PCIコンプライアンス要件の達成と維持

公開: 2022-06-30

Magento 1ビジネスがクレジットカード情報を処理する場合、PCIDSSの300以上のセキュリティ要件をすでに知っているかもしれません。 慣れていない場合は、この記事でいくつかの基本事項を説明し、コンプライアンスを証明するためのリソースを提供します。

2006年にAmericanExpress、Discover、JCB International、Mastercard、およびVisaによって設立されたPayment Card Industry Data Security Standards(PCI DSS)は、クレジットカード取引の処理に関するデータセキュリティの最低基準を設定します。 これは、支払いエコシステム全体での不正やデータ侵害を減らすのに役立ち、クレジットカードを介した支払いを受け入れるまたは処理するすべての組織に適用されます。

PCIDSSコンプライアンス

PCI DSSコンプライアンスには、次の3つの主要なルールが含まれます。

  1. 消費者からの機密性の高いクレジットカードデータは、安全に収集および送信する必要があります
  2. そのデータは、カードデータへのアクセスの暗号化、継続的な監視、およびセキュリティテストを利用して、安全に保存する必要があります
  3. 毎年、必要なセキュリティ管理が実施されていることを検証します

消費者からの機密データ

カードデータを扱う企業は、PCIDSSの300以上のセキュリティ管理のそれぞれを満たす必要がある場合があります。 カードデータが企業のインフラストラクチャを一瞬だけ移動する場合でも、企業はセキュリティソフトウェアとハ​​ードウェアを購入、実装、および保守する必要があります。

企業が機密性の高いクレジットカードデータを処理する必要がない場合は、処理する必要はありません。 サードパーティのソリューション(Stripeなど)は、クレジットカードのデータを安全に受け入れて保存し、かなりの複雑さ、コスト、およびリスクを取り除きます。 カードデータがビジネスのサーバーにアクセスしない場合は、強力なパスワードを使用するなど、22の比較的簡単なセキュリティ制御を確認するだけで済みます。

データを安全に保管する

組織がクレジットカードデータを処理または保存する場合、カード会員データ環境(CDE)の範囲を定義する必要があります。 PCI DSSは、CDEを、クレジットカードデータ、またはそれに接続されているシステムを保存、処理、または送信する人、プロセス、テクノロジーとして定義しています。

PCI DSSの300以上のセキュリティ要件はすべてCDEに適用されるため、PCI検証の範囲を制限するために、支払い環境を他のビジネスから適切にセグメント化することが重要です。 組織がCDEスコープを含めることができない場合、PCIセキュリティ制御は、企業ネットワーク上のすべてのシステム、ラップトップ、およびデバイスに適用されます。 誰もそのための時間はありません。

必要なセキュリティ管理の年次レビュー

カードデータの受け入れ方法に関係なく、クレジットカードによる支払いを処理する組織は、コンプライアンスを維持するために、毎年PCI検証フォームに記入する必要があります。

12PCIDSSの主な要件

最新のセキュリティ標準であるPCIDSSバージョン3.2.1には、セキュリティのベストプラクティスを反映した300を超えるサブ要件を含む12の主要要件が含まれています。

これらの12の主な要件は次のとおりです。

  1. カード会員情報を保護するためのファイアウォール構成をインストールして維持する
  2. システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しないでください
  3. 保存されたカード会員データを保護する
  4. オープンネットワークまたはパブリックネットワークを介したカード会員データの送信を暗号化する
  5. すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアを定期的に更新します
  6. 安全なシステムとアプリケーションを開発および維持する
  7. カード会員データへのアクセスを制限する
  8. システムコンポーネントへのアクセスを識別および認証する
  9. カード会員データへの物理的アクセスを制限する
  10. ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視します
  11. セキュリティシステムとプロセスを定期的にテストする
  12. すべての従業員の情報セキュリティに対処するポリシーを維持する

新規事業は、PCIDSS要件全体のサブセットである9つの自己評価質問票を介してPCIコンプライアンスを検証できます。 困難は、ビジネスに必要な要件を見つけようとすることから生じます。 一部の企業は、PCI評議会が承認した監査人を雇用して、各PCIDSS要件が満たされていることを確認します。 そして、それが十分に複雑ではないかのように– PCI評議会は、3年ごとに規則を改訂し、毎年更新をリリースします。 これらの要因を考慮して、企業はどのようにしてクレジットカードデータを保護し、PCIコンプライアンスを維持できますか?

セキュリティを確保する方法

資格のあるセキュリティアセッサー(QSA)会社を雇うことから、PCI 3ステッププロセスを利用すること、そしてStripeと提携してNexcessセーフハーバーを経由することまで、PCIDSS要件でWebサイトを保護するための受け入れられた方法はたくさんあります。

1.資格のあるセキュリティ評価者

Qualified Security Assessorは、オンサイトPCIデータセキュリティ標準評価を実行するためにPCI評議会によって資格を与えられたデータセキュリティ会社です。 評価者は、販売者またはサービスプロバイダーから提供されたすべての技術情報を検証し、独立した判断を使用して基準が満たされていることを確認します。 Qualified Security Assessor(QSA)企業のリストはここにあります。

2.PCI3ステッププロセス

  1. カード会員データを特定し、支払いカード処理のためにIT資産とビジネスプロセスのインベントリを作成し、それらの脆弱性を分析します。
  2. 修正脆弱性を修正し、どうしても必要な場合を除いて、カード会員データの保存を排除します。
  3. レポート必要なレポートを編集して、適切な取得銀行およびカードブランドに提出します。

3.セーフハーバー

Magento 1は2020年6月にサポートが終了し、アドビが公式のセキュリティ更新プログラムの発行を停止したときに、何千ものeコマースサイトがコンプライアンスの灰色の領域に置かれました。

eコマースアプリケーション自体は、PCIコンプライアンスが実際に必要とするもののごく一部にすぎませんが、Magento 1でeコマースサイトを運営している加盟店にとって重要なことは、プラットフォームに対して発行されるセキュリティパッチやアップデートがなくなることです。 Nexcess Safe Harbourのようなソリューションに投資していない限り、彼らは自分たちでやっています。 Magento1モジュールを顧客のために継続することにコミットしているStripeをチェックすることを強くお勧めします。

Stripeは、ユーザーがMagento 1内でStripeの製品を安全に使用できるようにすることに引き続き取り組んでいます。そのために、Nexcessは、Stripe.jsとElementsを使用してサイトのPCIコンプライアンスを簡素化するStripeの公式Magento1モジュールをインストールすることをお勧めします。 Stripeは、このソリューションがPayment Card Industry Data Security Standards(PCI DSS)に準拠するように、StripeMagento1モジュールのバグ修正とセキュリティ更新を引き続きリリースします。

結論

ご覧のとおり、PCIコンプライアンスの達成と維持は簡単なことではありません。 しかし、適切な情報、コンプライアンスの専門家からの支援、およびNexcess Safe Harbourがあれば、Magento 1を引き続き使用している企業は、顧客のクレジットカードデータを安全に保つことができます。