Articles

PCI Faq

by admin

PCIコンプライアンスガイドへようこそ。

よくある質問への回答を見つけるには、以下のリンクをクリックしてください。

:

:

Q29:

Q1: PCIとは何ですか?Q2: PCI DSSは誰に適用されますか?Q3: PCIデータセキュリティスタンダード(PCI DSS)はどこで見つけることができますか?Q4: PCIコンプライアンスの”レベル”とは何ですか?そして、それらはどのように決定されますか?
PCI DSS要件を満たすために中小企業(レベル4加盟店)は何をしなければなりませんか?Q6: 電話でクレジットカードを取ることはPCIでどのように機能しますか?Q7: 電話でクレジットカードのみを受け付けている場合、PCI DSSはまだ適用されますか?Q8: サードパーティのプロセッサを使用している組織はPCI DSS準拠でなければなりませんか?Q9: 私のビジネスには複数の場所がありますが、PCIコンプライアンスを検証するために各場所が必要ですか?
Q10: 私たちは電子商取引のみを行います。 どのSAQを使用する必要がありますか?Q11: 私の会社はクレジットカードのデータを保存していないので、PCIコンプライアンスは私たちには適用されませんよね?Q12: デビットカード取引はPCIの範囲内ですか?Q13: SSL証明書を持っている場合、PCIに準拠していますか?Q14: 私の会社はクレジットカードのデータを保存したいと思っています。 どのような方法を使用できますか?Q15: コンプライアンス違反に対する罰則は何ですか?
“カード会員データ”とは何ですか?Q17: “マーチャント”の定義は何ですか?Q18: サービスプロバイダーとは何ですか?Q19: 支払いアプリケーションは何を構成しますか?Q20: 支払いゲートウェイとは何ですか?Q21: PA-DSSとは何ですか?Q22: 消費者の領収書のコピーにクレジットカード番号の完全な印刷はできますか?Q23: コンプライアンスを検証するために脆弱性スキャンが必要ですか?Q24: 脆弱性スキャンとは何ですか?Q25: どのくらいの頻度で脆弱性スキャンを行う必要がありますか?Q26: 私のビジネスが協力を拒否した場合はどうなりますか?Q27: 私は自宅からビジネスを実行している場合、私はハッカーのための深刻なターゲットですか?Q28: 侵害された場合はどうすればよいですか?Q29: 影響を受ける当事者にデータ侵害の通知を必要とする法律はありますか?
影響を受ける当事者にデータ侵害の通知を必要とする法律はありますか?

Q1: PCIとは何ですか?A:Payment Card Industry Data Security Standard(PCI DSS)は、クレジットカード情報を受け入れ、処理、保存、または送信するすべての企業が安全な環境を維持するように設計された一連のセキ

決済カード業界セキュリティ基準協議会(PCI SSC)は、トランザクションプロセスを通じて支払い口座のセキュリティを向上させることに焦点を当てて、決済カード業界(PCI)セキュリティ基準の継続的な進化を管理するために、September7、2006に立ち上げられました。 PCI DSSは、PCI SSC(www.pcisecuritystandards.org)、主要な決済カードブランド(Visa、MasterCard、American Express、Discover、JCBによって作成された独立した機関。). 支払いブランドと買収者は、PCI評議会ではなく、コンプライアンスを実施する責任があることに注意することが重要です。 PCI DSSのコピーはここで入手できます。

トップに戻る

Q2:PCI DSSは誰に適用されますか?

A:PCI DSSは、取引の規模や数にかかわらず、カード会員データを受け入れ、送信、または保存する組織に適用されます。/P>

トップに戻る

Q3: PCIデータセキュリティ標準(PCI DSS)はどこで確認できますか?

A:現在のPCI DSSドキュメントは、PCI Security Standards Councilのウェブサイトで見つけることができます。

トップに戻る

Q4:PCIコンプライアンスの”レベル”とは何ですか?そして、それらはどのように決定されますか?

