[ピクシードレス]

[PCÍ D~SS とは以下の略です。ペイメントカード業界データセキュリティ基準、そして、アメリカンエキスプレス、ディスカバーファイナンシャルサービス、JC~Bインターナショナル、マスターカード、ビザなどの主要なクレジットカードネットワークからのブランドクレジットカードを取り扱い、受け入れるあらゆる組織のための情報セキュリティ基準のセットです。PCÍ~ DSS は 2006 年から導入されており、対象組織では現在 P~CÍ DS~S 3.2.1 への準拠が義務付けられています。PCÍ~ データセキュリティ標準に準拠している企業や企業は、機密情報を安全に保っているという安心感が得られるため、顧客からの信頼が高まります。これらの基準に従わないと、セキュリティ違反につながり、ひいては収益と顧客ロイヤルティに重大な損失をもたらす可能性があります。]

[新しいバージョンであるPCÍ D~SS 4.0は、現在RF~C（コメントのリクエスト）段階にあり、2021年半ばに完成する予定です。PCÍ~ 評議会によると、PCÍ D~SS 3.2.1 は 18 か月間有効のままになるとのことです。 PC~Í DSS~ 4素材を公開しました。]

[PCÍ標準は、カードインタラクションを使用するカードネットワークおよび企業によって施行されますが、管理はカードネットワークによって管理されますペイメントカード業界セキュリティ基準審議会。S~écúr~ítý S~táñd~árds~ Cóúñ~cílは、すべてのコンプライアンス情報とポリシーが最新であり、企業にとって最も正確で役立つ情報を提供することを保証します。]

[PCÍ D~SS に準拠する必要があるのはどのような人ですか¿]

[PCÍ データセキュリティ標準 (P~CÍ DS~S) の目標は、カード会員データ (CHD~) と機密認証データ (SÁD) が処理、保存、または送信される場所を問わず保護することです。カード所有者データを保存、処理、または送信するすべての組織にとって、支払いのセキュリティを維持することが必要です。]

[PCÍ セキュリティ標準には、以下の技術的および運用上の要件が含まれています。]

[支払い取引を受け付けたり処理したりする組織]
[それらの取引に使用されるアプリケーションおよびデバイスのソフトウェア開発者およびメーカー]

[2018 年 5 月にリリースされた PCÍ 3.2.1 は、対象となる組織が遵守しなければならない現在のバージョンです。]

[コンプライアンスの検証は、組織のマーチャントレベルの指定に適した方法で、毎年または四半期ごとに行われます。マーチャントレベルの指定は、処理されるクレジットカード取引の年間量に応じます。]

[PCÍマーチャントレベルと監査および報告要件の概要]

[以下の表は、PCÍマーチャントレベルの概要、各レベルで一般的に使用される一般的な支払いアーキテクチャ、および対応するP~CÍ監査および報告要件を示しています。注:クレジットカード会社によってマーチャントレベルのベンチマークには微妙な違いがあるため、読者は各自の組織に適用される要件を正確に評価するために、PC~Í アドバイザリーや QSÁ~ パートナーに相談することをお勧めします。]

[.w-émb~éd {overflow-x: scroll;}.w-é~mbéd~ tábl~é tbó~dý {display: table;width: 100%;}.w-é~mbéd~ tábl~é tr t~d {border: 1px solid; padding:5px;}@méd~íá sc~rééñ~ áñd (m~áx-wí~dth: 767p~x) {.w-embed table {table-layout: fixed; width: 100%; white-space: nowrap;}}]

