PCI DSS Ver3.0 新要件に関する解説② 〜 Ver3.0における準拠事業者とサービスプロバイダの関係〜 | PCI DSS Ready Cloud

2014.12.24

PCI DSS Ver3.0 新要件に関する解説② 〜 Ver3.0における準拠事業者とサービスプロバイダの関係〜

  • このエントリーをはてなブックマークに追加

■ PCI DSS Ver2.0において要件12.8で求められていたこと

PCI DSS Ver3.0では、要件12の変更に関して、特に注意してもらいたい。従来から要件12.8は、カード会員データを共有するサービスプロバイダとの関係性についての要件である。

例えば、決済代行事業者A社がPCI DSSに準拠をすすめていくのにあたり、データセンターやクラウド事業者にシステムの設置や運用を委託し、それらの事業者とカード会員データの共有、またはアクセスできる環境にあったとする。従来までであれば、A社はPCI DSSに準拠するために、その委託事業者を選出や管理するためのポリシーや手順を実装し、事業者とカード会員データの取り扱い責任に関する契約を締結する。その上で年に1回当該事業者のPCI DSS準拠状況をモニタリングすることでクリアとなっていた。
ここで注意してもらいたいことは、PCI DSSにデータセンターやクラウド事業者も準拠をしていると表明していたとしても、大半の場合は部分的な準拠であるということ(例えば要件9、12など)。ちなみに要件9は「カード会員データへの物理アクセスを制限する」ということであって、これらの事業者であれば当然のように対応している要件である。

その他の要件は利用する顧客側の作業範囲となるので、データセンターやクラウド事業者の準拠対応上は適用除外という扱いになり、PCI DSSでは該当業務がない場合の適用除外の扱いは“準拠”と同等なため、部分準拠のデータセンターやクラウド事業者は比較的容易に、完全準拠を達成することが可能である。

Ver2.0の要件12.8に基づく外部委託業者のモニタリングは、完全準拠か否かにとどまっていた。そのため、利用する顧客側と委託業者との間に要件の不足があるかどうかがきちんと検証されていないことがあった。そのギャップに起因して発生したカード会員データの漏えい事件もあるだろう。

■ PCI DSS Ver3.0では責任の所在がより明確に

Ver3.0では、要件12.8.5において「どのPCI DSS 要件がサービスプロバイダによって管理され、どの要件が事業体によって管理されるかについての情報を維持していることを確認する」というコントロールが追加された。これによって、年1回のPCI DSS準拠状況のモニタリングについて、適用除外要件が含まれている可能性がある“完全準拠” かどうかの確認にとどまらず、どの要件がデータセンターやクラウド事業者によって実現され、どの要件を自社で実施しなければならないのかを管理する必要がでてくる。

今後、データセンターやクラウド事業者は、部分準拠で“完全準拠”と謳ったとしても、A社を例にした事業者側が委託事業者に求めるものが、その部分(例えば要件9)だけであれば問題ないが、A社を例にした事業者側のPCI DSSに関する要求は、さらに広い場合もある。
例えば、24時間365日の監視サービスは、要件1、要件10(ログに関する要求)や要件8(アカウントに関する要求)が満たされているか?リモートハンドサービスは、要件12(情報セキュリティポリシー、教育など)に基づいているのか?パブリッククラウドのテンプレートOSは、要件2の業界標準に対応しているのか?など、お分かりの通りサービス提供する事業者側でしか解決できない要件も多い。その部分についてデータセンターやクラウド事業者側も提供できない、準拠対応する決済代行などの事業者側でも対応できないとなると、そもそもの準拠が危うくなることも想定される。

今後PCI DSS準拠を謳うデータセンターやクラウド事業者は、どの要件に準拠しているのかを事前に情報開示することが求められる。同時に準拠する事業者側も、選定の際に委託事業者側にそれらの状況を十分に確認する必要がある。

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加