PCIDSS は、カード情報の取扱い業者が顧客のデータを入手する所から
不要になったデータを廃棄するところまでが対象とする。

例えば、カード決済の可能な Web のショッピングモールなどの場合は、
Web サイトの仕組みからカード情報を保持する DB や
カード情報を送信する伝送路などが対象となり、
そのシステム全体が PCIDSS の基準を満たしているかどうかが対象となる。

ファイアウォールの設定やデータの暗号化やシステムへのアクセス制限などに関して
具体的に定められた基準を満たすようなシステム構成になっているかを問題とする。

要件としては次のようなことが求められている。

安全なネットワークの構築・維持 　要件１．データを保護するためにファイアウォールを導入し、最適な設定を維持すること 　要件２．システムまたはソフトウェアの出荷時の初期設定値をそのまま利用しないこと カード会員データの保護 　要件３．保存されたデータ （カード会員データ） を安全に保護すること 　要件４．公衆ネットワーク上で会員情報および機微な情報を送信する場合、暗号化すること 脆弱性を管理するプログラムの整備 　要件５．アンチウィルス・ソフトウェアを利用し、定期的にソフトを更新すること ・スパイウェア・アドウェアが検知・隔離・削除できること （ver1.1から） 　要件６．安全性の高いシステムとアプリケーションを開発し、保守すること ・開発プロセスを通して、セキュリティが考慮されていること （業界標準：OWASP,NIST,SNAS を基に） 強固なアクセス制御手法の導入 　要件７．データアクセスを業務上の必要範囲内に制限すること 　要件８．コンピュータにアクセスする際、利用者毎に識別 ID を割り当てること 　要件９．カード会員情報にアクセスする際、物理的なアクセスを制限すること 定期的なネットワークの監視およびテスト 　要件１０．ネットワーク資源および会員情報に対するすべてのアクセスを追跡し、監視すること ・システム全体で時刻同期していることが必要 ・ログはオンラインで 3 ヶ月。オフラインで 1 年以上保管 　要件１１．セキュリティ・システムおよび物理手順を定期的にテストすること ・脆弱性スキャン 四半期に 1 回およびシステムに大きな変更があった際に実施 ・ペネトレーションテスト 1 年に 1 回およびシステムに大きな変更があった際に実施 ・IDS・IPS の導入 情報セキュリティ・ポリシーの整備 　要件１２．情報セキュリティに関するポリシーを整備すること

PCIDSS の要件は IT の情勢と共に進化している。
1 例としては 2008 年 6 月 30 日までに WAF （Web Application Firewall） を
導入するように求められている。

「カード情報」を「機密情報」と置き換えて考えれば、
要件はどのようなシステムにでも適用可能で
セキュリティレベルを計る 1 つの基準として有用である。

システム構築時には PCIDSS を意識して構築すれば、
ある一定のセキュリティレベルの基準を満たしていることを客観的に示すことができる。

日本においてもカード業界で PCIDSS 準拠を求める動きが強まることは間違いない。
そうなった場合に、カード業界以外のシステムにおいても
セキュリティの基準として引用される可能は高く、
今後の動向に注意しておく必要がある。

PCIDSS とは