トランザクション・データをDB上に残していないか?
次に,三井住友カードの例を見ていこう。同社は自らもPCI DSSの認定を取得しており,カード加盟店や決済事業者にPCI DSSの認定を推進する立場にもある。同社でPCI DSSを担当する田添裕嗣氏(信用企画部 部長代理)に,どういうところがポイントとなるかを解説してもらった。
田添氏は「いくつかの案件を担当してきた経験からすると,主に,PCI DSSの要件3と要件12が問題になることが多い」と指摘する。要件3はカード会員データの保護に関する項目,要件12はセキュリティ・ポリシーの整備に関する項目である。
■トランザクション・データの消去:
決済に使ったトランザクション・データをデータベース上に持ち続けているケースがある。このデータが流出すると金銭的な被害に直結する可能性があるため,消去する必要がある。
■カード情報の暗号化:
カード情報を暗号化せずにデータベースに格納しているケースがある。カード情報は暗号化しておかなければならない。
■セキュリティ・ポリシーの策定:
大企業だとセキュリティ・ポリシーを持つところが多いが,中堅・中小の加盟店の中には持たないところも多い。セキュリティ・ポリシーの策定と,年1回の見直しが求められる。
■採用内定者の審査:
悪意を持つ社員の採用を防がなければならない。しかし,採用内定者を審査することは困難。これは極めて難しい。
これらは通常,実際にそのシステムを開発・運用している現場の担当者にしか分からない。PCI DSSに完全準拠するには,QSA(認定セキュリティ・ベンダー)による立ち入り検査が必要となる。そのとき,必要なデータを暗号化していなかったり,不要なトランザクション・データを残していたりすると,システムの改修を求められる可能性がある。
| ■変更履歴 本文中「ヤマト運輸の情報システム子会社 ヤマトシステム開発。あまり知られていないが,同社は親会社のシステム開発・運用を…」としていましたが,「ヤマトグループの情報システム会社 ヤマトシステム開発。あまり知られていないが,ヤマト運輸などグループ各社のシステム開発・運用を…」です。お詫びして訂正します。本文は修正済みです。 [2008/04/10 19:45] |