A:すべての加盟店は、12ヶ月間のビザの取引量に基づいて四つの加盟店レベルのいずれかに分類されます。 取引量は、As(”DBA”)として事業を行っている商人からのVisa取引(クレジット、デビット、前払いを含む)の合計数に基づいています。 加盟店企業が複数のDBAを持っている場合、ビザ取得者は、検証レベルを決定するために、法人によって保存、処理、または送信された取引の合計量を考慮 法人が複数のDbaに代わってカード会員データを保存、処理、または送信しないようなデータが集計されていない場合、取得者は引き続きDBAの個々の取引量を検

Visaで定義されている加盟店レベル:

マーチャントレベル 説明
1 すべてのマーチャント—受け入れチャネルに関係なく—年間6m以上のビザ取引を処理します。 Visaが独自の裁量で決定する加盟店は、Visaシステムへのリスクを最小限に抑えるために、レベル1加盟店の要件を満たす必要があります。
2 任意の商人—受け入れチャネルに関係なく—年間1Mから6Mのビザ取引を処理します。
3 年間20,000から1Mのビザの電子商取引を処理するすべての商人。
4 年間20,000未満のVisa電子商取引を処理する加盟店、および他のすべての加盟店-受け入れチャネルにかかわらず、年間1MのVisa取引

*アカウントデータの侵害をもたらした違反を受けた商人は、より高い検証レベルにエスカレートする可能性があります。

トップに戻る

Q5:中小企業(レベル4加盟店)は、PCI DSS要件を満たすために何をしなければなりませんか?

A:PCIの要件を満たすために、マーチャントは次の手順を完了する必要があります。

  • コンプライアンスを検証するためにビジネスが使用すべき 選択するには、以下の表を参照してください。 (グラフをクリックすると拡大します。)
    PCI3.0SAQチャート
  • それが含まれている指示に従って自己評価アンケートを完了します。
  • PCI SSC Approved Scanning Vendor(ASV)を使用して、脆弱性スキャンを完了し、合格した証拠を取得します。 注スキャンは、すべての加盟店に適用されるわけではありません。 これは、SAQ A-EP、SAQ B-IP、SAQ C、SAQ D-マーチャントおよびSAQ D-サービスプロバイダーに必要です。
  • 関連するコンプライアンスの証明を完全に完了します(SAQツールにあります)。
  • SAQ、合格スキャンの証拠(該当する場合)、およびコンプライアンスの証明を、他の要求された文書とともに、取得者に提出してください。

ブログ記事”PCIの基本/クイックガイド–PCIコンプライアンスを達成するために小規模商人は何をする必要がありますか?”

トップに戻る

Q6:電話でクレジットカードを取ることはPCIでどのように機能しますか?

A:次の投稿、”電話でクレジットカードを取ることはPCIでどのように機能しますか?”電話(コールセンターなど)でクレジットカード情報を取得する際のPCIコンプライアンスの責任について説明します。 この投稿は2014年に公開されましたが、現在のバージョンのPCI DSSに関連していることに注意してください。/P>

トップに戻る

Q7: 電話でのみクレジットカードを受け入れる場合、PCI DSSはまだ私に適用されますか?

A:はい。 支払いカード会員データを保存、処理、または送信するすべてのビジネスは、PCIに準拠している必要があります。

トップに戻る

Q8:サードパーティのプロセッサを使用している組織はPCI DSSに準拠している必要がありますか?

A:はい。 第三者企業を単に使用しても、PCI DSS準拠から企業を除外するものではありません。 それは危険の露出で削減し、従って承諾を認可するための努力を減らすかもしれない。 しかし、それは彼らがPCI DSSを無視できるという意味ではありません。/P>

トップに戻る

Q9: 私のビジネスには複数の場所がありますが、PCI準拠を検証するために各場所が必要ですか?

A:ビジネス拠点が同じ納税者番号で処理されている場合、通常はすべての拠点について年に一度だけ検証する必要があります。 また、該当する場合は、場所ごとにPCI SSC承認スキャンベンダー(ASV)による四半期ごとのパスネットワークスキャンを送信します。

トップに戻る

Q10:私たちは電子商取引のみを行います。 どのSAQを使用する必要がありますか?

