PCI DSSの順守が求められる事業者としては,加盟店やプロセッサ(決済代行事業者)が代表である。しかし,それだけではない。カード会員データにアクセスできるすべての事業者は,業務内容に応じてPCI DSSの要求事項を順守しなければならない。カード会員データを格納した情報システムのホスティング業務を行い,加盟店などの事業体のホストやデータの管理サービスを提供する事業者もその一つである。こうした事業者を,ホスティング・プロバイダと呼ぶ。
ホスティング・プロバイダは,複数の加盟店と契約していることが多い。そのため,PCI DSSは,加盟店などが順守する要件に加えて,要件2.4と付録Aによって,ホスティング・プロバイダがサービス提供先のそれぞれの事業者のホスト環境やデータを保護しなければならないと定めている。
2.4 ホスティング・プロバイダはそれぞれの事業体のホスト環境やデータを保護しなければならない。これらのプロバイダは,付録A「ホスティング・プロバイダへのPCI DSS の適用」に詳述された特定の要件を満たさなければならない |
付録A:ホスティング・プロバイダへのPCI DSS の適用 |
物理的アクセスの対策も必要
ホスティング・プロバイダは,複数の事業者と契約していることが多く,ある事業者のカード会員データ環境に他の事業者がアクセス可能となるような誤接続があってはならない。そのため,要件A.1.1とA.1.2により,アクセスを限定し権限を制限するよう規定している。
A.1.1 それぞれの事業体は,その事業体に属するカード会員データ環境にのみアクセスできるようにする |
A.1.2 それぞれの事業体のアクセスと権限を,その事業体に属するカード会員データ環境のみに制限する |
ここで述べているカード会員データ環境へのアクセスとは,物理的アクセスなどを含むすべてのアクセスを指している。物理的アクセスの対策には,コンピュータ・ラックの施錠,IDカードによるマシンルームへの入退館管理,常時ビデオカメラ(表8)による常時監視がある。
オムロン | 入退館管理システム,セキュリティカメラシステム |
ソニー | IPビデオモニタリング |
ネットワンシステムズ | ファシリティ・ソリューション |
松下電器産業 | IP統合ネットワークプラットフォーム |
三菱電機 | ビルセキュリティシステム |
ログと監査証跡は事業体ごとに管理
ホスティング・プロバイダは,ログと監査証跡についても事業者ごとに管理する必要がある。要件A.1.3に,それが定められている。
A.1.3 それぞれの事業体のカード会員データ環境ごとにログと監査証跡を取り,PCI DSS 要件10 に準拠していること |
要件10では,ログと監査証跡について次のように定められている。ホスティング・プロバイダのログと監査証跡の管理は,これに準拠しなければならない。
要件10:ネットワーク資源およびカード会員データに対する全てのアクセスを追跡し,監視すること |
要件10の小項目では,ログが改ざんされたときにはアラートが発せられるよう,変更検知ソフトウエア(表9)を使用することなどが定められている。
|