 |
 |
|
|
| 最新ニュース |
|
|
|
|
|
|
||||||||||
|
||||||||||
|
||||||||||
|
VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
VISAは11月11日(シンガポール時間)、カード産業におけるデータセキュリティ基準「PCI DSS」において、順守に必要な国際的に統一された枠組みを発表した。その中で、VISAカードの取引件数が年間600万件を超えるような大手加盟店に、2010年9月30日までのPCI DSS準拠を義務化した。 PCI DSSは、カード産業におけるデータセキュリティ基準。具体的な実装レベルのセキュリティ要件が定められており、カード情報流出を防止するため、カード加盟店やプロセサ(決済代行処理事業者)などに準拠が推奨されている。今回発表した枠組みの中ではまず、バリデーションプログラムの統一が行われた。 PCI DSSに準拠するためには、「訪問審査」「脆弱性スキャン」「自己問診」などの審査をクリアしなければならない。どの審査を受けるかはカード取引件数などに応じて異なり、その条件を定めたのがバリデーションプログラム。これを統一することで、あらためて加盟店・サービスプロバイダのレベルとバリデーション要件を明確にした。 併せて、レベル1の加盟店にPCI DSS準拠を義務化。2010年9月30日までという期限を設けた。レベル1の加盟店とは、「VISAカードの取引件数が年間600万件を超える加盟店、もしくはVISAの特定の地域でレベル1と認定される加盟店」のことで、PCI DSSの中では最大規模の加盟店に位置付けられる。 VISAは2010年9月30日以降、必要なリスク管理施策を展開する予定で、例えば、アクワイアラ(クレジットカードの加盟店獲得と管理業務を行う事業者)から、レベル1加盟店のバリデーション完了証明書が提出されない場合は、罰金を科すこともあるとしている。 さらに、レベル1/2の加盟店向けに、保管禁止データの廃棄期限も設けた。保管禁止データとは、全磁気ストライプデータ、セキュリティコードまたはPINデータを含むセンシティブなカード関連情報のこと。VISAはアクワイアラに対して、加盟店が取引認証後にこれらを保管していないか、2009年9月30日までに確認・報告するよう義務化した。 ■ URL VISA(日本語) http://www.Visa.co.jp/ ■ 関連記事 ・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】(2008/10/23) ・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【後編】(2008/10/24) ・ 「PCI DSS v1.2」改訂ポイント、最も重い変更は「DMZのログの扱い」(2008/11/13)
( 川島 弘之 )
|
