2005年以来、8,500件以上のデータ侵害から110億件以上の消費者レコードが侵害されています。 これらは、2005年にさかのぼる消費者に影響を与えるデータ侵害とセキュリティ侵害について報告しているPrivacy Rights Clearinghouseの最新の数値です。
消費者データの安全性と決済エコシステムへの信頼を向上させるために、データセキュリティのための最低基準が作成されました。 Visa、Mastercard、American Express、Discover、およびJCBは、クレジットカードデータを扱う企業のセキュリティ基準を管理および管理するために、2006年にPayment Card Industry Security Standards Council(PCI SSC)を設立しました。 PCI SSCが設立される前は、これらの5つのクレジットカード会社はすべて、ほぼ同様の要件と目標を持つ独自のセキュリティ標準プログラムを持っていました。 彼らは、インターネット時代の消費者と銀行のための保護のベースラインレベルを確保するために、一つの標準的なポリシー、PCIデータセキュリティ標準(PCI DSSと
PCI DSSの理解は複雑で困難な場合があります
ビジネスモデルでカードデータの処理が必要な場合は、PCI DSSの300以上のセキュリティ制御のそれぞれを満た PCI Councilによって発行された1,800ページ以上の公式文書、PCI DSSについて、およびコンプライアンスを検証する際にどの形式を使用するかを理解するための300ページを超える公式文書があります。 これは読むだけで72時間以上かかります。
この負担を軽減するために、PCIコンプライアンスの検証と維持のためのステップバイステップガイドを以下に示します。
PCI Data Security Standard(PCI DSS)の概要
PCI Dssは、カード会員データおよび/または機密認証データを格納、処理、または送信するすべてのエンティティのグローバルなセキ PCI DSSは、消費者のための保護のベースラインレベルを設定し、決済エコシステム全体にわたって詐欺やデータ侵害を軽減するのに役立ちます。 これは、支払いカードを受け入れるか処理する組織に適用されます。
PCI DSS準拠には、主に3つのことが含まれます:
- 顧客からのクレジットカードデータの侵入を処理する、すなわち、機密カードの詳細が安全に収集され、送信されること
- データを安全に保存することは、PCI規格の12(以下の4つのレベルの表については、ステップバイステップガイドを参照してください 要件)
カードデータの処理
一部のビジネスモデルでは、支払いを受け入れる際に機密性の高いクレジットカードデータを直接処理する必要がありますが、他のビ カードデータを処理する必要がある企業(支払いページでトークン化されていないPanを受け入れるなど)は、PCI DSSの300以上のセキュリティ制御のそれぞれを満た たとえカードデータが短時間だけサーバーを通過したとしても、会社はセキュリティソフトウェアとハードウェアを購入し、実装し、維持する必要があります。
企業が機密性の高いクレジットカードデータを処理する必要がない場合、そうすべきではありません。サードパーティのソリューション(Stripe Elementsなど)は、データを安全に受け入れて保存し、かなりの複雑さ、コスト、リスクを取り除きます。 カードデータはサーバーに触れることがないため、会社は22のセキュリティ制御を確認するだけで済みますが、そのほとんどは強力なパスワードを使用する
データを安全に保存する
組織がクレジットカードデータを処理または保存する場合は、カード会員データ環境(CDE)の範囲を定義する必要があります。 PCI DSSは、cdeを、クレジットカードデータ、またはそれに接続されたシステムを保存、処理、または送信する人、プロセス、およびテクノロジと定義します。 PCI DSSの300以上のセキュリティ要件はすべてCDEに適用されるため、PCI検証の範囲を制限するために、支払い環境をビジネスの残りの部分から適切に分 組織が細分化されたCDEスコープを含めることができない場合、PCIセキュリティ制御は、企業ネットワーク上のすべてのシステム、ラップトップ、およびデバ イク!