A:それはあなたのショッピングカートがどのように設定されているかに依存します。 PCI SAQ3.1:Eコマースオプションの説明を参照してください。/P>

トップに戻る

Q11: 私の会社はクレジットカードのデータを保存しないので、PCIコンプライアンスは私たちには適用されません

A:クレジットカードまたはデビットカードを支払いの形態として受け入れる場合、PCIコンプライアンスが適用されます。 カードデータの保存は危険なので、カードデータを保存しない場合は、安全で準拠したものになる方が簡単かもしれません。

トップに戻る

Q12:デビットカード取引はPCIの範囲にありますか?

A: インスコープカードには、PCI SSCに参加するカード協会/ブランドロゴのいずれかをブランド化したデビットカード、クレジットカード、プリペイドカードが含まれます-American Express、Discover、JCB、MasterCard、Visa International。

トップに戻る

Q13:SSL証明書を持っている場合、PCIに準拠していますか?

A:いいえ。 SSL証明書は、悪意のある攻撃や侵入からwebサーバーを保護しません。 高保証SSL証明書は、以下のような顧客のセキュリティと安心の最初の層を提供しますが、PCI準拠を達成するための他の手順があります。 質問”PCI要件を満たすために中小規模のビジネス(レベル4商人)は何をしなければならないのですか?”

  • お客様のブラウザとwebサーバー間の安全な接続
  • ウェブサイト運営者が合法的で法的責任のある組織であることの検証

関連するブログ記事”PCI DSS v3.1とSSL:今すべきこと”を参照してください。”
トップに戻る

Q14:私の会社は、クレジットカードのデータを保存したいと考えています。 どのような方法を使用できますか?

A:クレジットカードのデータを保存する必要があるほとんどの商人は、定期的な請求のためにそれをやっています。 定期的な請求のためにクレジットカードデータを保存する最良の方法は、第三者のクレジットカード保管庫とトークン化プロバイダを利用することです。 ボールトを利用することにより、カードデータはあなたの所有物から削除され、あなたは定期的な請求の目的のために使用することができる”トークン”を返 第三者を使用することにより、カードデータを保存するリスクを、それを専門とする人に移し、カードデータを安全に保つためにすべてのセキュリティ制御を

カードデータを自分で保存する必要がある場合は、自己評価のためのバーが非常に高く、QSA(資格のあるセキュリティ評価者)がオンサイトに来て、PCI DSS仕様

関連するブログ記事”定期的な請求のためにカードデータを安全に保存できますか?”

トップに戻る

Q15:コンプライアンス違反に対する罰則は何ですか?

A:支払いブランドは、その裁量により、PCIコンプライアンス違反のために取得銀行$5,000からmonth100,000月額を罰金することができます。 それは最終的に商人に当たるまで、銀行は最も可能性の高いに沿ってこの罰金を渡します。 さらに、銀行はまた、最も可能性の高いいずれかのあなたの関係を終了するか、取引手数料を増加させます。 罰則は公然と議論されたり広く公表されたりしませんが、中小企業にとって壊滅的なものになる可能性があります。 あなたの露出の輪郭を描くべきであるあなたの商人の記述の一致をよく知られていることは重要である。

コンプライアンス違反に対する罰則の詳細については、ブログ記事”PCIコンプライアンスへの取り組みにより、最終的にビジネスマネーを節約でき”

トップに戻る

Q16: 「カード会員データ」とは何ですか?

A:PCI Security Standards Council(SSC)は、”カード会員データ”を完全なプライマリアカウント番号(PAN)または完全なPANとして定義しています。

  • カード会員名
  • 有効期限
  • サービスコード

保護する必要がある機密認証データには、完全な磁気ストライプデータ、CAV2、CVC2、CVV2、Cid、Pin、PINブロックなどが含まれています。…..

トップに戻る

Q17:「マーチャント」の定義は何ですか?

A: PCI DSSの目的上、加盟店とは、PCI SSCの5人のメンバー(American Express、Discover、JCB、MasterCard、Visa)のロゴが入った支払いカードを商品および/またはサービスの支払いとして受け入れる事業体と定義されています。 サービスが販売された結果、他の商人またはサービスプロバイダーに代わってカード会員データを保存、処理、または送信する場合、商品および/またはサービスの支払 たとえば、ISPは、毎月の請求のための支払いカードを受け入れる商人ですが、それは顧客として商人をホストしている場合は、サービスプロバイダーです。 ソース:PCI SSC

トップに戻る

Q18:サービスプロバイダを構成するものは何ですか?

