カード会員データとは？

カード会員データ（CHD）とは、Payment Card Industry Data Security Standard（PCI DSS）によって保護されている、決済カードに関する情報です。これには、完全なプライマリーアカウント番号（PAN）、および場合によってはカード会員の氏名、有効期限、サービスコードが含まれます。

CHDとは、取引完了後に利用可能になる情報であり、カード会員の氏名、カードの有効期限、プライマリーアカウント番号（PAN）が含まれます。 

クレジットカードデータ（CHD）保護は、いくつかの理由で重要です。顧客コンプライアンスは、信頼の維持、規制の遵守、金銭的ペナルティの防止に役立つため、非常に重要です。暗号化などのセキュリティ対策は、機密データの安全性を確保し、データ漏洩による潜在的な損害を軽減するために不可欠です。

金銭的損失は、個人情報の盗難や不正購入など、いくつかの方法で発生する可能性があります。機密性の高いCHDデータへの不正アクセスを制限することは、潜在的な金銭的損失のリスクを最小限に抑えることができるため、非常に重要です。クレジットカードデータを扱う企業は、顧客の信頼を維持しなければなりません。CHDの保護は、企業がコンプライアンスを維持し、データセキュリティに関する信頼性を高めるために不可欠です。

カード会員データ（CHD）の漏洩は、消費者、金融機関、そして小売業者に重大な影響を与える可能性があります。漏洩の結果として、経済的責任、多額の罰金、法的費用、補償費用、評判の失墜、顧客の信頼の喪失などが起こりえます。

これらのリスクを軽減するには、Payment Card Industry Data Security Standard（PCI DSS）の遵守が不可欠です。非準拠の場合、追加の金銭的罰則や評判の失墜につながる可能性があります。 

機密認証データ（SAD）とカード会員データ（CHD）は、決済処理に不可欠な2種類のデータです。CHDには、決済確認後も保持される可能性のあるプライマリーアカウント番号（PAN）、カード会員名、決済カードの有効期限などのデータが含まれます。

カード会員を認証するために、SAD は PIN、磁気ストライプまたは EMV チップからのトラックデータ、カード確認コード/値 (CVC、CVV、または CID) などのコンポーネントで構成されています。CHD と SAD には異なるセキュリティ要件があるため、それらの違いを理解することが重要です。 

• 加盟店は CHD を保存できますが、保存する場合は暗号化する必要があります。ただし、SAD が暗号化されている場合でも、企業は承認後に SAD を保存することはできません。 
• 加盟店は CHD の方が SAD よりも機密性が低いため、CHD を保持できます。
• 加盟店は CHD を使用して顧客の取引を追跡できます。
• 加盟店は SAD の方が CHD よりも機密性が高いため、SAD を保持すべきではありません。
• 加盟店は SAD を使用して顧客の取引を追跡することはできません。 

銀行、決済ゲートウェイ、加盟店、サービスプロバイダーなど、カード取引に関与するすべての組織は PCI DSS に準拠する必要があります。これは、規模や取引量に関係なく、クレジットカード情報を処理、保存、または送信するすべての企業に適用されます。 

取引や保管中のカード会員データのセキュリティを保証するために、関係するすべての組織はこのプロセスに従う必要があります。契約上の要件と年次コンプライアンス検証は、クレジットカードネットワーク契約に明記されており、クレジットカード会社によって要求されています。 

サードパーティプロセッサ（TPSP）も、支払いカードの処理においてPayment Card Industry Data Security Standard（PCI DSS）に従う必要があります。SaaS企業は、少なくとも12か月に一度、TPSPのPCI DSSコンプライアンスを管理および監視する必要があります。 

TPSPは、SaaS組織に対し、年次PCI DSSを通じて検証するために、PCI DSSコンプライアンスを提示する必要があります。 コンプライアンス監査 またはTPSPの複数回のランダム監査。SaaSビジネスは、TPSPのPCI DSSコンプライアンスステータスを毎年追跡し、TPSPの責任であるすべてのPCI DSS要件を追跡するための計画を作成する必要があります。 

最終的に、SaaS事業者は自社のPCI DSSコンプライアンスに責任を負います。TPSPはカード会員データ環境の安全性に影響を与えるため、SaaS事業者はTPSPが確実に準拠しているようにしなければなりません。

金銭的な罰則、評判の失墜、顧客の信頼の喪失、ビジネスチャンスの喪失は、PCI DSSに準拠していない場合の深刻な影響のほんの一部です。

さらに、準拠していない企業は、法的影響、取引コストの増加、より厳格な監査基準、銀行との提携終了などのリスクに直面します。深刻な場合には、非準拠により倒産に至る可能性があります。

決済カード会社は、加盟店獲得銀行に罰金を科し、その罰金を加盟店に転嫁することがあります。特に、PCI DSSに準拠していない場合、準拠を達成するまで、毎月5,000ドルから100,000ドルの罰金が科される可能性があります。

カード会員データは、以下の免除対象とはなりません PCI DSS要件 暗号化のみを使用している場合。管理するシステム 暗号化 暗号化および復号化は、暗号化されている場合でも、カード会員データを含むあらゆる環境と同様に、PCI DSSの権限下にあります。ただし、暗号化と復号化を管理するシステムはPCI DSSの範囲内ですが、暗号化されたカード会員データは範囲内ではありません。カード会員データが存在する設定では、暗号化によってPCI DSSの要件が無効になることはありません。