PCI コンプライアンスとは何ですか? PCI に準拠する必要はありますか?

PCI コンプライアンス: それは何ですか?

クレジット カード ビジネスは、金融システムにおけるクレジット カード トランザクションの安全性を保護するために、PCI コンプライアンスに準拠する必要があります。 クレジット カード業界のコンプライアンスとは、カード処理操作中に提供されるカード所有者データを保護および保存するための企業の技術的および運用上の要件を指します。 PCI Security Standards Council は、PCI コンプライアンス基準を開発および管理しています。

PCI コンプライアンスについて

クレジット カードの処理は、消費者保護と規制の対象となるため、連邦取引委員会 (FTC) によって規制されています。 PCI への準拠を法的に強制するものではありませんが、裁判所の判例では義務付けられていると見なされています。

一般に、PCI コンプライアンスは、すべてのクレジット カード会社のセキュリティ プロセスの重要な要素です。 多くの場合、クレジット カード会社から要求され、クレジット カード ネットワーク契約に記載されています。

PCI Requirements Council は、PCI コンプライアンス標準の開発を担当しています。 これらの標準は加盟店の処理に適用され、暗号化されたインターネット トランザクションの要件を含むように強化されています。 クレジット カード業界の基準設定プロセスに関与するその他の重要な機関は、Card Association Network と National Automated Clearing House (NACHA) です。

PCI に準拠していない場合はどうなりますか?

PCI への準拠は必須ですが、一部の企業所有者は、標準を回避できるかどうか疑問に思っています。これは非倫理的であり、破滅的な考えです。 PCI に準拠していない場合、消費者と会社のセキュリティを危険にさらすことになります。 PCI コンプライアンスによって提供される保護策がなければ、企業は高額な攻撃やデータ侵害にさらされる可能性があります。

データ侵害が発生し、組織が PCI に準拠していない場合、5,000 ドルから 500,000 ドルの範囲の罰則と罰金が科される可能性があります。 しかし、罰則はコンプライアンス違反による被害の始まりにすぎません。 PCI に準拠していない場合、マーチャント アカウントを失うリスクがあり、クレジット カードによる支払いを完全に受け入れることができなくなります。 さらに、あなたの会社はリスクの高い加盟店を管理するためのメンバー アラート (MATCH) リストに含まれている可能性があり、新しい加盟店口座を開設する資格が何年もありません。

さらに、データ侵害は、数千ドルの損害、消費者の尊敬と信頼の喪失、およびブランドの喪失につながる可能性があります. 非 PCI コンプライアンスに関連するさまざまな罰則があるため、費用のかかる罰金やその他の損害を回避するために、可能な限り完全に準拠することが常に賢明です。

PCI DSS コンプライアンスの 12 の要件は何ですか?

ファイアウォールのインストールと維持

ファイアウォールは、外部または未知の組織へのプライベート データへのアクセスを効果的に拒否します。 これらの予防措置は、多くの場合、ハッカー (悪意のあるものであろうとなかろうと) に対する防御の最前線です。 不正アクセスを防止する能力があるため、PCI DSS 準拠にはファイアウォールが必要です。

効果的なパスワード保護

ルーター、モデム、販売時点管理 (POS) システム、およびその他のサードパーティ製品には、多くの場合、一般の人が簡単にアクセスできる汎用パスワードとセキュリティ メカニズムが含まれています。 多くの場合、企業はこれらの脆弱性を保護できません。 この分野でコンプライアンスを維持するには、パスワードで保護されたすべてのデバイスとアプリケーション (またはその他のアクセス セキュリティ) のリストを維持する必要があります。 デバイス/パスワードのインベントリを使用して、必須の保護とセットアップを実装する必要があります (パスワードの変更など)。

カード所有者のデータを保護する

3 つ目の PCI DSS コンプライアンス義務は、カード所有者データを 2 つの方法で保護することです。 カード会員データは、特定のアルゴリズムを使用して暗号化する必要があります。 これらの暗号化は、暗号化キーを使用して実装されます。これは、コンプライアンスのために同様に暗号化する必要があります。 暗号化されていないデータが存在しないことを確認するには、プライマリ アカウント番号 (PAN) を定期的に維持およびスキャンする必要があります。

送信データの暗号化

カード会員データは、さまざまな従来の経路 (つまり、支払い処理業者、地元の店舗からのホーム オフィスなど) を介して送信されます。 このデータがこれらの既知の宛先に転送されるときは、暗号化する必要があります。 また、不明なサイトに口座番号を提供することは絶対に避けてください。

アンチウイルスの使用と維持

PCI DSS コンプライアンス以外では、ウイルス対策ソフトウェアを使用することは賢明な方法です。 ただし、PAN とやり取りして保存するすべてのデバイスには、ウイルス対策ソフトウェアがインストールされている必要があります。 このソフトウェアは、定期的にパッチを適用して更新する必要があります。 さらに、POS サプライヤは、ウイルス対策保護を直接展開できない領域で使用する必要があります。