[Mérc~háñt~ Lévé~l]	[Vólú~mé óf~ Créd~ít Cá~rd Tr~áñsá~ctíó~ñs Pé~r Ýéá~r]	[Cómm~óñ Pá~ýméñ~t Árc~híté~ctúr~é]	[PCÍ Á~údít~ áñd R~épór~tíñg~ Réqú~írém~éñts~]
[LÉVÉ~L 1]	[Móré~ tháñ~ 6 míll~íóñ t~ótál~ tráñ~sáct~íóñs~ ácró~ss ál~l gló~bál r~égíó~ñs]	[Écóm~mérc~é] [Cárd~ ñót p~résé~ñt] [Cárd~-prés~éñt]	[Áññú~ál Ré~pórt~ óñ Có~mplí~áñcé~ (RÓC) t~hróú~gh á Q~úálí~fíéd~ Sécú~rítý~ Ássé~ssór~ (QSÁ)] [Qúár~térl~ý ñét~wórk~ scáñ~s bý á~ñ Ápp~róvé~d Scá~ññíñ~g Véñ~dór (Á~SV)] [Átté~stát~íóñ ó~f Cóm~plíá~ñcé F~órm]
[LÉVÉ~L 2]	[1 míll~íóñ t~ó 6 míl~líóñ~ ácró~ss ál~l gló~bál r~égíó~ñs]	[Écóm~mérc~é] [Cárd~ ñót p~résé~ñt] [Cárd~-prés~éñt]	[Áññú~ál Sé~lf-Ás~séss~méñt~ Qúés~tíóñ~ñáír~é (SÁQ~) (íñté~rñál~ áúdí~t)] [Qúár~térl~ý ñét~wórk~ scáñ~ bý áñ~ ÁSV] [Átté~stát~íóñ ó~f Cóm~plíá~ñcé F~órm]
[LÉVÉ~L 3]	[20,000 tó 1 mí~llíó~ñ ácr~óss g~lóbá~l rég~íóñs~]	[Écóm~mérc~é óñl~ý]	[Áññú~ál SÁ~Q] [Qúár~térl~ý ñét~wórk~ scáñ~ bý áñ~ ÁSV] [Átté~stát~íóñ ó~f Cóm~plíá~ñcé F~órm]
[LÉVÉ~L 4]	[Léss~ tháñ~ 20,000] [ÓR] [1 míll~íóñ t~hróú~gh ál~l chá~ññél~s BÚT~] [Léss~ tháñ~ 20,000 cárd~ tráñ~sáct~íóñs~]	[Écóm~mérc~é óñl~ý] [Cárd~ prés~éñt] [Écóm~mérc~é]	[Áññú~ál SÁ~Q] [Qúár~térl~ý ñét~wórk~ scáñ~ bý áñ~ ÁSV] [Átté~stát~íóñ ó~f Cóm~plíá~ñcé F~órm]

[12 PCÍ D~SS の要件]

[PCÍ D~SS 3.2.1には、6つの目標、12の要件、78の基本要件、および400を超えるテスト手順が含まれています。以下の表は、PC~Í DSS~ の目標と関連要件をまとめたものです。サブ要件とテストの詳細については、以下を参照してください。 PCÍ D~SS リファレンスガイド。]

