ペイメントカード業界データセキュリティスタンダード(DSS)のコンプライアンスは、金融機関、加盟店、サービス提供会社など、Visaカード会員データの保存、処理、または転送を行うすべての事業体に義務づけられています。Visaのプログラムは、プログラム参加者に定期的にコンプライアンスを証明いただくことで、PCI DSSコンプライアンスを管理しています。
最新のセキュリティスタンダードに準拠しましょう
PCI DSSコンプライアンス
皆さまにとって有益なセキュリティスタンダード
-
Visaカード会員情報セキュリティプログラム(CISP)は、クライアント、加盟店、サービス提供会社が最高レベルの情報セキュリティスタンダードを維持し、Visaカード会員データを保護することを目的としたコンプライアンスプログラムです。
PCIセキュリティ基準審議会(SSC)は、PCI DSSほかすべての関連書類を所有、保持、管理します。ただし、Visaがすべてのデータセキュリティコンプライアンスの施行とバリデーションへの取り組みを管理しています。
-
カード発行金融機関および加盟店契約会社は、自社のサービス提供会社、加盟店、加盟店が使用するサービス提供会社のすべてがPCI DSS要件を満たすことに対し責任を負います。
加盟店のコンプライアンス検証は、取引量、潜在リスク、ペイメントシステムが晒されたリスクに基づき優先順位付けされます。
カード発行金融機関および加盟店契約会社は、レベル1およびレベル2のサービス提供会社が、サードパーティ エージェント(TPA)登録時と以降12カ月ごとにPCI DSSコンプライアンスを証明することを保証する義務を負います。
-
加盟店契約会社は、自社の加盟店に適切なレベルでコンプライアンスを順守させ、必要なコンプライアンス検証書類を提出させる義務を負います。クレジットカード処理銀行および加盟店は、コンプライアンス検証の証明が必要な他社ペイメントカードブランドのコンプライアンス報告要件も確認する必要があります。
Visaと直接提携していないレベル1のサービス提供会社は、年に1度オンサイトPCIデータセキュリティ評価を実施し、サービス提供会社と認定審査機関(QSA)の両者が署名したコンプライアンス証明(AOC)をVisaに提出する必要があります。レベル2のサービス提供会社は、署名した自己問診(SAQ-D)フォームまたはQSAの署名を受けたAOCを提出する必要があります。サービス提供会社がVisaサービス提供会社グローバルレジストリ(レジストリ)に掲載されるためには、PCI DSSコンプライアンス検証が必要です。
-
「Visaコアルール」と「Visa商品およびサービスのルール」は、クライアント金融機関の活動と、その延長線上にあるVisaペイメントシステムの参加者としてのサービス提供会社や加盟店の活動を規定します。
カード発行金融機関および加盟店契約会社は、サービス提供会社および加盟店(加盟店が使用するサービス提供会社も含む)が、PCI DSSコンプライアンスを順守することに責任を負います。サービス提供会社および加盟店は、いかなる場合でも完全なコンプライアンスを徹底する必要があります。(VCRセクションID #0002228および#0008031)
サービス提供会社または加盟店が、PCI DSSを順守しない場合、またはセキュリティ上の問題を解決できない場合は、Visaがカード発行金融機関または加盟店契約会社に対してコンプライアンス非対応アセスメントを課すことがあります。すべてのアセスメントの支払いについてはカード発行金融機関もしくは加盟店契約会社が責任を負うものとし、Visaがサービス提供会社または加盟店に対してアセスメントを課したと主張することは禁止されています。(VCRセクションID #0001054)
フォレンジック調査の際、データ漏えい以前およびデータ漏えいが発生した時点においてPCI DSSコンプライアンス非対応の証拠がない場合はアセスメントは免除される可能性があります。
レベル3もしくはレベル4の加盟店が、問題発生日以前に認定セキュリティ対策を導入していた場合、セキュリティ侵害のあったレベル3およびレベル4の加盟店の加盟店契約会社は、コンプライアンス非対応アセスメントを免除される可能性があります。