年次検証
カードデータがどのように受け入れられるかにかかわらず、組織は毎年PCI検証フォームに記入する必要があります。 PCIコンプライアンスの検証方法は、以下に概説するいくつかの要因によって異なります。 組織がPCIに準拠していることを示すように要求される3つのシナリオを次に示します:
- 決済処理業者は、決済カードブランドへの必要な報告の一環として、それを要求することができます
- ビジネスパートナーは、ビジネス契約を締結する前提条件としてそれを要求することができます
- プラットフォームビジネス(複数の異なるユーザー間のオンライン取引を容易にする技術を持つ企業)に対して、顧客はデータを安全に処理していることを顧客に示すためにそれを要求することができます
最新のセキュリティセット規格、pci dssバージョン3.2。1には、セキュリティのベストプラクティスを反映した12の主要な要件と300以上のサブ要件が含まれています。
- カード会員データを保護するためのファイアウォール構成のインストールと維持
- システムパスワードやその他のセキュリティパラメータにベンダーが提供するデフォルトを使用しない
- 保存されたカード会員データを保護
-
脆弱性管理プログラムの維持
- すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアを定期的に更新
- 安全な開発と維持 システムとアプリケーション
- ビジネスによるカード会員データへのアクセスを制限する
- システムコンポーネントへのアク3985>
- セキュリティシステムとプロセスを定期的にテスト
- すべての情報セキュリティに対処するポリシーを維持 人事
安全なネットワークとシステムの構築と維持
カード会員データを保護
強力なアクセス制御手段の実装
情報セキュリティポリシーを維持
新規企業がPCIコンプライアンスを検証しやすくするために、PCI評議会はPCI DSS要件全体のサブセットである九つの異なるフォームまたは自己評価 トリックは、適用可能であるか、各PCI DSSセキュリティ要件が満たされていることを確認するためにPCI評議会が承認した監査人を雇う必要があるかど さらに、PCI評議会は三年ごとにルールを改訂し、年間を通じて増分更新をリリースし、さらに動的な複雑さを追加します。
PCI DSS v3.2.1準拠のステップバイステップガイド
PCIコンプライアンスを達成するための最初のステップは、組織に適用される要件を知ることです。 通常、12ヶ月間のビジネスプロセスのクレジットカード取引量に基づいて、PCIコンプライアンスレベルが異なります。
| の要件に適用されます | ||
| レベル1 |
|
|
| レベル2 | 間を処理する組織 年間1-6万件の取引 |
|
| レベル3 |
|
|
| 4 |
|
レベル2-4では、お支払い統合方法に応じてさまざまなSAQタイプがあります。 簡単な表は次のとおりです:
| SAQ | 説明 |
| すべてのカード会員データ機能をPCI DSS準拠のサードパーティのサービスプロバイダーに完全に外部委託している |
カード会員データを電子的に保存、処理、または送信しないカード会員データを加盟店のシステムまたは施設に送信している加盟店(電子商取引またはメール/電話注文)。 対面チャネルには適用されません。 |
| A-EP |
すべての支払い処理をPCI DSS検証された第三者に委託し、カード会員データを直接受信しないが支払い取引のセキュリティに影響を与える可能性のあるwebサイトを持っているEコマース加盟店。 加盟店のシステムまたは施設でのカード会員データの電子的な保管、処理、または送信は禁止されています。 eコマースチャネルにのみ適用されます。 |
| B |
のみを使用している加盟店:
eコマースチャネルには適用されません。 |
| B-IP |
電子カード会員データストレージのない決済プロセッサへのIP接続を持つスタンドアロンのPTS承認決済端末のみを使用する加盟店。 eコマースチャネルには適用されません。 |
| C-VT |
PCI DSS検証されたサードパーティのサービスプロバイダによって提供され、ホストされているインターネットベースの仮想決済端末ソリューションに、キーボードを介して一度に単一のトランザクションを手動で入力する加盟店。 電子カード会員データストレージはありません。 eコマースチャネルには適用されません。 |
