ペイメントカード業界のデータセキュリティ基準（PCI DSS）

6つのコア原則に対する200以上のテスト

PCI DSS基準には、6つのコア原則を表す12の一般的なセキュリティ領域に分類される200を超えるテストに対する評価が含まれます。 これらのPCI DSSテストは、暗号化、キー管理、その他のデータ保護技術などのテクノロジーとともに、幅広い一般的なセキュリティプラクティスにまたがっています。

PCI DSS監査とコンプライアンスに関連するリスク

• PCI DSSコンプライアンス要件に準拠しなければ、罰金、手数料の増加、または支払いカード取引の処理能力の終了につながる可能性があります。
• PCI DSSへの準拠は、単独で検討することはできません。組織は、複数のセキュリティ義務とデータ侵害開示法または規制の対象となります。 一方、PCIコンプライアンスプロジェクトは、より広範なエンタープライズセキュリティイニシアチブによって簡単に回避できます。
• PCI DSS要件に関連するガイダンスと推奨事項には、すでに実施されている可能性が高い一般的な慣行が含まれています。 ただし、一部の側面、特に暗号化に関連する側面は、組織にとって初めてのものであり、実装は混乱を招き、正しく設計されていないと、運用効率に悪影響を及ぼす可能性があります。
• PCI DSSコンプライアンス義務の範囲を縮小し、それによってコストと影響を軽減する機会が存在します。ただし、新しいシステムとプロセスが実際にPCI DSS準拠として受け入れられるように注意を払わなければ、組織は時間とお金を無駄にする可能性があります。

PCI DSSの主要な要件への対応

Entrustとそのパートナーは、銀行や金融機関が業界の規制に準拠するために何十年もの経験を積んでおり、保存されているカード会員データを保護し、転送用に暗号化し、必要に応じてアクセスを制限できる製品とサービスを提供しています。

• カード会員データを保護します。 Entrustは、主要なモバイルデバイス決裁承認（mPOS）ソリューション、および主要な決済データ保護ソリューションと連携して、カード会員データを保護し、PCI DSSコンプライアンスを確保します。 加盟店組織は、転送中のデータを保護するために、ネットワーク暗号化とSSL/TLS暗号化を導入する必要があります。
• 強力なアクセス制御手段を実装します。 すべてのデータ保護技術は、アクセス制御と密接に連携しています。 PKIやデジタル証明書などの暗号化技術は、ユーザーやシステムの認証にパスワードレベルのセキュリティを超える目的で広く使用されています。 さらに、Entrust nShield HSMを使用してデータ復号化キーへのアクセスを制御すると、データを「知る必要がある」場合にのみ復号化できます。
• 安全なネットワークを構築して維持します。 ネットワークレベルの暗号化に加えて、ネットワークセキュリティの重要なコンポーネントは、ネットワークデバイスの強力な認証です。デジタル資格情報は、ネットワークアクセスを制御するためにデバイスレベルで使用されるようになってきており、企業PKIの重要なセキュリティ上の考慮事項です。
• 脆弱性管理プログラムを維持します。 マルウェアを注入することによってビジネスアプリケーションを破壊しようとする高度な持続的攻撃が増加したことで、ビジネスシステムとアプリケーションソフトウェアの整合性と信頼性を証明する手段として、デジタル署名およびコード署名が注目されています。
• 情報セキュリティポリシーを維持します。 PCI DSSは、内部関係者による攻撃のリスクを最小限に抑えるために、スタッフメンバー間の職務の明確な分離を確立することに重点を置いています。 暗号化の使用は、職務分離を実施するための、そして、コンプライアンスを実証できる信頼あるイベント記録を作成するための強力な仕組みを提供します。

パンフレット： Entrust nShield HSMファミリーのパンフレット

Entrust nShield HSMは、安全な暗号化処理、鍵の生成および保護などのために、強化された耐タンパ性環境を提供します。FIPS 140-2認定取得済みEntrust nShield HSMは3つの形状があり、さまざまな実装シナリオをサポートします。

Entrust nShield HSM製品カタログ