セキュアな取り扱いインセンティブプログラムの詳細についてお問い合わせになりたい加盟店契約会社は、Visaリスク担当[email protected]までご連絡ください。
-
Visaは、加盟店契約会社に対し金銭的なインセンティブを提供し、加盟店によるPCI DSSコンプライアンスの検証を徹底させるための実施規定を定めたPCIコンプライアンス推進プログラムを開発しました。
PCIコンプライアンス推進プログラムに則って、クレジットカード処理銀行は、レベル1およびレベル2の全加盟店に対し、禁止データ保持証明またはPCI DSSコンプライアンス証明(AOC)の提出により禁止データを保持していないことを証明させる義務を負います。
関連コンテンツ:
加盟店のPCI DSSコンプライアンスに関する最新情報 - レベル1、2、3の加盟店によるコンプライアンス状況の概要
-
Visaは、EM VICチップ技術に投資し不正利用防止策を施している加盟店を評価、認定するTIPを開発しました。本プログラムは、より動的なオーソリゼーションデータをペイメントシステムに取りこみ、ペイメントシステムを保護する最新技術の導入に備えるためのVisaの取り組みの一環として、接触型および非接触型のICカードに対応する決済端末への投資を加盟店に奨励するものです。2015年4月1日以降、TIP(テクノロジー イノベーション プログラム)の参加資格が拡大され、検証済みのポイント ツー ポイント暗号化ソリューションに投資した加盟店も含まれるようになりました。
PINセキュリティ
Visaはすべての地域で、PINセキュリティ コンプライアンス検証の簡素化を行っています。
-
PINセキュリティプログラムガイドの公開
PINセキュリティプログラムガイドが公開されました。VisaのPINセキュリティプログラムの基本的要件に変更はありませんが、プログラムガイドが更新され、以下のような明確化や情報追加が行われました。
- VisaコアルールとVisa PINプログラム固有のVisa商品およびサービスのルールの確認
- 検証参加者と非検証参加者の定義
- 暗号化サポート組織(ESO)の説明の改善
PINセキュリティオンラインセミナーデッキとFAQ
2015年5月、VisaはPINセキュリティプログラムの参加者全員を対象にオンラインセミナーを開催しました。以下に、プレゼンテーションに使用したデッキ、およびオンラインセミナーのセッション中と終了後に行われた質問をベースにしたFAQを紹介しています。
PINセキュリティ強化プランの発表:2015
Visaのクライアントは、自身が管理するサードパーティ エージェントのうちVisa PINプログラム参加者として識別されるエージェントが2015年12月31日までにコンプライアンス検証を実施するよう徹底する必要があります。
Visa PINセキュリティコンプライアンス検証のスケジュール設定をしていないPINプログラム参加者、またはコンプライアンス認証を実行していないPINプログラム参加者に以下のリンクに示す書面が送付されました。
PCI PINセキュリティ要件を更新:2015
検証方法を強化し、コンプライアンス評価との一貫性を改善するため、ペイメントカード業界セキュリティ基準審議会は、PINセキュリティ要件のバージョン2.0をリリースしました。2015年7月1日付で、Visa PINセキュリティプログラム参加者は、バージョン2.0に従ってPINセキュリティコンプライアンス評価を開始する必要があります。
ペイメントアプリケーション データセキュリティスタンダード(PA-DSS)
Visaはペイメントアプリケーションのベンダーに対し、製品のPA-DSS準拠を推進、検証するよう強く奨励しています。PA-DSSに準拠するアプリケーションにより、加盟店およびエージェントはセキュリティ侵害のリスクを緩和でき、機密性の高いカード会員データを保存せず、また、PCI DSSへの全体的なコンプライアンスもサポートされます。PA-DSSは、オーソリゼーションや決済の一部としてカード会員データを保存、処理、転送するサードパーティのペイメントアプリケーションソフトウェアにのみ適用されます。社内のソフトウェアアプリケーションについては、加盟店またはエージェントのPCI DSS評価が適用されます。
