コンプライアンスとフレームワーク
PCI DSS
別称: Payment Card Industry Data Security Standard, PCI
定義
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
Payment Card Industry Data Security Standard(PCI DSS)は、主要カード ブランド(Visa、Mastercard、American Express、Discover、JCB)のカード会員データを保管・処理・伝送する組織すべてに適用される、業界による契約上のセキュリティ基準です。現行版 4.0.1 では、12 の主要要件と数百のサブ要件が定義され、ネットワーク セキュリティ、暗号化、アクセス制御、脆弱性管理、ログ、ポリシーなどを網羅します。コンプライアンス レベル(1〜4)は取引量により決まり、自己問診(SAQ)で済むのか、適格セキュリティ評価機関(QSA)による Report on Compliance が必要かを決定します。
例
- レベル 1 加盟店が QSA による年次オンサイト評価を受ける。
- 決済プロセッサーがスコープ縮小のためにポイント ツー ポイント暗号化とトークナイゼーションを導入。
関連用語
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
暗号化
アルゴリズムと鍵を用いて平文を暗号文に変換し、認可された当事者のみが元のデータを復元できるようにする処理。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
SOC 2
SOC 2 — definition coming soon.
脆弱性スキャン
既知の脆弱性シグネチャに照らしてシステム・アプリケーション・コンテナを自動的に検査し、潜在的な弱点の一覧を生成するプロセス。