[PCÍ D~SS ÓB~JÉCT~ÍVÉS~]	[Réqú~írém~éñts~]
[BÚÍL~D ÁÑD~ MÁÍÑ~TÁÍÑ~ Á SÉC~ÚRÉ Ñ~ÉTWÓ~RK ÁÑ~D SÝS~TÉMS~]	[1. Íñst~áll á~ñd má~íñtá~íñ á f~íréw~áll c~óñfí~gúrá~tíóñ~ tó pr~ótéc~t cár~dhól~dér d~átá] [2. Dó ñó~t úsé~ véñd~ór-sú~pplí~éd dé~fáúl~ts fó~r sýs~tém p~ássw~órds~ áñd ó~thér~ sécú~rítý~ párá~mété~rs]
[PRÓT~ÉCT C~ÁRDH~ÓLDÉ~R DÁT~Á]	[3. Prót~éct s~tóré~d cár~dhól~dér d~átá] [4. Éñcr~ýptí~óñ tr~áñsm~íssí~óñ óf~ cárd~hóld~ér dá~tá ác~róss~ ópéñ~, públ~íc ñé~twór~ks]
[MÁÍÑ~TÁÍÑ~ Á VÚL~ÑÉRÁ~BÍLÍ~TÝ MÁ~ÑÁGÉ~MÉÑT~ PRÓG~RÁM]	[5. Prót~éct á~ll sý~stém~s ágá~íñst~ málw~áré á~ñd ré~gúlá~rlý ú~pdát~é áñt~í-vír~ús só~ftwá~ré ór~ próg~ráms~] [6. Dévé~lóp á~ñd má~íñtá~íñ sé~cúré~ sýst~éms á~ñd áp~plíc~átíó~ñs]
[ÍMPL~ÉMÉÑ~T STR~ÓÑG Á~CCÉS~S CÓÑ~TRÓL~ MÉÁS~ÚRÉS~]	[7. Rést~ríct~ áccé~ss tó~ cárd~hóld~ér dá~tá bý~ búsí~ñéss~ ñééd~ tó kñ~ów] [8. Ídéñ~tífý~ áñd á~úthé~ñtíc~áté á~ccés~s tó s~ýsté~m cóm~póñé~ñts] [9. Rést~ríct~ phýs~ícál~ áccé~ss tó~ cárd~hóld~ér dá~tá]
[RÉGÚ~LÁRL~Ý MÓÑ~ÍTÓR~ ÁÑD T~ÉST Ñ~ÉTWÓ~RKS]	[10. Trác~k áñd~ móñí~tór á~ll ác~céss~ tó ñé~twór~k rés~óúrc~és áñ~d cár~dhól~dér d~átá] [11. Régú~lárl~ý tés~t séc~úrít~ý sýs~téms~ áñd p~rócé~ssés~]
[MÁÍÑ~TÁÍÑ~ ÁÑ ÍÑ~FÓRM~ÁTÍÓ~Ñ SÉC~ÚRÍT~Ý PÓL~ÍCÝ]	[12. Máíñ~táíñ~ á pól~ícý t~hát á~ddré~ssés~ íñfó~rmát~íóñ s~écúr~ítý f~ór ál~l pér~sóññ~él]

[PCÍ コンプライアンス違反による潜在的なリスク]

[PCÍ D~SSは12年以上前から存在していますが、多くの組織が監査中に重大な不利な結果に直面し続けています。また、最近PC~Í監査に合格した後でも、データ侵害が発生したと報告している組織はごくわずかです。ここで重要なのは、コンプライアンスは必ずしもデータやアプリケーションが安全であることを意味するわけではないということです。コンプライアンスはベースラインと見なすべきであり、組織は必ずしもコンプライアンスの対象とならない脅威ベクトルの特定と軽減にも注力すべきです。コンプライアンス義務。]

[これらは最も一般的です PCÍ コンプライアンス課題:]

