PCI DSSコンプライアンスにはどのような準備が必要ですか?

投稿者 Zevenet | 11 7月、2022 | 技術的

序言

達成し維持するプロセス PCI DSS コンプライアンス どの組織にとっても簡単ではありません。 大規模な組織、中規模の企業、または小規模な企業のいずれであっても、PCI DSSは、包括的なセキュリティ要件のセットで構成されているため、困難な作業になる可能性があります。 コンプライアンスを達成するには、支払いのセキュリティフレームワークとセキュリティ管理要件の実装を十分に理解する必要があります。 ペイメントカードデータを処理する組織は、 PCIDSS12の要件 コンプライアンスを確保し、支払い環境を保護します。 これらの要件は、組織がサイバー脅威やデータ侵害からネットワークとインフラストラクチャを保護するためのガイドラインとして機能します。 これらの要件について詳しく説明し、準備するためのいくつかの役立つヒントを共有しました PCIDSSコンプライアンス監査.

PCIDSSコンプライアンス要件を理解する

PCI DSS コンプライアンス カード会員データの保護に焦点を当てたPCIセキュリティ標準評議会によって施行されたセキュリティ標準およびフレームワークです。 この規格は、機密性の高い支払いカード会員データを保護するための技術的および運用上の対策に焦点を当てた、評議会によって概説された12の要件で構成されています。 組織は、これらのセキュリティ対策を実装して達成および維持することが期待されています PCI DSS コンプライアンス。 したがって、PCI DSSコンプライアンスの準備方法をよりよく理解するために、簡単に説明されている12の要件を以下に示します。

PCI DSS要件1: カード会員データを保護するためのファイアウォール構成のインストールと保守
マーチャントとサービスプロバイダーは、ファイアウォールとルーターの適切な構成で安全なネットワークを維持する必要があります。 これは、カードのデータ環境を保護し、サイバー攻撃を防ぐためです。

PCI DSS要件2: 使用しない-システムパスワードおよびその他のセキュリティパラメータのベンダー提供のデフォルト
システムとソフトウェアには、デフォルトのパスワードと設定が付属しています。 したがって、セキュリティを確保するために、マーチャントは、強力なセキュリティパスワードと構成を使用して、組織のシステム、ネットワーク、およびデバイスの強化を確実にすることが期待されます。 さらに、加盟店はシステム強化手順を文書化し、それに応じてプロトコルに従うことが期待されています。

PCI DSS要件3:保存されたカード会員データを保護する
加盟店およびサービスプロバイダーは、保存されているカード会員データを保護するための適切な対策を実施する必要があります。 暗号化の手法を使用して、PANデータをデータ侵害から保護する必要があります

PCI DSS要件4:オープンネットワークまたはパブリックネットワークを介したカード会員データの送信を暗号化する
加盟店は、パブリックネットワークまたはオープンネットワークを介して転送中のカード会員データを暗号化することが期待されています。 さらに、セキュリティ対策と暗号化要件を実施するためのセキュリティポリシーの手順とプロセスが実施されていることを確認する必要があります。

PCI DSS要件5:ウイルス対策ソフトウェアまたはプログラムの使用と更新
加盟店は、デバイスとアプリケーションに最新のウイルス対策ソフトウェアをインストールすることで、システムとアプリケーションを最新の状態に保ち、保護することが期待されています。 これは、マルウェアやその他のサイバー攻撃からの保護を確保するためです。

PCI DSS要件6:安全なシステムとアプリケーションの開発と保守
リスクを軽減するために、セキュリティの実装を確認し、セキュリティパッチをインストールすることが重要です。 これらのセキュリティパッチを定期的に更新することは、ハッキングの潜在的なリスクを防ぐために不可欠です。 加盟店は、カードデータ環境内のすべてのシステムにパッチを適用し、開発のすべての段階でセキュリティを実装する必要があります。 さらに、システムとアプリケーションの新しい脆弱性を発見するためのプロセスを実施する必要があります。

PCI DSS要件7:ビジネスごとにカード会員データへのアクセスを制限する必要がある
加盟店は、カード会員データへのアクセスを制限するための強力なアクセス制御を実装する必要があります。 これにより、機密性の高いカードデータへの不正アクセスや、データの侵害や盗難の潜在的なリスクを防ぐことができます。 このため、必要なプロセスを確立して、ビジネス上の必要性に基づいてカード会員データへのアクセスを制限する必要があります。

PCI DSS要件8: システムコンポーネントへのアクセスを識別および認証する
システムとデータへのアクセスは、定期的に追跡および監視する必要があります。 強力なセキュリティ管理措置の一環として、許可されたすべての従業員に一意のIDを割り当てる必要があります。 これは、説明責任を維持するために、カード環境のシステムとデータへのアクセスに関するアクティビティを追跡するためのものです。

PCI DSS要件9: カード会員データへの物理的アクセスを制限する
カード会員データへの物理的なアクセスを制限することは、セキュリティ管理措置を実施する上で不可欠な部分です。 これには、オンサイトのアクセス制御の実装、ログの監視、および必要なセキュリティポリシーとプロセスの導入が必要です。 さらに、マーチャントは、物理的なセキュリティ対策ですべてのデバイスとシステムを保護し、すべてのデータのバックアップを維持する必要があります。

