BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2014.12.24

PCI DSS Ver3.0 新要件に関する解説② 〜 Ver3.0における準拠事業者とサービスプロバイダの関係〜

  • このエントリーをはてなブックマークに追加

■ PCI DSS Ver2.0において要件12.8で求められていたこと


PCI DSS Ver3.0では、要件12の変更に関して、特に注意してもらいたい。従来から要件12.8は、カード会員データを共有するサービスプロバイダとの関係性についての要件である。

例えば、決済代行事業者A社がPCI DSSに準拠をすすめていくのにあたり、データセンターやクラウド事業者にシステムの設置や運用を委託し、それらの事業者とカード会員データの共有、またはアクセスできる環境にあったとする。従来までであれば、A社はPCI DSSに準拠するために、その委託事業者を選出や管理するためのポリシーや手順を実装し、事業者とカード会員データの取り扱い責任に関する契約を締結する。その上で年に1回当該事業者のPCI DSS準拠状況をモニタリングすることでクリアとなっていた。
ここで注意してもらいたいことは、PCI DSSにデータセンターやクラウド事業者も準拠をしていると表明していたとしても、大半の場合は部分的な準拠であるということ(例えば要件9、12など)。ちなみに要件9は「カード会員データへの物理アクセスを制限する」ということであって、これらの事業者であれば当然のように対応している要件である。

その他の要件は利用する顧客側の作業範囲となるので、データセンターやクラウド事業者の準拠対応上は適用除外という扱いになり、PCI DSSでは該当業務がない場合の適用除外の扱いは“準拠”と同等なため、部分準拠のデータセンターやクラウド事業者は比較的容易に、完全準拠を達成することが可能である。

Ver2.0の要件12.8に基づく外部委託業者のモニタリングは、完全準拠か否かにとどまっていた。そのため、利用する顧客側と委託業者との間に要件の不足があるかどうかがきちんと検証されていないことがあった。そのギャップに起因して発生したカード会員データの漏えい事件もあるだろう。

■ PCI DSS Ver3.0では責任の所在がより明確に


Ver3.0では、要件12.8.5において「どのPCI DSS 要件がサービスプロバイダによって管理され、どの要件が事業体によって管理されるかについての情報を維持していることを確認する」というコントロールが追加された。これによって、年1回のPCI DSS準拠状況のモニタリングについて、適用除外要件が含まれている可能性がある“完全準拠” かどうかの確認にとどまらず、どの要件がデータセンターやクラウド事業者によって実現され、どの要件を自社で実施しなければならないのかを管理する必要がでてくる。

今後、データセンターやクラウド事業者は、部分準拠で“完全準拠”と謳ったとしても、A社を例にした事業者側が委託事業者に求めるものが、その部分(例えば要件9)だけであれば問題ないが、A社を例にした事業者側のPCI DSSに関する要求は、さらに広い場合もある。
例えば、24時間365日の監視サービスは、要件1、要件10(ログに関する要求)や要件8(アカウントに関する要求)が満たされているか?リモートハンドサービスは、要件12(情報セキュリティポリシー、教育など)に基づいているのか?パブリッククラウドのテンプレートOSは、要件2の業界標準に対応しているのか?など、お分かりの通りサービス提供する事業者側でしか解決できない要件も多い。その部分についてデータセンターやクラウド事業者側も提供できない、準拠対応する決済代行などの事業者側でも対応できないとなると、そもそもの準拠が危うくなることも想定される。

今後PCI DSS準拠を謳うデータセンターやクラウド事業者は、どの要件に準拠しているのかを事前に情報開示することが求められる。同時に準拠する事業者側も、選定の際に委託事業者側にそれらの状況を十分に確認する必要がある。

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加