[PCÍ監査の範囲を管理し、コストを管理する必要がある。P~CÍ セキュリティ理事会は、スコーピングとネットワークセグメンテーションのガイド。この文書は、対象となる組織がCD~É（カード会員データ環境）コンポーネント、PCÍ~接続システムおよびPCÍセキュリティに影響するシステム、および対象外のコンポーネントを特定するのに役立つフレームワークを提供します。残念ながら、データセンター環境と決済アーキテクチャの性質がますますダイナミックで複雑になっているため、スコーピングとセグメンテーションのフレームワークを実行することは多くの組織にとって困難です。静的なポイントインタイムのデータおよびネットワークフローマップに頼って P~CÍ コンポーネントインベントリの作成と維持を行うと、一貫性のない ÍT~ 変更やファイアウォールの変更管理手法が相まって、スコーピングやセグメンテーションの誤りが発生し、その結果 PCÍ 評価が失敗し、監査コストが高くなってしまいます。]
[PCÍ セキュリティコンプライアンスとセグメンテーション体制を継続的に維持できない。P~CÍ セキュリティ標準では、組織は PC~Í セグメンテーション体制を継続的に維持し、PCÍ~ 要件と基本要件に継続的に準拠することを義務付けています。ダイナミックで複雑なデータセンターと決済アーキテクチャと、セキュリティプロセスと ÍT 運用における不整合が組み合わさると、セキュリティと統制のギャップが生じます。ÍT~ 慣行の結果、PCÍ コンポーネントは、同じゾーン、V~LÁÑ、またはサブネット内で P~CÍ 以外のコンポーネントと混ざり合い、CD~É へのトラフィックを制限するための追加の制御が行われないことがよくあります。場合によっては、ÍT 変更管理、リソースプロビジョニング、ファイアウォールの変更管理プロセスが切り離されているために、対象範囲内の P~CÍ 接続システムのインベントリが不正確になったり、ファイアウォールルールが誤って構成されたりすることがあります。また、脆弱性管理やパッチ管理のプロセスが不十分だと、組織が PC~Í セキュリティ体制を継続的に維持できなくなってしまいます。ベライゾン・ペイメント・セキュリティ・レポート決済セキュリティの傾向と、組織が引き続き経験している重大なセキュリティ課題について詳細にレビューします。ベライゾンはこのレポートを2010年から毎年発行しています。2020 年のレポートでは、次の PCÍ~ 要件の統制ギャップが最も大きいと著者らは結論付けています。]
[リクエスト 11.セキュリティシステムとプロセスをテストする。]
[リクエスト 5.悪質なソフトウェアからの保護]
[リクエスト 10.アクセスを追跡および監視する]
[必要条件 12.セキュリティ管理]
[リクエスト 8.アクセスを認証する。]
[リクエスト 1.ファイアウォールのインストールと構成の管理]
[フラットネットワークを持つこと。驚くべきことに、今日でも多くの組織がフラットネットワークを採用し続けています。なぜなら、フラットネットワークは設計が簡単で、運用と保守が容易だからです。しかし、フラットネットワークとは、環境内のすべて (PCÍ に接続されていないコンポーネントや C~DÉ 以外のコンポーネントを含む) が PC~Í の対象になることを意味し、PCÍ~ 監査コストが高くなります。フラットネットワークとは、攻撃者が単一のホストを危険にさらすことに成功しても、簡単にネットワークを経由して支払いアプリケーションやカード会員データベースにアクセスできるということです。]
[リモートワーク運用モデルへの移行を確保する必要がある。組織がオールリモートワークの運用モデルに移行するにあたり、これらの変化が PCÍ 環境の範囲にどのように影響するか、また C~DÉ への正当なトラフィックを制御するためにどのような追加管理を実施する必要があるかを評価する必要があります。例としては、従業員用ラップトップから支払いアプリケーションへの権限のある管理者の正当なリモートアクセスの保護、リモートカスタマーサポートと請求の保護、およびインターネットに接続された非接触型キオスクとデータセンターアプリケーション間のオンサイトでの非接触型認証接続の保護などがあります。]

[PCÍ データセキュリティ標準の一般的な実装上の課題とは¿~]

[ワークロード、ユーザー、デバイス、およびその接続とフローをリアルタイムで可視化することは、次の場合に重要です。]

[PCÍ 環境の適用範囲が最新かつ正確であることを確認することは、セグメンテーションとファイアウォールのルールが正しく適用されることを意味します。]
[四半期ごとに義務付けられている内部脆弱性スキャンに貴重な情報を提供し、その情報を使用して脆弱性に関連する潜在的なラテラルアタック経路をマッピングします。]
[PCÍ環境を継続的に監視して、潜在的な攻撃の兆候となる可能性のあるワークロード、デバイス、ユーザー、接続、接続試行の失敗などの変化がないかを確認します。]
[必ずしもPCÍコンプライアンス要件でカバーされていない攻撃対象領域と脅威ベクトルの変化を特定します。]

[効果的なPCÍ D~SSコンプライアンスにおけるリアルタイムの可視性の重要性]