| C |
決済アプリケーションシステムがインターネットに接続されている加盟店で、電子カード会員データストレージはありません。 eコマースチャネルには適用されません。 |
| P2PE |
電子カード会員データストレージなしで、検証されたPCI SSCリストのPoint-to-Point暗号化(P2PE)ソリューションに含まれ、管理されるハードウェア決済端末のみを使 電子商取引加盟店には適用されません。 |
| D |
商人のためのSAQ D:上記のSAQタイプの説明に含まれていないすべての商人。 SAQ D For Service Providers:支払いブランドによってSAQを完了する資格があると定義されているすべてのサービスプロバイダー。 |
組織に最も適したSAQおよび認証文書を選択するには、このPCI文書の18ページのフローチャートを参考にしてください。
PCI DSS要件は時間の経過とともに変化するため、新しいまたは変更された認定要件とそれらを満たす方法について更新を取得する最良の方法の一つは、PCI参加組織(PO)になることです。
データフローのマッピング
機密性の高いクレジットカードデータを保護するには、そのデータがどこに存在し、どのようにそこに到達するかを知る必要があ 組織全体のクレジットカードデータと対話するシステム、ネットワーク接続、およびアプリケーションの包括的なマップを作成する必要があります。 自分の役割に応じて、おそらくこれを行うには、ITおよびセキュリティチームと協力する必要があります。
- まず、支払い取引を含むビジネスのすべての消費者が直面している領域を特定します。 たとえば、オンラインショッピングカート、店舗内決済端末、または電話での注文を介して支払いを受け入れることができます。
- 次に、カード会員データがビジネス全体で処理されるさまざまな方法を特定します。 データがどこに保存されているのか、誰がデータにアクセスできるのかを正確に知ることが重要です。
- 次に、支払い取引に触れる内部システムまたは基礎技術を特定します。 これには、ネットワークシステム、データセンター、クラウド環境が含まれます。
セキュリティコントロールとプロトコルの確認
組織全体のクレジットカードデータの潜在的なタッチポイントをすべてマップしたら、ITチームとセキュ これらのプロトコルは、Transport Layer Security(TLS)のように、データの送信を保護するように設計されています。
PCI DSS v3.2.1の12のセキュリティ要件は、あらゆるビジネスの機密データを保護するためのベストプラクティスに由来しています。 いくつかは、GDPR、HIPAA、およびその他のプライバシー要件を満たすために必要なものと重複しているため、そのうちのいくつかはすでに組織内に配置されてい
監視と保守
PCIコンプライアンスは一度だけのイベントではないことに注意することが重要です。 これは、データフローや顧客のタッチポイントが進化しても、ビジネスが準拠していることを確認するための継続的なプ 一部のクレジットカードブランドでは、四半期報告書または年次報告書を提出するか、継続的なコンプライアンスを検証するために毎年オンサイト評価を完了する必要がある場合があります。特に毎年600万件以上の取引を処理する場合。
PCIコンプライアンスを年間を通じて(および年間を通じて)管理するには、多くの場合、部門間のサポートとコラボレーションが必要です。 これがまだ存在しない場合は、コンプライアンスを適切に維持するために内部的に専用のチームを作成する価値があるかもしれません。 すべての企業はユニークですが、”PCIチーム”の良い出発点には、以下の表現が含まれます:
- セキュリティ:最高セキュリティ責任者(CSO)、最高情報セキュリティ責任者(CISO)、およびそのチームは、組織が常に必要なデータセキュリティおよびプライバ
- テクノロジー/ペイメント:最高技術責任者(CTO)、ペイメント担当副社長、およびそのチームは、組織のシステムの進化に合わせて、コアツール、統合、およびインフ
- 財務:最高財務責任者(CFO)とそのチームは、支払いシステムとパートナーに関しては、すべての支払いデータフローが会計処理されることを保証します。
- 法的:このチームは、PCI DSSコンプライアンスの多くの法的ニュアンスをナビゲートするのに役立ちます。
