Payment Card Industry Data Security Standard (PCI DSS) Auditing and Compliance

Any business that transmits, processes or stores cardholder data must comply with the PCI DSS. Thales eSecurity can help simplify the PCI DSS compliance effort

Global Map

Mandate

Active now

PCI DSS Requirements

Any organization that plays a role in processing credit and debit card payments must comply with the strict PCI DSS compliance requirements for the processing, storage and transmission of account data.

Thales eSecurity can help organizations working with cardholder data comply with several aspects of PCI DSS compliance, including:

  • Protecting stored cardholder data;
  • Encryption of data in transmission;
  • Restricting access to cardholder data;
  • Identifying and authenticating access to system components;
  • Tracking and monitoring all access to data.
PCI DSS compliance requirements

Download our PCI Compliance & Data Protection for Dummies book.

Check out our Top 10 keys to PCI DSS success.

Check out our Top 10 actions to avoid common PCI DSS pitfalls.

6大原則と200以上のテスト項目

PCI DSS(www.pcisecuritystandards.org)は、6つの大原則と12の要件に対する200以上のテスト項目から構成されています。これらのテストは、暗号化や鍵管理、その他のデータ保護技術に加えて、幅広い一般的なセキュリティ業務手順を対象として行われます。

PCI DSSによる監査と準拠に関するリスク
  • Failure to comply with PCI DSS compliance requirements can result in fines, increased fees, or even the termination of your ability to process payment card transactions.
  • Complying with the PCI DSS cannot be considered in isolation; organizations are subject to multiple security mandates and data breach disclosure laws or regulations. On the other hand, PCI compliance projects can easily be side-tracked by broader enterprise security initiatives.
  • Guidance and recommendations linked to PCI DSS requirements include common practices that are likely to be already in place. However some aspects, specifically those associated with encryption, might be new to the organization and implementations can be disruptive, negatively impacting operational efficiency if not designed correctly.
  • It is all too easy to end up with a fragmented approach to security based on multiple proprietary vendor solutions and inadequate technologies that are expensive and complex to operate.
  • 将来的にPCI DSS準拠が見直されることで、遵守すべき対象範囲が縮小する可能性がありますが、その場合においても適切に実装を行わなければ、時間とコストに大きな負担がかかります。
統合型のコンプライアンスソリューション

タレスはこれまで数十年にわたり、金融業界のコンプライアンス要件を満たすため、銀行および金融機関を総合的に支援してきました。パートナーとの連携を生かし、支援範囲はカード会員データの保護からデータを転送するための暗号化、そしてアクセス制御まで多岐にわたります。

6大原則への対応

タレスでは、PCI DSSの6大原則に対応するため、下記の総合ソリューションを提供しています。

  • カード会員データの保護:
  • DSSでは、最初の取引の時点から、パブリックネットワーク上のカード会員データの暗号化と保護が要求されます。タレスのnShieldおよびpayShield HSMは、業界最高水準のモバイル決済端末(mPOS)ソリューションや決済データ保護ソリューションと連携して、カード会員データをセキュアに保護し要件を準拠します。 加盟店に対するソリューションとしては、転送中のデータを保護するネットワーク暗号化と SSL/TLS暗号化、ストレージとデータベースの暗号化を行うVormetric Transparent Encryption、Vormetric Application Encryption、Vormetric Tokenization with Dynamic Masking、保存データを保護して対象範囲を狭める「point-to-point」暗号化などを提供しています。
  • 強力なアクセス制御: データ保護技術はアクセス制御と密接に関係しています。PKIやデジタル証明書などの暗号化技術は、ユーザやシステム認証に使用するパスワードレベルのセキュリティの範囲を超えて広く使用されています。また、Vormetric Data Security ManagerVormetric Encryption Key Managemenによって暗号鍵へのアクセスを制御し、それによって暗号化されたデータのロックを解除することで、セキュリティの強度を上げることができます。
  • セキュアなネットワークの構築と保守: ネットワークレベルの暗号化の他に、ネットワークセキュリティの重要な構成要素となるのが、ネットワークデバイスの厳密な認証です。 このため、ネットワークアクセスを制御する方法として、 デバイスレベルでのデジタル証明書の採用が増加しており、PKIに対するセキュリティ面で重要な検討事項となっています。
  • ネットワークの定期的な監視とテスト: 暗号化の需要増加による課題の一つとして、ネットワークベースの監視において、暗号化処理中に隙を突かれて攻撃される可能性が挙げられます。このため、タレスでは、暗号化の壁を一時的に取り払うことによって、データを分析するためのイベント監視およびデータ損失防止システムを提供します。
  • 脆弱性管理プログラムの運用: 高度なマルウェア攻撃が出現したことにより、近年では業務システムとアプリケーションソフトウェアの真正性を証明するデジタル署名コード署名に注目が集まっています。
  • 情報セキュリティポリシーの維持: PCI DSSでは、セキュリティ部門の責任分離を実装することを強調しています。Vormetric Data Security Managerでは責任分離を実現し、規則に準拠していることを証明するイベントレコードを作成します。

eBooks : PCI Compliance & Data Protection for Dummies

If your business relies on card payments and faces the challenge of maintaining ongoing compliance with PCI DSS, this book is for you. It explains the requirements for protecting account data, controlling access to the data and the associated monitoring and logging activities that you need to adopt. Ultimately the book acts as a valuable and practical reference guide that you can come back to time and again to assist with your ongoing compliance and help you avoid the common pitfalls that can lead to serious data breaches or failed audits.

Download

Research and Whitepapers : Using Encryption and Access Control for PCI DSS 3.0 Compliance in AWS

Compliance and security continue to be top concerns for organizations that plan to move their environment to cloud computing. Besides that, achieving PCI compliance is not a simple task....

Download

Research and Whitepapers : Vormetric Data Security: Complying with PCI DSS 3.0 Encryption Rules

This white paper outlines how to use Vormetric Transparent Encryption to meet PCI DSS 3.0 Requirements with Data-at-Rest Encryption, Access Control and Data Access Audit Logs in traditional server, virtual, cloud and big data environments....

Download

Research and Whitepapers : Fortrex: Evaluation of the Vormetric Token Server

Fortrex Qualified Security Assessor (QSA) evaluated the Vormetric Token Server, and determined when properly implemented and configured within a secured cardholder environment, it can reduce the scope of the systems included in the scope of a PCI DSS assessment. They also qualified that the solution can be leveraged to tokenize other sensitive data within a corporate environment. Fortrex detailed their evaluation process in their white paper, Evaluation of the Vormetric Token Server.

Download

Other key data protection and security regulations

GDPR

GDPR Thumbnail

Regulation

Active Now

Perhaps the most comprehensive data privacy standard to date, GDPR affects any organisation that processes the personal data of EU citizens - regardless of where the organisation is headquartered.

Learn More

PCI DSS

GDPR Thumbnail

Mandate

Active Now

Any organisation that plays a role in processing credit and debit card payments must comply with the strict PCI DSS compliance requirements for the processing, storage and transmission of account data.

Learn More

Data Breach Notification Laws

eIDAS

Regulation

Active now

Data breach notification requirements following loss of personal information have been enacted by nations around the globe. They vary by jurisdiction but almost universally include a “safe harbour” clause.

Learn More
Contact a Compliance Specialist Contact Us
Are you fit for GDPR Take our readiness assessment now
Read the Compliance and Regulations Solutions Handbook Read the eBook
インタラクティブなデモを閲覧する デモ
ライブデモの申し込み デモの申し込み
スペシャリストへのコンタクト お問い合わせ