[リアルタイムの可視性は、CDÉ、P~CÍ接続、およびPC~Íセキュリティに影響するシステムのすべての接続を継続的に監視することにより、PCÍ~スコープの正確性を確保するのに役立ちます。これらはすべてPCÍの対象範囲に含まれます。その後、組織はホストベースのマイクロセグメンテーションを適用して該当するファイアウォールルールを適用し、P~CÍ 環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「合法」のトラフィックのみに制限できます。(要件 1)]
[PCÍ環境の効果的かつ正確なセグメンテーションを継続的に維持することは、P~CÍ監査コストの管理に役立ちます。]
[誤って構成されたり、古くなったりしたファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされるリスクを軽減できます。]
[ÍT自動化ツール（Ch~éf、Pú~ppét~、Áñsí~blé、T~érrá~fórm~など）との統合を活用して、ワークロードリソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーションポリシーが確実にプロビジョニングされるようにします。]
[リアルタイムの可視化は、組織がリモートワークに移行する際のPCÍスコープの変更を評価するのに役立ちます。これにより、組織は重大な統制上のギャップや潜在的な攻撃経路を特定できます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限したり、ユーザーとデータセンターのアプリケーション接続を制御したりできます。]
[ネットワーク環境を再構築することなく、複数のVLÁÑ~、ゾーン、サブネットに分散している承認済みPCÍワークロード、ユーザー、デバイス間の接続を制御し、Í~T運用の変化に対応できます。]
[クラウドネイティブ環境やグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を活用して、ワークロードの発生時に「セグメンテーションポリシー」をプロビジョニングできます。]
[組織は PCÍ コンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して攻撃対象領域を減らし、ラテラルムーブメントを阻止し、攻撃対象領域の急速な拡大を抑えることもできます。ランサムウェア。]

[ホストベースのマイクロセグメンテーションによる PCÍ コンプライアンスとサイバーセキュリティの課題への対処]

[リアルタイムの可視性は、CDÉ、P~CÍ接続、およびPC~Íセキュリティに影響するシステムのすべての接続を継続的に監視することにより、PCÍ~スコープの正確性を確保するのに役立ちます。これらはすべてPCÍの対象範囲に含まれます。そうすれば、組織はホストベースを適用できます。マイクロセグメンテーション該当するファイアウォールルールを適用して、P~CÍ環境へのインバウンドおよびアウトバウンドトラフィックを「許可」または「合法」トラフィックのみに制限します。(要件 1)]
[PCÍ環境の効果的かつ正確なセグメンテーションを継続的に維持することは、P~CÍ監査コストの管理に役立ちます。]
[誤って構成されたり、古くなったりしたファイアウォールルールを排除することで、対象となる組織が潜在的なデータ侵害にさらされるリスクを軽減できます。]
[ÍT自動化ツール（Ch~éf、Pú~ppét~、Áñsí~blé、T~érrá~fórm~など）との統合を活用して、ワークロードリソースのプロビジョニングと本番環境へのリリースと同時に、セグメンテーションポリシーが確実にプロビジョニングされるようにします。]
[リアルタイムの可視化は、組織がリモートワークに移行する際のPCÍスコープの変更を評価するのに役立ちます。これにより、組織は重大な統制上のギャップや潜在的な攻撃経路を特定できます。その後、組織はホストベースのマイクロセグメンテーションを適用して、自宅のデバイスからリモートユーザーのラップトップへのピアツーピア接続を制限したり、ユーザーとデータセンターのアプリケーション接続を制御したりできます。]
[ネットワーク環境を再構築することなく、複数のVLÁÑ~、ゾーン、サブネットに分散している承認済みPCÍワークロード、ユーザー、デバイス間の接続を制御し、Í~T運用の変化に対応できます。]
[クラウドネイティブ環境やグリーンフィールド環境では、組織はコンテナオーケストレーションプラットフォームとの統合を活用して、ワークロードの発生時に「セグメンテーションポリシー」をプロビジョニングできます。]
[組織は PCÍ コンプライアンス要件を直接満たすだけでなく、マイクロセグメンテーションを適用して攻撃対象領域を減らし、ラテラルムーブメントを阻止し、攻撃対象領域の急速な拡大を抑えることもできます。ランサムウェア。]

[さらに詳しく]

[今すぐ始めて、PCÍに準拠し、顧客と会社を保護するための手順を実行してください。]

[マイクロセグメンテーションがPCÍ D~SSの範囲を縮小し、コンプライアンスを達成するのにどのように役立つかについて詳しくは、ホワイトペーパー「PC~Íコンプライアンスを効果的にセグメント化する3つのステップ」をご覧ください。]

[báck~ tó gl~óssá~rý]