バリデーション要件を全世界で統一

VISAがPCI DSS順守に期限を設定

2008/11/14

 ビザ・ワールドワイドは11月13日、クレジットカードやデビットカードなどのペイメントカード業界のセキュリティ基準である「PCI DSS」の国際的な義務化に向けた順守期限を発表した。取引量によって決められる加盟店のレベルとPCI DSSバリデーション要件の統一が行われ、取引量の多い上位レベルの加盟店に対しては、具体的な報告期限が設定された。

 加盟店はペイメントカードの年間取引量により4つのレベルに分類され、PCI DSSのバリデーション要件はレベルごとに異なる。年間取引量が600万件を超えるレベル1の加盟店に対しては認定セキュリティ評価ベンダ(QSA)による年次報告書の提出や、脆弱(ぜいじゃく)性スキャニングベンダ(ASV)による四半期ごとの脆弱性スキャン結果の報告が求められる。

加盟店のレベルとバリデーション要件 加盟店のレベルとバリデーション要件

 このうち上位のレベルに分類される加盟店に対しては、「保管禁止データの廃棄期限」(レベル1、2)、および「PCI DSS順守バリデーションの期限」(レベル1)が設定される。クレジットカード情報にはカード番号のほかにも、磁気ストライプ内に格納された情報やPIN、セキュリティコード(CVV2)などがあるが、このうちPINやセキュリティコードは機密認証データとされており、取引認証後に直ちに破棄する必要がある。今回、これらの機密情報が適切に処理されていることを確認、報告する期限を2009年9月30日とした。

 また、レベル1加盟店に対しては、QSAによるPCI DSS順守報告書の提出を2010年9月30日までに行うことを義務づけた。これらの証明を提出しなかった場合、加盟店に対し罰金が科せられることがあるという。

 PCI DSSはペイメントカード業界におけるセキュリティ要件を定めた基準で、VISA、JCB、アメリカンエキスプレス、Discover、マスターカードの5社が共同で策定したもの。2008年10月には最新バージョンであるv1.2が発表され、2010年6月30日以降のWEP利用禁止などが盛り込まれている。

関連リンク

(@IT 宮田 健)

情報をお寄せください:



Security&Trust フォーラム 新着記事
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH