PCI DSS
1.PCI DSS の概要
PCI セキュリティ基準審議会は、アカウントデータ保護のためのセキュリティ基準策定を目的としたグローバルフォーラムです。同審議会は、5 大ペイメントブランド (American Express、Discover Financial Services、JCB International、MasterCard、Visa Inc.) により設立されました。
PCI データセキュリティ基準は、ペイメントカード情報を保存、処理、または送信するすべての事業体 (加盟店、プロセッサー、アクワイアラー、イシュアー、サービスプロバイダーを含む) に対する運用上および技術上の要件を定めています。PCI DSS は同審議会が管理・運営していますが、PCI DSS への準拠の強制はペイメントブランドが行います。
2.PCI DSS の適用範囲
PCI データセキュリティ基準は、ペイメントカード情報を保存、処理、または送信するすべての事業体に適用されます。加盟店は、ペイメントブランドとの年間トランザクション量に基づき、レベル 1 からレベル 4 までの 4 段階に分類されます。加盟店レベルの判定基準はペイメントブランドが決定します。そのため、加盟店はアクワイアリング銀行に確認して自社の加盟店レベルを把握する必要があります。同審議会は、中小規模の加盟店が PCI DSS への準拠を検証するための自己評価質問票の仕組みを設けています。
加盟店は、さらに該当する質問票の種類を判定し、手順とガイドラインに従って質問票を完成させる必要があります。たとえば SAQ A-EP、SAQ B-IP、SAQ C、SAQ D-Merchant、SAQ D-Service Provider などの業種では、PCI SSC 認定スキャニングベンダー (ASV) による四半期ごとの脆弱性スキャンが求められます。最後に、加盟店は準拠証明書を完成させ、求められたすべてのドキュメントをアクワイアリング銀行に提出して検証を受ける必要があります。
3. Alibaba Cloud の PCI DSS 準拠
PCI DSS は 6 つのカテゴリにわたる 12 の要件で構成されています。安全なネットワークとシステムの構築・維持、カード会員データの保護、脆弱性管理プログラムの維持、強固なアクセス制御の実装、ネットワークの定期的な監視とテスト、情報セキュリティポリシーの維持が含まれ、該当する事業体が関連するペイメントカードのアカウントデータの保護に適した安全な環境を維持しているかを評価するためのものです。
Alibaba Cloud は PCI SSC 認定セキュリティ評価機関 (QSA) と連携し、年次のオンサイト評価を実施しています (PCI DSS v3.2.1 レベル 1 認定)。PCI DSS 評価の範囲には、12 のグローバルリージョン (香港 (中国) を含む) で利用可能なクラウドプロダクト、セキュリティサービス、CDN サービスが含まれます。準拠証明書 (AOC) レポートはダウンロードできます。詳細な範囲情報については、AOC レポートをご参照ください。
4.Alibaba Cloud で PCI DSS に準拠する方法
- PCI DSS 要件の遂行における責任範囲の理解
Alibaba Cloud が PCI DSS に準拠しているからといって、お客様も PCI DSS の要件を満たしていることにはなりません。Alibaba Cloud の評価環境は、Alibaba Cloud サービスを支える物理・仮想インフラストラクチャ (物理サーバー、ホスト OS、ネットワーク、仮想化、Alibaba Cloud プラットフォームおよびサービスの管理・運用に関する制御環境を含む) です。PCI DSS に準拠することで、Alibaba Cloud は高度にセキュアなクラウドサービスプラットフォームとプロダクト、セキュリティサービスを提供し、お客様の PCI DSS セキュリティ要件への対応を支援できます。
共有セキュリティ責任モデルに基づき、Alibaba Cloud とお客様は、Alibaba Cloud 上に構築されたお客様のアプリケーションのセキュリティについて共同で責任を負います。PCI DSS の 12 の要件のうち、物理的セキュリティに関する要件は Alibaba Cloud のみに適用され、カード会員データ環境および情報セキュリティポリシーに関する要件は主にお客様のみに適用されます。残りの要件については、Alibaba Cloud とお客様が共同で対応します。
- Alibaba Cloud の提供物
お客様が Alibaba Cloud の PCI AOC レポートにどのように依拠できるか、また各要件においてどのような責任を負うかを把握し、PCI DSS に準拠いただけるよう、Alibaba Cloud International Services PCI DSS Responsibility Management Matrix を提供しています。詳細については、ドキュメントをダウンロードしてご確認ください。
一般に、お客様はさまざまなクラウドベースのプロダクトを安全な方法で設定・使用し、これらのクラウドプロダクトのセキュリティ機能を活用して、自社のクラウドベースのアプリケーションおよびサービスを安全かつ制御可能な方法で構築する責任があります。これにより、クラウド上のデータのセキュリティを確保します。Alibaba Cloud は Smart and Sound with Alibaba Cloud - Security Service Overview を提供しており、ネットワーク、アプリケーションセキュリティ、運用セキュリティ、ホストセキュリティ、クラウドサービスセキュリティ、セキュリティコンプライアンスの 6 つの領域にわたる主要なセキュリティシナリオを解説しています。
- Alibaba Cloud エコシステムによるその他のサポート
Alibaba Cloud マーケットプレイスでは、LGMS (国際的な PCI 認定セキュリティ評価機関) が提供する PCI DSS Wizard サービスを無料でご利用いただけます。業種の判定や PCI DSS コンプライアンスレベルの確認が可能です。さらに、LGMS PCI DSS Compliance SAQ Wizard、ASV スキャン、コンプライアンス認証サービスもマーケットプレイスでご利用いただけます。
LGMS PCI DSS Wizard >
PCI DSS 準拠の過程で得たベストプラクティスや直面した課題を共有されたい場合は、Alibaba Cloud フォーラム – ソリューションにぜひご投稿ください。