PCI DSS要件10: ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視する
PCI DSSでは、カードデータを構成するシステムやネットワークを含むすべてのアクセスポイントをリアルタイムで追跡および駆動する必要があります。 これは、カードデータ環境に対する脆弱性と脅威の悪用を特定して防止するためです。 このログの埋め込みでは、アクティビティを定期的に追跡するために管理が不可欠です。

PCI DSS要件11: セキュリティシステムとプロセスを定期的にテストする
すべてのシステムプロセスの脆弱性をテストするには、脆弱性評価と侵入テストを定期的に実行することが不可欠です。 これは、カードデータ環境内で一定レベルのセキュリティを確保および維持するためです。 すべてのシステムとプロセスを頻繁にテストして、データのセキュリティが常に維持されていることを確認する必要があります。

PCI DSS要件12: すべての人員の情報セキュリティに対処するポリシーを維持する
情報セキュリティプロセスに対応するポリシーを作成して維持することは、施行の観点から必要です。 すべての従業員とサードパーティベンダーは、自分たちの責任をよりよく理解するために、これらのポリシーにアクセスできる必要があります。 さらに、情報セキュリティポリシーは、加盟店のサイバーセキュリティプログラムをPCIDSSの要件に合わせるために毎年見直す必要があります。

PCI DSSを実現するために実装する必要のある技術的および運用上の要件がわかったので、組織がどのように準備できるかを見てみましょう。 PCIDSSコンプライアンス監査。

PCIDSS監査の準備手順

PCI DSSコンプライアンス監査の準備は、非常にストレスになる可能性があります。 最終監査を確実に成功させるには、綿密な評価レビューとプロセスの実装が必要です。 とはいえ、準備のために従うことができるいくつかのステップがあります PCIDSS監査 そしてそれが成功することを確実にするために。

準拠していると思い込まないでください– PCI DSSコンプライアンス要件は、PCI評議会によって更新されることがよくあります。 これらのアップデートは、業界で進化するテクノロジーと脅威の状況に基づいています。 最新バージョンの PCI DSS 4.0 1年第2022四半期にリリースされる予定であるため、組織は、評議会によって導入および施行される新しい要件に注意を払う必要があります。 以前にPCIDSSに準拠していたかどうかに関係なく、準拠を継続するかどうかを提案するのは、今後の監査のみです。 コンプライアンス監査は、すべてのセキュリティ対策が実施され、最新のデータセキュリティ要件に準拠しているかどうかを検証するための評価です。 したがって、以前のPCI DSS監査に基づいて準拠していると仮定すると、組織が今後の監査で準拠していない理由になる可能性があります。

コンプライアンスギャップ分析– 組織で初めてPCIDSS評価を受ける場合は、コンプライアンスレベルが「現状のまま」でどこにあるか、主要なギャップは何か、必要な投資も特定することが非常に重要です。 このため、組織はPCIDSSコンプライアンス要件に対するギャップ分析を直ちに実施し続ける必要があります。 これは、要件の欠点を評価および検証し、システムのギャップを埋めるために取り組みます。 PCI DSSは継続的なプロセスであり、ビジネスオペレーションをセキュリティ標準およびサイバーセキュリティの目標に合わせるために、ポリシーの手順とプロセスを定期的に確認および更新する必要があります。 したがって、ギャップ分析を実施し、潜在的なコンプライアンスギャップを修正することは、特にPCIDSSコンプライアンスを確認するための最終監査の前に重要です。 繰り返しになりますが、これはコンプライアンスの観点からだけでなく、システム、ネットワーク、およびインフラストラクチャのセキュリティを強化する観点からもです。

すべてのPCIDSS要件に対応– 組織は、セキュリティ標準フレームワークへの準拠を確実にするために、PCIDSSフレームワークで概説されている12の要件すべてに対応していることを確認する必要があります。 要件とその影響を理解することは、組織がコンプライアンスに必要な対策を実施するために不可欠です。 必要に応じて、すべての要件を完全に満たす必要があります。 これらの要件の12つでも満たすことができないと、監査が失敗し、PCIDSSに準拠しなくなる可能性があります。 したがって、XNUMXの要件が満たされ、必要なすべてのセキュリティ対策が組織のカードデータ環境内で実装されていることが必須です。

ネットワークとデータフロー図の作成– 組織は、組織全体のネットワーク接続と組織のネットワーク全体のカードデータの流れを理解するために、正確なネットワーク図を作成して維持する必要があります。 これにより、カードデータの保存、処理、送信など、カードデータを処理する組織のネットワークとシステムについての洞察が得られます。 組織のプロセスと機密性の高いカードデータのフローを反映したデータフローチャートを視覚的に表現したネットワーク図を作成すると、運用上の欠点を特定するのに役立ちます。 したがって、このような詳細なネットワーク図に基づいて、組織は、システム、アプリケーション、ネットワーク、およびカードデータを処理するすべてのアクセスポイントにわたるセキュリティ対策に優先順位を付けることができます。

