記事登録
2008年11月14日(金) 14時35分

VISAがPCI DSS順守に期限を設定@IT

 ビザ・ワールドワイドは11月13日、クレジットカードやデビットカードなどのペイメントカード業界のセキュリティ基準である「PCI DSS」の国際的な義務化に向けた順守期限を発表した。取引量によって決められる加盟店のレベルとPCI DSSバリデーション要件の統一が行われ、取引量の多い上位レベルの加盟店に対しては、具体的な報告期限が設定された。

 加盟店はペイメントカードの年間取引量により4つのレベルに分類され、PCI DSSのバリデーション要件はレベルごとに異なる。年間取引量が600万件を超えるレベル1の加盟店に対しては認定セキュリティ評価ベンダ(QSA)による年次報告書の提出や、脆弱(ぜいじゃく)性スキャニングベンダ(ASV)による四半期ごとの脆弱性スキャン結果の報告が求められる。

 このうち上位のレベルに分類される加盟店に対しては、「保管禁止データの廃棄期限」(レベル1、2)、および「PCI DSS順守バリデーションの期限」(レベル1)が設定される。クレジットカード情報にはカード番号のほかにも、磁気ストライプ内に格納された情報やPIN、セキュリティコード(CVV2)などがあるが、このうちPINやセキュリティコードは機密認証データとされており、取引認証後に直ちに破棄する必要がある。今回、これらの機密情報が適切に処理されていることを確認、報告する期限を2009年9月30日とした。

 また、レベル1加盟店に対しては、QSAによるPCI DSS順守報告書の提出を2010年9月30日までに行うことを義務づけた。これらの証明を提出しなかった場合、加盟店に対し罰金が科せられることがあるという。

 PCI DSSはペイメントカード業界におけるセキュリティ要件を定めた基準で、VISA、JCB、アメリカンエキスプレス、Discover、マスターカードの5社が共同で策定したもの。2008年10月には最新バージョンであるv1.2が発表され、2010年6月30日以降のWEP利用禁止などが盛り込まれている。

【関連記事】
・5分で絶対に分かるPCI DSS (@IT Security&Trust)
・あの手この手で守るべきカード情報、その中身とは? (@IT Security&Trust)
・エンジニアも納得できる“PCI DSS”とは(@IT Security&Trust)
・カード決済アプリでセキュリティ認定が義務化へ (@ITNews)

http://headlines.yahoo.co.jp/hl?a=20081114-00000000-zdn_ait-sci