- 1. カード会員データを保護するために、ファイアウォールを導入し最適な設定を維持する
- 2. システムのパスワードやセキュリティの設定値について、初期設定をそのまま利用しない
データセキュリティ コンプライアンス
不正利用防止のためのヒントから革新的なセキュリティ技術まで、お客さまのビジネスの安心と安全を維持するのに役立つリソースを提供しています。
PCI DSSコンプライアンス
カード会員情報の保管、処理、または送信を行うすべての事業者には、ペイメントカード業界のデータセキュリティスタンダード(PCI DSS)への準拠が義務付けられています。PCI DSSは、信頼できる安全な決済処理環境を確立および維持するための6つのカテゴリーに分かれた12の基本的要件から成っています。PCI DSSに基づきすべての顧客に安全な取引を提供するため、加盟店契約会社と提携する必要があります。まずガイドラインを参照して、関連する要件が満たされていることを確認してください。
-
-
- 3. 格納されているカード会員データを安全に保護する
- 4. 公衆ネットワーク上でカード会員データを送信する場合は暗号化する
-
- 5. すべてのシステムをマルウェアから保護し、ウィルス対策ソフトまたはプログラムを定期的に更新する
- 6. 安全性の高いシステムとアプリケーションを開発し維持する
-
- 7. カード会員データへのアクセスを業務上必要最小限に制限する
- 8. システムコンポーネントへのアクセスを識別して認証する
- 9. カード会員データへの物理的アクセスを制限する
-
- 10. ネットワーク資源および会員データに対するすべてのアクセスを追跡し監視する
- 11. セキュリティシステムおよび管理手順を定期的にテストする
-
- 12. 情報セキュリティに関するポリシーを整備する
コンプライアンスの検証
PCI DSSのすべての要件が満たされていることを確認してください。これは、カード会員データが安全に取り扱われていること、および対処すべき脆弱性を確認する最良の方法です。加盟店レベルおよび検証に必要な要件は、過去12か月のVisa合計取引件数に基づき決定されます。
-
毎年:
- 認定審査機関("QSA")または内部監査人が作成したコンプライアンス報告書("ROC")を提出すること 内部監査人は、PCI SSC内部監査機関("ISA")認証を取得することが推奨されます。
- コンプライアンス証明書("AOC")を提出すること
毎四半期:
- 認定脆弱性スキャンベンダー("ASV")による四半期ごとのネットワークスキャンを実施すること
-
毎年:
- 自己問診 ("SAQ")を実施すること
- コンプライアンス証明書("AOC")を提出すること
毎四半期:
- 認定脆弱性スキャンベンダー("ASV")による四半期ごとのネットワークスキャンを実施すること
-
毎年:
- 自己問診 ("SAQ")を実施すること
- コンプライアンス証明書("AOC")を提出すること
毎四半期:
- 認定脆弱性スキャンベンダー("ASV")による四半期ごとのネットワークスキャンを実施すること
-
毎年:
- 自己問診 ("SAQ")を実施すること
- コンプライアンス証明書("AOC")を提出すること
毎四半期:
- 認定脆弱性スキャンベンダー("ASV")による四半期ごとのネットワークスキャンを実施すること(該当する場合)
- 自己問診 ("SAQ")を実施すること
テクノロジー イノベーション プログラム
安全なテクノロジーに投資してコンプライアンスを容易に
EMV ICチップ技術への投資や検証済みのポイント ツー ポイント暗号化(英語のみ)ソリューションを実施することで不正利用防止を実現している米国の加盟店は、Visaのテクノロジー イノベーション プログラム(TIP)のメリットを活用できます。このプログラムでは、年間取引件数の75%以上がデュアルインターフェースのEMVチップ対応端末またはバリデーションされたポイント ツー ポイント暗号化ソリューションから行われている場合、加盟店に対するPCI DSSへのコンプライアンスを検証する要件が除外されます。
規制 + 評価
Visaルールは、クライアント金融機関の活動、およびVisaペイメントシステムの参加者としての加盟店やサービス提供会社の活動を規定します。
加盟店の契約銀行は、加盟店および加盟店が使用するすべてのサービス提供会社がPCIデータセキュリティスタンダード(DSS)を順守することに責任を負います。加盟店は、いかなる場合でも完全なコンプライアンスを徹底する必要があります。(VisaルールセクションID #0002228および#0008031)
加盟店がPCI DSSを順守しない場合、またはセキュリティ上の問題を解決できない場合は、Visaは加盟店の契約会社に対してコンプライアンス非対応アセスメントを行うことがあります。すべてのアセスメントに対しての責任は加盟店契約会社が負うものとし、Visaが加盟店に対してアセスメントを行なったと主張することは禁止されています。(VisaルールセクションID #0001054)
フォレンジック調査の際、データ漏えい以前およびデータ漏えいが発生した時点においてPCI DSSコンプライアンス非対応の証拠がない場合はアセスメントは免除される可能性があります。
サービス提供会社 + ペイメントアプリケーション
安全な取引は、承認されているサービス提供会社およびペイメントアプリケーションとのみ提携することで実現します。
サービス提供会社
サービス提供会社はVisaカード会員情報の処理を代行します。加盟店契約会社は、サービス提供会社がPCI DSSを順守していることを徹底する必要があり、すべてのサービス提供会社ではコンプライアンス検証が求められます。
セキュリティプログラム
最新のセキュリティスタンダードに基づき、常に最新の状態を維持してください。
グローバルPINセキュリティプログラム
PIN取引の継承を行う加盟店やキー管理サービスを実行する加盟店は、Visa PINセキュリティ要件に準拠する必要があります。
VisaのグローバルPINセキュリティプログラムについては、以下のリンクを参照してください。
認定インテグレーターとリセラー(QIR)プロブラムへの参加に関する詳細
PCI認定インテグレーターとリセラー(QIR)トレーニングおよび認定プログラムでは、加盟店のPA-DSS検証済みペイメントシステムの安全な設置を行うためのトレーニングとツールが提供されます。QIRに参加する加盟店は、サービスを利用して各決済ブランドが規定する要件を満たすことができます。