VISAは11月11日(シンガポール時間)、カード産業におけるデータセキュリティ基準「PCI DSS」において、順守に必要な国際的に統一された枠組みを発表した。その中で、VISAカードの取引件数が年間600万件を超えるような大手加盟店に、2010年9月30日までのPCI DSS準拠を義務化した。
PCI DSSは、カード産業におけるデータセキュリティ基準。具体的な実装レベルのセキュリティ要件が定められており、カード情報流出を防止するため、カード加盟店やプロセサ(決済代行処理事業者)などに準拠が推奨されている。今回発表した枠組みの中ではまず、バリデーションプログラムの統一が行われた。
PCI DSSに準拠するためには、「訪問審査」「脆弱性スキャン」「自己問診」などの審査をクリアしなければならない。どの審査を受けるかはカード取引件数などに応じて異なり、その条件を定めたのがバリデーションプログラム。これを統一することで、あらためて加盟店・サービスプロバイダのレベルとバリデーション要件を明確にした。
併せて、レベル1の加盟店にPCI DSS準拠を義務化。2010年9月30日までという期限を設けた。レベル1の加盟店とは、「VISAカードの取引件数が年間600万件を超える加盟店、もしくはVISAの特定の地域でレベル1と認定される加盟店」のことで、PCI DSSの中では最大規模の加盟店に位置付けられる。
VISAは2010年9月30日以降、必要なリスク管理施策を展開する予定で、例えば、アクワイアラ(クレジットカードの加盟店獲得と管理業務を行う事業者)から、レベル1加盟店のバリデーション完了証明書が提出されない場合は、罰金を科すこともあるとしている。
さらに、レベル1/2の加盟店向けに、保管禁止データの廃棄期限も設けた。保管禁止データとは、全磁気ストライプデータ、セキュリティコードまたはPINデータを含むセンシティブなカード関連情報のこと。VISAはアクワイアラに対して、加盟店が取引認証後にこれらを保管していないか、2009年9月30日までに確認・報告するよう義務化した。
■ URL
VISA(日本語)
http://www.Visa.co.jp/
■ 関連記事
・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】(2008/10/23)
・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【後編】(2008/10/24)
・ 「PCI DSS v1.2」改訂ポイント、最も重い変更は「DMZのログの扱い」(2008/11/13)
( 川島 弘之 )
2008/11/13 19:21
|