済的および評判への重大な影響が生じる可能性があります。 

カードブランドは、コンプライアンスを達成するまで、月に5,000ドルから100,000ドルの範囲の金銭的ペナルティを非準拠に対して適用できます。大企業はより高い罰金の対象となる場合があります。金銭的な罰金に加えて、非準拠は、運用上の問題、ブランドへの損害、顧客の信頼の低下、訴訟、データ侵害の場合の修復費用、および規制当局による調査につながる可能性があります。非準拠は全体的なコストを大幅に増加させる可能性があり、即時のペナルティだけでなく、データ侵害の長期的な影響や評判への損害も含まれます。

多くのSaaS企業にとって、達成することは PCI DSSコンプライアンス 複雑な作業になる可能性があります。カード会員データ環境の範囲を明確に特定し、ファイアウォールや暗号化などのセキュリティ対策を導入して設定し、厳格なアクセスルールに従うことは、最も頻繁に発生する課題の一部です。 

機密性の高い決済データを処理、保存、または送信するすべてのネットワーク、システム、およびアプリを含むカード会員データ環境を正確に定義および分類することは、最初の課題の1つです。リソースや経験の不足により、組織はPCI DSSの必要な基準をすべて満たすことが難しい場合があります。PCI DSSに準拠しないと、多額の罰金、評判の損失、事業の中断など、重大な影響が生じる可能性があります。