PCI DSSの中核的な要件は何ですか?

サイバーセキュリティに関するご質問にタレス eセキュリティがお答えします。

PCI DSSの中核的な要件は何ですか?

PCI DSSは、公開された12の要件で構成されており、各要件にはいくつかの下位要件が含まれています。12のPCI DSSコンプライアンス要件は、以下の表に示すように6つのグループに分類されています。

PCI DSSコンプライアンス要件
グループ 要件
安全なネットワークとシステムの構築と維持 要件1:カード会員データを保護するために、ファイアウォールをインストールして構成を維持する。
要件2:システムパスワードおよびその他のセキュリティパラメータにベンダー提供のデフォルト値を使用しない。
カード会員データの保護 要件3:保存されるカード会員データを保護する。
要件4:オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する。
脆弱性管理プログラムの維持 要件5:すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する。
要件6:安全性の高いシステムとアプリケーションを開発し、保守する。
強力なアクセス制御手法の導入 要件7:カード会員データへのアクセスを、業務上必要な範囲内に制限する。
要件8:システムコンポーネントへのアクセスを識別・認証する。
要件9:カード会員データへの物理アクセスを制限する。
ネットワークの定期的な監視およびテスト 要件10:ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する。
要件11:セキュリティシステムおよびプロセスを定期的にテストする。
情報セキュリティポリシーの維持 要件12:すべての担当者の情報セキュリティに対応するポリシーを維持する。

注:この資料は、「誰でもわかるPCIコンプライアンスとデータ保護、タレス eセキュリティリミテッドエディション」(Ian Hermon/Peter Spier著)から抜粋したものです。

関連記事