更新されたソフトウェア

ファイアウォールとウイルス対策ソフトウェアは、定期的に更新する必要があります。 さらに、企業内のすべてのソフトウェアを最新の状態に保つことが賢明です。 ソフトウェア プログラムの大部分は、新たに特定された脆弱性に対処するためのパッチなどのセキュリティ対策をアップデートの一部として組み込んでおり、追加の保護層を提供しています。 これらのアップグレードは、カード会員データとやり取りしたり保存したりするデバイスで実行されているすべてのソフトウェアにとって重要です。

データへのアクセスを制限する

カード会員情報は厳密に「知る必要がある」ものでなければなりません。 この情報を必要としないすべての従業員、役員、および第三者は、アクセスを拒否する必要があります。 PCI DSS が要求するように、機密データを必要とする責任は十分に文書化され、定期的に更新される必要があります。

固有のアクセス コード

カード会員データにアクセスできる従業員を特定し、それぞれが個別の資格情報を持っている必要があります。 たとえば、複数のワーカーがユーザー名とパスワードを知っている状態で、暗号化されたデータに 1 回のログインでアクセスするべきではありません。 一意の識別子により、脆弱性が軽減され、データが侵害された場合の対応時間が短縮されます。

物理レベルでアクセスを制限する

カード所有者に関するデータは、物理的に安全な場所に保管する必要があります。 物理的に書き込まれた、またはタイプされたデータ、およびデジタルで保存されたデータ (ハード ドライブなど) は、安全な部屋、引き出し、またはキャビネットに保管する必要があります。 アクセスを制限するだけでなく、機密データにアクセスするたびに、コンプライアンスを確保するために記録を維持する必要があります。

アクセスログの管理

カード会員データとプライマリ アカウント番号 (PAN) を含むすべてのトランザクションを記録する必要があります。 おそらく、コンプライアンス違反に関する最も一般的な懸念は、機密データへのアクセスに関する十分な記録保持と文書化の欠如です。 コンプライアンスでは、会社に入ってくるデータの流れと、アクセスが必要な頻度を追跡する必要があります。 さらに、正確性を確保するには、アクセスを追跡するソフトウェア ツールが必要です。

脆弱性のスキャンとテスト

上記の 10 のコンプライアンス基準のそれぞれは、多くのソフトウェア製品、物理的な場所、および人員の使用を必要とします。 多くのアイテムが正しく動作しなかったり、時代遅れになったり、人的ミスの対象になったりする可能性があります。 定期的なスキャンと脆弱性テストの PCI DSS 基準を遵守することで、これらのリスクを軽減できます。

ドキュメントに関するポリシー

コンプライアンスには、アクセスできる機器、ソフトウェア、および労働者の文書が必要です。 さらに、カード会員データ アクセスの記録には文書が必要です。 また、情報がどのようにあなたのビジネスに入り、どこで保持され、セールスポイントを超えて利用されるかを記録する必要があります。

PCI コンプライアンスの利点

コンプライアンスの利点には、データ侵害のリスクの軽減、カード所有者データの保護、および個人情報の盗難の回避が含まれます。 コンプライアンスは、データ侵害に関連する罰則を最小限に抑え、企業のブランドの評判に利益をもたらし、消費者が責任ある企業と取引を行っていることに満足し、自信を持ってブランド ロイヤルティにつながるため、企業にとってベスト プラクティスです。

クレジット カード情報を受け入れるすべての企業は、カード処理契約の下で、PCI コンプライアンスを維持する義務があります。 PCI コンプライアンスは業界標準であり、これを順守しない企業は、契約違反や不注意に対して重大な罰則を負うリスクがあります。 PCI に準拠していない企業も、盗難、詐欺、およびデータ侵害に非常にさらされています。

Fixed.net では、カード データに触れないことを強くお勧めします。 つまり、カード データがトークン化されている Stripe や Braintree などのプロバイダーを使用します。 カードデータはあなたによって保存されることはなく、あなたが見ることさえありません. 顧客は、支払いプロバイダーの Web サイトから埋め込みウィジェットを使用して詳細を入力します。

PCI コンプライアンスと WordPress

WordPress はオープン ソース ソフトウェアであり、支払いシステムが組み込まれていません。代わりに、支払いシステムは WooCommerce などのプラグインにバンドルされています。 これらのプラグインには、通常、Stripe などのサード パーティのゲートウェイを関連付ける機能があります。 カード データに触れないゲートウェイを選択した場合、PCI 準拠である必要はありません。

PCI コンプライアンスと WooCommerce

WooCommerce には多数の支払いオプションがバンドルされており、サードパーティのプラグインで拡張できます。 このブログの他のさまざまなガイドで支払いオプションについて説明します。 ただし、固定加入者の大多数は、Stripe と PayPal を組み合わせて使用​​する傾向があります。