PCI DSS
PCI DSS(Payment Card Industry Data Security Standard)とは
PCI DSS(Payment Card Industry Data Security Standard)は、国際的なクレジット カード会社が共同で策定した、カード会員データを取り扱う事業者が準拠すべきグローバルな基準です。各カード会社は、カード加盟店や決済処理を代行するサービス会社などに対して、取引規模に応じて問診票による自己診断、外部機関による脆弱性スキャニング、認定審査機関による訪問審査を義務付けています。
さらに、PCI DSSは情報セキュリティ施策として、クレジットカード業界以外の一般の企業にも広がる動きを見せています。
PCI DSSには12の大きな要件があり、それぞれの要件がさらに詳しく細分化されています。12の要件は、ファイアウォールの構築から、安全なシステムの開発、セキュリティポリシーの整備までの広い範囲をカバーしています。
PCI DSSの12の大きな要件
PCI DSSには12の大きな要件があり、それぞれの要件がさらに詳しく細分化されています。12の要件は、ファイアウォールの構築から、安全なシステムの開発、セキュリティポリシーの整備までの広い範囲をカバーしています。PCI DSS基準 安全なネットワークとシステムの構築と維持 要件 1: ネットワークセキュリティコントロールの導入と維持 要件 2: すべてのシステムコンポーネントにセキュアな設定を適用する アカウントデータの保護 要件 3: 保存されたアカウントデータの保護 要件 4: オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する 脆弱性管理プログラムの維持 要件 5: 悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する 要件 6: 安全なシステムおよびソフトウェアの開発と維持 強固なアクセス制御の実施 要件 7: システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する 要件 8: ユーザの識別とシステムコンポーネントへのアクセスの認証 要件 9: カード会員データへの物理アクセスを制限する ネットワークの定期的な監視とテスト 要件 10: システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること 要件 11: システムおよびネットワークのセキュリティを定期的にテストする 情報セキュリティポリシーの維持 要件 12: 組織の方針とプログラムによって情報セキュリティをサポートする |
PCI DSSの策定団体であるPCI Security Standards CouncilのWebサイト(英文)
dotTESTのPCI DSSサポート
dotTESTはPCI DSS 要件 6:「安全なシステムおよびソフトウェアの開発と維持」の準拠に役立ちます。要件 6.2.4 のソフトウェア攻撃や関連する脆弱性を防止・軽減するための技術的な対策に挙げられている脆弱性を検出することができます。
- インジェクション攻撃
- データおよびデータ構造に対する攻撃
- 暗号の使用に関する攻撃
- ビジネスロジックに対する攻撃
- アクセス制御の仕組みに対する攻撃
dotTESTには、これらの脆弱性を検証するためのコンフィギュレーションがあらかじめ用意されています。
- PCI DSS 4.0 コンフィギュレーション ルールのカスタマイズおよび新規作成機能により、新たに見つかった脆弱性パターンにも対応することができます。
ソフトウェア開発ライフサイクル全体を通じた情報セキュリティの確保
PCI DSSは、ソフトウェア開発ライフサイクル全体を通して情報セキュリティを実現すること(要件 6.2.1)を要求しています。 dotTESTを使って定期的にセキュリティを検査することは、この要件の実装に役立ちます。 また、Parasoft DTPを利用することで、コンプライアンスの順守/逸脱レポートをリアルタイムで参照することができます。
PCI DSS ダッシュボード
PCI DSS コンプライアンスレポート
※ セキュリティルールおよびセキュリティコンプライアンス規約セットによる静的解析には「セキュリティコンプライアンスパック」のライセンス(有償)が必要です。
PICK UP
イベント・セミナー
C# VB.NET対応 静的解析・動的解析 テストツール dotTESTに
関するお問い合わせ
テクマトリックス株式会社
東京本社ソフトウェアエンジニアリング事業部
03-4405-7853
- メールでのお問い合わせ
- parasoft-info@techmatrix.co.jp