-
2008年1月1日、VisaはVisaペイメントシステムにおいて脆弱なペイメントアプリケーションの使用中止を命ずる一連の指令を施行しました。この指令により、加盟店契約会社は、自社の加盟店およびエージェントが機密性の高いカード会員データ(磁気ストライプの全データ、CVV2、またはPINデータなど)を保存することが分かっているペイメントアプリケーションを使用せず、PA-DSSに準拠するペイメントアプリケーションを利用するよう保証する必要があります。
-
数多くのペイメントアプリケーションのベンダーがPA-DSSに準拠したペイメントアプリケーションを展開している一方、ペイメントソフトウェアのアップデートが継続的に開発されておらず、既知の脆弱性に再び見舞われるリスクがますます懸念されています。さらに、ペイメントソフトウェアが顧客施設にて安全に実行されていないという懸念もあります。
多くのペイメントアプリケーション会社が、ペイメントアプリケーションやシステムを導入する際に脆弱なソフトウェアを実行しています。また、セキュリティが弱く、他人と共有されたりデフォルト設定でアクセスしたりできるクレデンシャル情報を使用する顧客のサポートや、セキュリティの弱いリモート管理ツールを利用している顧客施設の管理も行っています。これら一連の事実は加盟店およびエージェントのセキュリティ侵害により露呈されています。犯罪者はこのような脆弱な隙間から入り込み、カード会員の環境にアクセスします。
Visaが策定したこれらのベストプラクティスは、重要なソフトウェアプロセスの課題に取り組むペイメントアプリケーション会社をサポートします。加盟店契約会社や加盟店、エージェントの皆さまは、デューデリジェンスの一環として、自社が利用するペイメントアプリケーション会社が成熟したソフトウェアプロセスを採用していることを確認する必要があります。
-
Visaは、ソフトウェアベンダーによって一部のペイメントアプリケーションが、取引オーソリゼーションの後に機密性の高いカード会員データ(磁気ストライプの全データ、CVV2、またはPINデータなど)を保存するよう設計されていることを確認しています。これらのカード会員データの保存はPCI DSSおよびVisaルールに直接的に違反しています。犯罪者は、このような脆弱なペイメントアプリケーションを使用している加盟店やエージェントを標的にし、セキュリティの脆弱性につけ込んでカード会員データを見つけ盗みます。
Visaは、必要に応じて脆弱なペイメントアプリケーションリストの最新版を提供し、加盟店契約会社を含む主要なステークホルダーにセキュリティ侵害のリスクを緩和するよう警告する予定です。脆弱なペイメントアプリケーションを見つけた、もしくは、機密性の高いカード会員データの保存を行っているペイメントアプリケーションのベンダーやアプリケーションのバージョン、およびベンダーの連絡先情報に関して詳しい情報をお持ちの方は、VisaまでEメール[email protected]にてお知らせください。提供いただいたすべての情報はソフトウェアベンダーを通して検証されますが、Visaはいかなるソフトウェアベンダーにも情報源を明かさず、また情報源の身元を特定できるような情報を開示しません。
-
Visaは、2005年にペイメントアプリケーションのベストプラクティス(PABP)を開発。加盟店およびエージェントがセキュリティ侵害のリスクを緩和でき、機密性の高いカード会員データ(磁気ストライプの全データ、CVV2、またはPINデータなど)を保存せず、また、PCI DSSへの全体的なコンプライアンスもサポートされるようなペイメントアプリケーションの開発ガイダンスを、ソフトウェアベンダーに提供しました。2008年にはPCIセキュリティ基準審議会(SSC)がVisaのPABPを採用し、PA-DSSをスタンダードとしてリリースしました。現在はVisaのコンプライアンスプログラムのため、PA-DSSがPABPに代わっています。