PCIコンプライアンスの複雑な世界の詳細については、PCI Security Standards Councilのwebサイトを参照してください。 このガイドと他のいくつかのPCIドキュメントのみを読む場合は、これらから始めることをお勧めします: PCI DSSの優先順位付けされたアプローチ、SAQの指示とガイドライン、SAQ適格基準を使用してオンサイト評価要件を決定することに関するFAQ、支払いカードデー
StripeがPCIコンプライアンスの達成と維持にどのように役立つか
Stripeは、Checkout、Elements、mobile Sdk、Terminal Sdkと統合する企業のPCI負担を大幅に簡素化します。 Stripe CheckoutおよびStripe Elementsは、すべての支払いカードデータを処理するためにホストされた支払いフィールドを使用するため、カード所有者は、PCI DSS検証済みサーバーから直接発信されるすべての機密支払い情報を支払いフィールドに入力します。 Stripe mobileおよびTerminal Sdkを使用すると、カード所有者は機密性の高い支払い情報をPCI DSS検証済みサーバーに直接送信することもできます。
これらのようなより安全なカード受け入れ方法では、StripeダッシュボードにPCIフォーム(SAQ)を入力し、ボタンをクリックするのと同じくらい簡単にPCI検証を行 小規模な組織の場合、これは何百時間もの作業を節約でき、大きな組織の場合は何千もの作業を節約できます。
すべてのユーザーにとって、統合タイプにかかわらず、StripeはPCI提唱者として機能し、いくつかの異なる方法で役立ちます。
- 統合方法を分析し、どのPCIフォームを使用するか、コンプライアンスの負担を軽減する方法についてアドバイスします。
- 取引量が増加すると、コンプライアンスの検証方法を変更する必要がある場合は、事前に通知します。
- 大規模な商人(レベル1)のために、PCI検証時間を数ヶ月から数日に短縮できるPCIパケットを提供します。 PCI QSAを使用する必要がある場合(クレジットカードデータを保存したり、より複雑な支払いフローを持っているため)、世界中に350社以上のQSA企業があり、Stripeの
| Visaのマーチャントレベル | 平均監査時間(年間推定値) | Stripe要素、チェックアウト、またはモバイルSDKを使用した平均監査時間(年間推定値) |
| レベル1 | 3-5ヶ月 | 2-5日 |
| レベル2 | 1-3ヶ月 | 0日 |
| レベル3 | 1-3ヶ月 | 0日 |
| レベル4 | 1-3ヶ月 | 0日 |
Stripeがあなたの保護をどのように支援するかの詳細については お客様のデータとPCIコンプライアンスを達成するには、統合セキュリティに関するdocsを
結論
PCIコンプライアンスの評価と検証は通常年に一度行われますが、PCIコンプライアンスは一度限りのイベントではありません。 企業が成長するにつれて、コアビジネスロジックとプロセスも同様に進化します。 オンラインビジネスは、例えば、物理的な店を開く、新しい市場に参入する、または顧客サポートセンターを起動することを決定することができます。 新しいものに支払いカードデータが含まれる場合は、PCI検証方法に影響があるかどうかを積極的に確認し、必要に応じてPCI準拠を再検証することをお勧
それだけでは十分ではありません。
PCI DSSガイドラインを遵守することは、あなたのビジネスにとって必要な保護層ですが、それだけでは十分ではありません。 PCI DSSは、カード会員データの処理と保存に関する重要な基準を設定していますが、それだけではすべての支払い環境に十分な保護を提供するものではあ 代わりに、より安全なカードの受け入れ方法(Stripe Checkout、Elements、mobile Sdkなど)に移行することは、組織を保護するためのはるかに効果的な方法です。 これが提供する長年の利点は、業界のベースライン標準に依存したり、セキュリティ制御の潜在的な失敗を心配する必要がないことです。 このアプローチは、アジャイルな企業に潜在的なデータ侵害を軽減し、PCI検証に対する感情的で時間がかかり、コストのかかる歴史的なアプローチを回避す 言うまでもなく、より安全な統合方法は、年間の毎日信頼性があります。
ガイドに戻る