定義:PCI DSS(クレジットカード業界データセキュリティ基準)は、クレジットカード、デビットカード、キャッシュカードの取引のセキュリティを向上させ、IDの盗難からカード所有者を保護するためにクレジットカード業界が策定した一連のポリシーと手順です。
Payment Card Industry Data Security Standardの説明
PCI DSSは、Visa、MasterCard、Discover、American Expressの4つの主要なクレジットカード会社によって2004年に作成され、クレジットカードセキュリティ基準審議会によって管理されています。
PCIデータセキュリティ標準は、「制御目標」として知られる6つの論理的に関連するグループにグループ化された12のコンプライアンス要件を概説しています。6つのグループは次のとおりです。
- 安全なネットワークとシステムの構築と維持
- カード会員データの保護
- 脆弱性管理プログラムの維持
- 強力なアクセス制御措置の実施
- ネットワークの定期的な監視とテスト
- 情報セキュリティポリシーの維持
クレジットカード情報を保存、処理、または送信する組織は、PCI基準に従ってクレジットカードデータを保護する必要があります。つまり、カード会員データを取り扱う加盟店またはサービスプロバイダーは、以下を遵守しなければなりません。
- 加盟店は、商品またはサービスのデビットカードまたはクレジットカード決済を受け付けます。PCI DSSは、加盟店がクレジットカード処理をサードパーティに下請けした場合でも適用されることに注意してください。
- サービスプロバイダーは、別の組織に代わってカード会員データの処理、保管、または送信に直接関与します。
一部の組織では、加盟店とサービスプロバイダーの両方の役割を果たすことができます。たとえば、他の加盟店にデータ処理サービスを提供する組織は、カード決済を受け入れる場合、加盟店にもなります。
PCI DSS準拠になるかどうかは、組織の決済環境の複雑さと、すでに導入されているデータセキュリティ対策に依存します。各組織は個別に評価される必要があります。
カードデータを取り扱うすべての組織にとって決済セキュリティは不可欠です。