A:PCI SSCは、このようにサービスプロバイダーを定義します:
“支払いブランドではなく、カード会員データの処理、保管、または送信に直接関与する事業体。 これには、カード会員データのセキュリティを制御する、または影響を与える可能性のあるサービスを提供する企業も含まれます。”(出典:www.pcisecuritystandards。org)

“サービスプロバイダーとしての商人”ロールは、PCI SSCによってさらに”商品および/またはサービスの支払いとして支払いカードを受け入れる商人…販売されたサー”サービスプロバイダーとしてのコンプライアンスを達成する方法の詳細をご覧ください。 私たちのブログ記事”PCIコンプライアンスとサービスプロバイダー”を参照してくださ”

トップに戻る

Q19:支払いアプリケーションを構成するものは何ですか?

A:PCIコンプライアンスに関連する支払いアプリケーションを構成するものは何ですか? 用語支払アプリケーションは、PCIで非常に広い意味を持っています。 支払いアプリケーションは、カードデータを電子的に保存、処理、または送信するものです。 これは、販売時点管理システム(Verifoneスワイプ端末、ALOHA端末など)からのものであることを意味します。)ウェブサイトへのレストランでは、電子商取引のショッピングカート(例えば、CreLoaded、osCommerceなど)は、すべての支払いアプリケーションとして分類されます。 したがって、クレジットカードのデータに触れるように設計されたソフトウェアのいずれかの部分は、支払いアプリケーションと見なされます。

トップに戻る

Q20:ペイメントゲートウェイとは何ですか?

A: 支払いゲートウェイは、カードブランドへのフロントエンド接続として機能している銀行またはプロセッサに商人を接続します。 これらは、さまざまな異なるアプリケーションから多くの入力を取得し、それらの入力を適切なバンクまたはプロセッサにルーティングするため、ゲー ゲートウェイは、ダイヤルアップ接続、webベースの接続、または非公開の専用回線を使用して、銀行またはプロセッサと通信します。

トップに戻る

Q21:PA-DSSとは何ですか?

A: PA-DSSとは、PCI Security Standards Council(SSC)によって管理されている決済アプリケーションデータセキュリティ標準を指し、決済アプリケーションセキュリティの重要な問題 PA-DSS内の要件は、ベンダーがPCI DSS準拠を維持し、機密カード会員データの保存を排除するための加盟店の努力をサポートする製品を提供するように設計されて

PCI SSCは、PA-DSSに対する支払いアプリケーションのコンプライアンスを検証するためのプログラムを管理し、PA-DSS検証アプリケーションのリストを公開 詳細については、”PCIセキュリティ標準”を参照してください。 また、PCI DSSとPA-DSSの重要な違いについてのブログ記事も参照してください。

トップに戻る

Q22:クレジットカード番号の完全な印刷は、消費者の領収書のコピーにできますか?A:PCI DSS要件3.3には、”表示時にマスクPAN(最初の6桁と最後の4桁は表示される最大桁数です)”と記載されています。”この要件では、領収書(商人のコピーまたは消費者のコピー)へのカード番号または有効期限の完全な印刷は禁止されていませんが、PCI DSSは、領収書に印刷できる

PCI DSS要件3.3″メモ”の斜体のメモを参照してください: この要件は、pos(pos)領収書の法的または支払いカードブランド要件など、カード会員データの表示に関する厳しい要件に取って代わるものではありません。 加盟店によって保管された紙の領収書は、PCI DSS、特に物理的なセキュリティに関する要件9に準拠しなければなりません。 ソース:PCI SSC

トップに戻る

Q23:コンプライアンスを検証するために脆弱性スキャンが必要ですか?

A: 特定の自己評価アンケート(SAQs)の対象となる場合、または承認後にカード会員データを電子的に保存する場合は、コンプライアンスを維持するためにPCI SSC承認 バージョン3の下で以下のSaqのいずれかの資格がある場合。PCI DSSのxでは、通過するASVスキャンが必要です。

  • SAQ A-EP
  • SAQ B-IP
  • SAQ C
  • SAQ D-Merchant
  • SAQ D-Service Provider

トップに戻る

q24:脆弱性スキャンとは何ですか?

