Enterprise Watch
最新ニュース

VISA、大手のカード加盟店にPCI DSS準拠を義務化-2010年9月30日までに


 VISAは11月11日(シンガポール時間)、カード産業におけるデータセキュリティ基準「PCI DSS」において、順守に必要な国際的に統一された枠組みを発表した。その中で、VISAカードの取引件数が年間600万件を超えるような大手加盟店に、2010年9月30日までのPCI DSS準拠を義務化した。

 PCI DSSは、カード産業におけるデータセキュリティ基準。具体的な実装レベルのセキュリティ要件が定められており、カード情報流出を防止するため、カード加盟店やプロセサ(決済代行処理事業者)などに準拠が推奨されている。今回発表した枠組みの中ではまず、バリデーションプログラムの統一が行われた。

 PCI DSSに準拠するためには、「訪問審査」「脆弱性スキャン」「自己問診」などの審査をクリアしなければならない。どの審査を受けるかはカード取引件数などに応じて異なり、その条件を定めたのがバリデーションプログラム。これを統一することで、あらためて加盟店・サービスプロバイダのレベルとバリデーション要件を明確にした。


 併せて、レベル1の加盟店にPCI DSS準拠を義務化。2010年9月30日までという期限を設けた。レベル1の加盟店とは、「VISAカードの取引件数が年間600万件を超える加盟店、もしくはVISAの特定の地域でレベル1と認定される加盟店」のことで、PCI DSSの中では最大規模の加盟店に位置付けられる。

 VISAは2010年9月30日以降、必要なリスク管理施策を展開する予定で、例えば、アクワイアラ(クレジットカードの加盟店獲得と管理業務を行う事業者)から、レベル1加盟店のバリデーション完了証明書が提出されない場合は、罰金を科すこともあるとしている。

 さらに、レベル1/2の加盟店向けに、保管禁止データの廃棄期限も設けた。保管禁止データとは、全磁気ストライプデータ、セキュリティコードまたはPINデータを含むセンシティブなカード関連情報のこと。VISAはアクワイアラに対して、加盟店が取引認証後にこれらを保管していないか、2009年9月30日までに確認・報告するよう義務化した。



URL
  VISA(日本語)
  http://www.Visa.co.jp/

関連記事
  ・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【前編】(2008/10/23)
  ・ VISAに聞く、実装レベルのカードセキュリティ基準「PCI DSS」【後編】(2008/10/24)
  ・ 「PCI DSS v1.2」改訂ポイント、最も重い変更は「DMZのログの扱い」(2008/11/13)


( 川島 弘之 )
2008/11/13 19:21

Enterprise Watch ホームページ
Copyright (c) 2008 Impress Watch Corporation, an Impress Group company. All rights reserved.