リスクアセスメント - リスク評価は、コンプライアンスおよびサイバーセキュリティプログラムの不可欠で不可欠な部分です。 組織が対処しているリスクエクスポージャーを決定し、理解することが重要です。 リスクを評価し、重大度に基づいてリスクエクスポージャーのレベルを分類することは、企業がセキュリティの実装に優先順位を付けるために重要です。 このため、組織は毎年リスク評価を実施して、脅威や脆弱性にさらされている重要な資産を特定する必要があります。 このような評価は、組織が進化するサイバー脅威からシステムネットワークとデータを保護するための予防的な対策を講じるのに役立ちます。 また、サイバーセキュリティプログラムをPCIDSS要件に常に合わせるのにも役立ちます。

ドキュメントのポリシーとプロセス– コンプライアンスポリシー、プロセス、手順、およびベンダーの契約と合意に関するドキュメントは、最新であり、随時更新される必要があります。 PCIDSS監査の証拠としてすべての関連文書を維持することは非常に重要です。 文書には、組織内で確立されたコンプライアンスポリシーの実装を実施する、実装されたすべてのセキュリティ対策、手順、およびプロセスが含まれている必要があります。 このような記録は、PCIDSSコンプライアンスの実装と維持に向けた組織の取り組みを明確に示しています。 PCI DSS監査には、手順、ポリシー、およびポリシーの実装に関連する記録に関連するドキュメントの検証が含まれます。 したがって、組織はすべてのドキュメントが更新され、日常業務と一致していることを確認する必要があります。 ポリシー、手順、または操作プロセスの変更は、定期的に記録に記録して更新する必要があることに注意することも重要です。

サードパーティベンダーのコンプライアンス– 組織はデータ処理活動をサードパーティベンダーにアウトソーシングしていますが、それでもそれらが準拠していることを確認するのは組織の責任です。 加盟店は、取引するサードパーティベンダーが自分たちの責任を認識し、PCIDSS要件に準拠してデータを処理することを確認する必要があります。 コンプライアンスを確保できないと、組織のPCIDSSへのデータ侵害やコンプライアンス違反が発生する可能性があります。 活動を監視するために必要な対策が実施されていない場合、これは組織に莫大な費用をかけます。 コンプライアンスとサイバーセキュリティにサードパーティベンダーやその他の利害関係者が関与するこれらの理由から、このプログラムは非常に重要です。

内部評価の実施– プロセスのギャップやシステムの弱点を特定するには、内部評価を時々実施することが不可欠です。 これは、修復プロセスに役立ち、コンプライアンスプログラムのギャップを埋めます。 毎年の内部評価を実施することは、最終的なPCIDSSコンプライアンス監査を手間をかけずに行うために不可欠です。 組織は、最終評価の前にそのような事前評価と内部監査を実施することにより、PCIDSSコンプライアンスを達成する可能性が高くなります。 組織は、証拠として必要な文書を準備し、PCIDSSコンプライアンスを確保するために必要なセキュリティ対策を実施します。

最終的な思考
PCI DSSコンプライアンスは、ペイメントカード業界の加盟店やサービスプロバイダーにとって避けられないものです。 彼らは常にすべての要件を満たしていることを確認し、支払いセキュリティの標準とフレームワークに常に準拠していることを確認する必要があります。 これらの理由から、組織は、コンプライアンスプログラムが順調に進んでおり、PCI DSS要件に従っていることを確認するために、専門的で経験豊富なコンプライアンスコンサルタントおよび監査人のオンボーディングを検討することを強くお勧めします。 経験豊富な専門家による定期的な内部監査と評価は、カードデータと環境を保護するための組織の取り組みと取り組みを反映し、機密データを保護するためのコンプライアンス義務を果たすための積極的なアプローチとイニシアチブを反映しています。

おかげで:

ナレンドラサフー

ON SHARE:

関連ブログ

投稿者: zenweb | 30 年 2022 月 XNUMX 日
ヘルスケアは、他の業界と同様に、セキュリティの脅威に対して非常に脆弱です。 今日、ヘルスケアにおけるサイバー攻撃は非常に一般的であり、多くのリスク、特にセキュリティリスクが…
16が好きコメントオフ ヘルスケアにおけるサイバーセキュリティ フレームワークの重要性について
投稿者: zenweb | 02 年 2022 月 XNUMX 日
ZEVENET が 7 年に最高の負荷分散ソフトウェアである 2022 つの理由 負荷分散ソリューションは、もはや過去のものではありません。 テクノロジーが向上するにつれて、脅威も…
61が好きコメントオフ ZEVENET が 7 年に最高の負荷分散ソフトウェアである 2022 つの理由について
zenwebによる投稿| 20年2022月XNUMX日
ネットワークオペレーションセンター(NOC)は、組織内のITチームがネットワークのパフォーマンスを監視する中心的な場所です。 NOCは、サーバー、データベース、ハードディスクスペース、および…を提供します。
53が好きコメントオフ ネットワークオペレーションセンター、定義およびトップ4のベストプラクティス