A: 脆弱性スキャンには、マーチャントまたはサービスプロバイダのシステムに脆弱性がないかどうかをチェックする自動ツールが含まれます。 このツールは、非侵入スキャンを実行して、商人またはサービスプロバイダによって提供された外部に面したインターネットプロトコル(IP)アドレスに基づ このスキャンでは、ハッカーが会社のプライベートネットワークを標的にするために使用する可能性のあるオペレーティングシステ ControlScanなどの承認されたスキャンベンダー(ASV)によって提供されるように、スキャンは、加盟店またはサービスプロバイダがシステムにソフトウェアをインストー 脆弱性スキャンの詳細については、こちらをご覧ください。

トップに戻る

Q25:脆弱性スキャンを行う頻度はどのくらいですか?

A:90日ごと/四半期ごとに1回、上記の基準に適合する人は合格スキャンを提出する必要があります。 加盟店およびサービスプロバイダーは、取得者が決定した時刻表に従って、コンプライアンス文書(成功したスキャンレポート)を提出する必要があります。 スキャンは、ControlScanなどのPCI SSC承認スキャンベンダー(ASV)によって実行する必要があります。

関連するブログ記事”内部と外部の脆弱性スキャン:両方が必要な理由”を参照してください。”

トップに戻る

Q26:私のビジネスが協力を拒否した場合はどうなりますか?

A:PCIはそれ自体が法律ではありません。 この標準は、主要なカードブランドVisa、MasterCard、Discover、AMEX、JCBによって作成されました。 PCI DSSに準拠していない加盟店は、買収者/サービスプロバイダーの裁量により、罰金、カード交換費用、高価な法医学監査、ブランドの損傷などの対象となる可能性 違反イベントが発生した場合。

PCI DSSに準拠するための少し前倒しの努力とコストのために、これらの非常に不快で高価な結果に直面するリスクを大幅に軽減するのに役立ちま ControlScanがPCI DSSを簡素化する方法を学びます。

トップに戻る

Q27:私は私の家からビジネスを実行している場合、私はハッカーのための深刻なターゲットですか?

A:はい。 ホームユーザーは、おそらく彼らは通常、よく保護されていないという理由だけで最も脆弱です。 “最少の抵抗の道”モデルを採用して、侵入者は頻繁に家のユーザーでゼロで—頻繁に雑談、インターネットのゲームおよびp2Pファイル共有の適用のような ControlScanのスキャンサービスは、ホームユーザーとネットワーク管理者が同様に自分のデスクトップまたはラップトップコンピュータ上の任意のセキュリテ

関連するブログ記事”Small Bizを保護するための5つのベストプラクティス”を参照してください。”

トップに戻る

Q28:侵害された場合はどうすればよいですか?

A:多くの支払いカードデータ侵害は簡単に予防できますが、あらゆる規模の企業に発生する可能性があります。あなたの中小企業がそれが違反されていることを発見した場合、次のステップであなたを助けるために多くの良いリソースがあります。

次のことをお勧めします:

  • 司法省、被害者対応とサイバーインシデントの報告のためのベストプラクティス
  • PCI評議会、データ侵害への対応–インシデント管理のためのハウツーガイド
  • 電子取引協会(ETA)、データ侵害対応:小規模商人のためのナインステップガイド

トップに戻る

Q29:州は、影響を受ける当事者にデータ侵害通知を必要とする法律を持っていますか?

A:絶対に。 カリフォルニア州は、影響を受ける当事者にデータ侵害を報告するための触媒です。 州は2003年に違反通知法を実施しましたが、現在ではほぼすべての州が同様の法律を制定しています。

2017年4月12日現在、NCSL.org 報告:48の州、コロンビア特別区、グアム、プエルトリコ、ヴァージン諸島は、個人を特定できる情報を含む情報のセキュリティ侵害を個人に通知するために、民間、政府または教育機関を必要とする法律を制定しています。

トップに戻る