• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

記者の眼

続・「パスワードは90日ごとの変更」が義務づけられる!? (3/3)

尾崎 憲和=ITpro 2008/04/10 ITpro

トランザクション・データをDB上に残していないか?

 次に,三井住友カードの例を見ていこう。同社は自らもPCI DSSの認定を取得しており,カード加盟店や決済事業者にPCI DSSの認定を推進する立場にもある。同社でPCI DSSを担当する田添裕嗣氏(信用企画部 部長代理)に,どういうところがポイントとなるかを解説してもらった。

 田添氏は「いくつかの案件を担当してきた経験からすると,主に,PCI DSSの要件3と要件12が問題になることが多い」と指摘する。要件3はカード会員データの保護に関する項目,要件12はセキュリティ・ポリシーの整備に関する項目である。

■トランザクション・データの消去:
 決済に使ったトランザクション・データをデータベース上に持ち続けているケースがある。このデータが流出すると金銭的な被害に直結する可能性があるため,消去する必要がある。

■カード情報の暗号化:
 カード情報を暗号化せずにデータベースに格納しているケースがある。カード情報は暗号化しておかなければならない。

■セキュリティ・ポリシーの策定:
 大企業だとセキュリティ・ポリシーを持つところが多いが,中堅・中小の加盟店の中には持たないところも多い。セキュリティ・ポリシーの策定と,年1回の見直しが求められる。

■採用内定者の審査:
 悪意を持つ社員の採用を防がなければならない。しかし,採用内定者を審査することは困難。これは極めて難しい。

 これらは通常,実際にそのシステムを開発・運用している現場の担当者にしか分からない。PCI DSSに完全準拠するには,QSA(認定セキュリティ・ベンダー)による立ち入り検査が必要となる。そのとき,必要なデータを暗号化していなかったり,不要なトランザクション・データを残していたりすると,システムの改修を求められる可能性がある。

■変更履歴
本文中「ヤマト運輸の情報システム子会社 ヤマトシステム開発。あまり知られていないが,同社は親会社のシステム開発・運用を…」としていましたが,「ヤマトグループの情報システム会社 ヤマトシステム開発。あまり知られていないが,ヤマト運輸などグループ各社のシステム開発・運用を…」です。お詫びして訂正します。本文は修正済みです。 [2008/04/10 19:45]

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【徹底解剖!Azure 2017】

    Microsoftが進める「AI民主化」の中身

     AI(人工知能)を民主化する――。米Microsoftのサティア・ナデラCEO(最高経営責任者)は頻繁にそう語る。専門家がいない一般企業でも最新のAIを活用できるよう、Microsoftが手助けするという意味だ。競合も多いAIクラウド市場でMicrosoftの強みは何なのか。米ワシントン州レドモン…

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る