Zenn
🐷

PCI-DSSについて(Webサイトでクレジットカード情報の取り扱いには注意です)

2023/04/27に公開
Security
idea

PCI-DSS とは

PCI-DSS は、​ クレジットカード会員データを安全に取り扱うために策定された、​ クレジットカード業界のセキュリティ基準です。
​ 国際ペイメントブランド 5 社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定したカード情報セキュリティの国際統一基準であり、クレジットカード情報を取り扱う
​ 加盟店やサービスプロバイダにおいて、​ クレジットカード会員データを安全に取り扱うことを目的としています。
​PCI-DSS に準拠することで、​ クレジットカード情報の漏洩や不正利用を防止することができます。

  • ここでいうサービスプロバイダとは、​​​ クレジットカード会員データの処理・​​ 保管・​​ 伝送に関わる全ての事業者のこと

元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。
しかし、ひとつの加盟店で複数のカードが使える仕組み(マルチアクワイヤリング)が一般的な現在、各ブランドの要求に対応しなくてはならない加盟店にとっては、非常に大きな負荷とならざるを得ない状況だったわけです。

ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド 5 社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。それが、PCI-DSS です。

https://www.jcdsc.org/pci_dss.php

PCI-DSS の対応が必要な事業者は?

カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS 準拠する必要があります。
カード取引量が PCI DSS 準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。

  • 自社のサーバーやネットワークがクレジットカード情報を保存・処理・伝送した瞬間に PCI-DSS に準拠する必要が出てきます。
(参考)PCI-DSS の対応って何する??

PCI-DSS への具体的な対応方法は、カード情報の取扱い形態や規模によって、3 つの方法があります。

  1. 訪問審査

    PCI 国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSA の一覧は、PCI 国際協議会のサイトに掲示されています。カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。

  2. サイトスキャン

    WEB サイトから侵入されて、情報を盗み取られることがないか、PCI 国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に 1 回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASV の一覧は、PCI 国際協議会のサイトに掲示されています。カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。

  3. 自己問診

    PCI-DSS の要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。

対応要件

PCI-DSS では、クレジットカード情報を安全に取り扱うために、6 つの目標とそれに対応する 12 の要件のもと、具体的な約 400 項目もの要求基準が定められています。

  • 安全なネットワークとシステムの構築・維持
    要件 1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
    要件 2: システムパスワードおよびその他のセキュリティパラメータに、ベンダ提供のデフォルト値を使用しない
  • カード会員データの保護
    要件 3: 保存されるカード会員データの保護
    要件 4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
  • 脆弱性管理プログラムの整備
    要件 5: すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
    要件 6: 安全性の高いシステムとアプリケーションを開発し、保守する
  • 強固なアクセス制御手法の導入
    要件 7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
    要件 8: システムコンポーネントへのアクセスを確認・許可する要件 9: カード会員データへの物理アクセスを制限する
  • 定期的なネットワークの監視及びテスト
    要件 10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
    要件 11: セキュリティシステムおよび管理手順を定期的にテストする
  • 情報セキュリティーポリシーの整備
    要件 12: すべての担当者の情報セキュリティポリシーを整備する

番外編:決済機能を持ったサイトを作成するときの Tips

カード情報を「保存、処理、または伝送する」企業は、PCI-DSS に則って途轍もないセキュリティ要件を確認し合格しなければいけないです(時間もコストもかかります)
そこで、EC サイトなどで決済機能を追加する時は、カード情報の非保持化がお勧めです。

開発者はどんなことを気にしたらいい?

「決済情報(カードの番号や暗証番号)を自社のサーバーを通さないで実装する必要があります。

  • 自社で保有する機器・ネットワークにおいて『カード情報』を『保存』、『処理』、『通過』しないこと

対応策としては 2 パターンあります。

  1. JavaScript を用いて自社サイトから直接決済代行会社にカード情報を送信する
  2. 決済代行会社のページに遷移してそのページでカード情報を打ち込む
  • カード非保持で使える決済サービス一覧
    • SB ペイメントサービス
    • GMO ペイメントゲートウェイ
    • Square
    • Stripe
    • ソニーペイメントサービス
    • 他にもあれば、教えて下さい

個人的に EC サイトを構築するなら Stripe は簡単でドキュメントも豊富でおすすめです。
今流行りのサブスクリプション決済にも対応しておりとてもいいです。

GitHubで編集を提案

Discussion