ペイメントカード業界データセキュリティ基準（PCI DSS）の監査とコンプライアンス

6つのコア原則に対する200以上のテスト

PCI DSS 標準（www.pcisecuritystandards.org）には、6つのコア原則を代表する12の一般的なセキュリティ領域に分類される、200以上のテストに対する評価が含まれます。これらのPCI DSSテストの内容は、暗号化、鍵管理、その他のデータ保護技術などのテクノロジーに加えて、さまざまな一般的なセキュリティプラクティスにまたがっています。

PCI DSSの監査とコンプライアンスに関連するリスク

• PCI DSSコンプライアンス要件に準拠しない場合、罰金、手数料の増加、さらには決済カード取引の処理資格の終了につながる可能性があります。
• PCI DSSへの準拠は単独で考えられるものではなく、組織はさまざまなセキュリティ義務や、データ侵害通知法または規制の対象となります。一方で、PCIコンプライアンスプロジェクトは、より広範なエンタープライズセキュリティイニシアチブによって簡単に回避することができます。
• PCI DSS要件に関連するガイダンスと推奨事項には、すでに実施されている可能性が高い一般的な慣行が含まれています。しかし、特に暗号化に関するものなど、一部は組織にとって新たな側面である可能性があり、正しく設計されていない場合は実装に際して混乱が生じ、運用効率に悪影響を及ぼす恐れがあります。
• 操作が複雑で費用がかかる複数のプロプライエタリベンダーソリューションと不十分なテクノロジーを使用すると、いとも簡単にセキュリティへのアプローチが断片的になってしまいます。
• PCI DSSコンプライアンスの対象範囲を縮小し、それによりコストを削減して影響を軽減することは可能ですが、新しいシステムとプロセスが実際にPCI DSSに準拠することをしっかりと確認しなければ、組織は時間と資金を無駄にすることになります。

統合コンプライアンスソリューション

タレスは、銀行や金融機関が業界の指令に準拠できるように数十年にわたってサポートしてきた経験を活かして、組織が保存されたカード会員データを保護し、転送用に暗号化し、必要に応じてアクセスを制限できるようにする統合製品・サービスを提供しています。さらに、タレスはパートナーと緊密に連携して、PCI DSSコンプライアンスの対象範囲を縮小することができる包括的なソリューションを提供しています。

PCI DSSのコア原則に対応

タレスは、PCI DSSの6つのコア原則への対応をサポートする、包括的なPCI DSSコンプライアンスソフトウェアソリューションを提供しています。

• 保存されたカード会員データの保護：タレスのCipherTrust Manager (CM:鍵管理マネージャー)とLuna HSM（ハードウェアセキュリティモジュール）により、組織は暗号鍵を一元管理し、さまざまな暗号化、トークン化、データマスキングソリューションを使用して、従来型やクラウド、また仮想化環境におけるファイル、フォルダー、アプリケーション、データベース内のカード会員データを保護することができます。
• 移動中のカード会員データの暗号化：タレスの高速ネットワーク暗号化アプライアンス（HSE） は、POSデバイスとカード会員データを処理するシステム間のオープンネットワークを介するすべてのデータを暗号化します。
• 安全なシステムとアプリケーションの開発・保守：タレス Luna HSMを使用すると、組織は署名マテリアルを信頼できるハードウェアデバイスに安全に保存できるため、アプリケーションコードファイルの信頼性と整合性が保証されます。
• 強力なアクセス制御の実装：タレスのCipherTrust製品は、カード会員データを保存するシステムへの独自の多要素管理アクセス用にセットアップすることができます。さらにSafeNet Trusted Accessを使用することで、一意のユーザーIDとリスクベースの認証ポリシーを一元管理し、カード会員データ環境（CDE）内のシステムへのアクセスを追加または取り消すことができます。
• カード会員データへのすべてのアクセスの追跡・監視：タレスのCipherTrustデータ保護ポートフォリオの全製品は、暗号鍵のライフサイクル操作（生成/削除/回転/失効）と、イベントの再構築に使用できるその他の管理機能をログに記録する監査レコードを生成します。