PCI-DSSを取得する評価範囲って?

ozawa
ozawa 記事一覧
カテゴリー: PCI-DSS,   タグ:

hyoukahani

今回はPCI-DSSを取得する際の評価範囲について、説明してみたいと思います。

ただし、あくまでここでお話しするのは「ご参考までに」のお話です。実際は請け負うコンサルタントやQSA、アクワイアラやカードブランド等と相談しながら決めるのが良いでしょう。

評価範囲とは

評価範囲とは、わかりやすく言えば「PCI-DSSに準拠しているよ、と言える範囲」です。

例えばISMSでは対象部署、Pマークでは全社が基本ですね。

PCI-DSSの場合、「カード会員データまたは機密認証データを保存、処理、または伝送する範囲」になります。

カード会員データ、センシティブ認証データについては、こちらのブログでも説明しました。

  

各データが含む情報
カード会員データ プライマリアカウント番号(PAN)
カード会員名
サービスコード
有効期限
センシティブ認証データ 全トラックデータ
セキュリティコード
暗証番号(PIN)

これらのデータを保存、処理、伝送する範囲が、適用範囲となります。

それでは、簡単にそれぞれ見てみましょう。

データを保存する範囲

ここは簡単ですね。カード会員データを保存するデータベース等を指します。

さらに、その中でもPANを保管しているデータベースが対象になります。

センシティブ認証データは?と思われるかもしれませんが、センシティブ認証データの保管はPCI-DSSでは許容していません。処理ログでさえ、基本的には保管してはいけないことになっています。

また、コールセンターなど、保管しているカード会員データを参照してお客様のお問合せ対応をする場合も、この評価範囲の中に入ります。

その他、このシステムが稼働しているサーバにアクセスする人(例えばサーバメンテナンスの業者さんとか)も対象に入ってしまいます。

さらに注意すべきは、ネットワーク構成になります。

例えば同じネットワークセグメントの中に、カード情報とは全く関係のない、社内ファイルサーバがあったとしましょう。この場合、社内ファイルサーバも評価範囲に含めなければなりません。

(ネットワークが分離されていれば、ファイルサーバは評価範囲外です)

データを伝送・処理する範囲

伝送と処理をまとめてしまっているのは、区分けが難しいからです。

カード情報を処理するシステムを対象とします。

例えばオーソリゼ―ションだと、そのカードが使えるかなどをセンシティブ認証データやカード会員データを確認して処理を行いますね。この処理を行っているシステムが対象になります。

上記の通り、そのシステムの状況を事細かに調査し、評価範囲を決める必要があります。

重ねてお伝えしますが、ここに掲載してるのは、あくまでも参考程度のものです。

PCI-DSSの取得を機に、一度システム構成を再度整理してみてはいかがでしょうか。

PCI-DSSを取得する評価範囲って?

カテゴリー: PCI-DSS

hyoukahani

今回はPCI-DSSを取得する際の評価範囲について、説明してみたいと思います。

ただし、あくまでここでお話しするのは「ご参考までに」のお話です。実際は請け負うコンサルタントやQSA、アクワイアラやカードブランド等と相談しながら決めるのが良いでしょう。

評価範囲とは

評価範囲とは、わかりやすく言えば「PCI-DSSに準拠しているよ、と言える範囲」です。

例えばISMSでは対象部署、Pマークでは全社が基本ですね。

PCI-DSSの場合、「カード会員データまたは機密認証データを保存、処理、または伝送する範囲」になります。

カード会員データ、センシティブ認証データについては、こちらのブログでも説明しました。

  

各データが含む情報
カード会員データ プライマリアカウント番号(PAN)
カード会員名
サービスコード
有効期限
センシティブ認証データ 全トラックデータ
セキュリティコード
暗証番号(PIN)

これらのデータを保存、処理、伝送する範囲が、適用範囲となります。

それでは、簡単にそれぞれ見てみましょう。

データを保存する範囲

ここは簡単ですね。カード会員データを保存するデータベース等を指します。

さらに、その中でもPANを保管しているデータベースが対象になります。

センシティブ認証データは?と思われるかもしれませんが、センシティブ認証データの保管はPCI-DSSでは許容していません。処理ログでさえ、基本的には保管してはいけないことになっています。

また、コールセンターなど、保管しているカード会員データを参照してお客様のお問合せ対応をする場合も、この評価範囲の中に入ります。

その他、このシステムが稼働しているサーバにアクセスする人(例えばサーバメンテナンスの業者さんとか)も対象に入ってしまいます。

さらに注意すべきは、ネットワーク構成になります。

例えば同じネットワークセグメントの中に、カード情報とは全く関係のない、社内ファイルサーバがあったとしましょう。この場合、社内ファイルサーバも評価範囲に含めなければなりません。

(ネットワークが分離されていれば、ファイルサーバは評価範囲外です)

データを伝送・処理する範囲

伝送と処理をまとめてしまっているのは、区分けが難しいからです。

カード情報を処理するシステムを対象とします。

例えばオーソリゼ―ションだと、そのカードが使えるかなどをセンシティブ認証データやカード会員データを確認して処理を行いますね。この処理を行っているシステムが対象になります。

上記の通り、そのシステムの状況を事細かに調査し、評価範囲を決める必要があります。

重ねてお伝えしますが、ここに掲載してるのは、あくまでも参考程度のものです。

PCI-DSSの取得を機に、一度システム構成を再度整理してみてはいかがでしょうか。

Author: ozawa
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • google+に追加
  • LINEでシェアする