1.CVV2は保管できますか?
3.2 認証後に機密認証データを保存しない . 機密性の高い認証データを受信した場合、認証プロセスの完了時にすべてのデータを復元不可 能にします。
この基準では、機密性の高い認証データを認証完了後に保存することは、暗号化されていても絶対に禁止されていると正しく読み取れます。この要件は、PCI DSS 規格の 12 の要件の 6 つのカテゴリにある 300 以上のセキュリティ要件の 1 つであり、規格の重要な基本要件です。
業界では、認可されたトランザクションを保存できるかどうかも議論されていますが、これは理論的には各ペイメントブランドのセキュリティシステム要件に依存するはずです。一般的に、認証された一時的な機密認証の保存は、本来の PCI 要件よりも高くなければならず、QSA は少なくとも、強力な暗号化アルゴリズム、関連プロセス、および鍵管理の技術的措置の実装を確認する必要があります。
したがって、セキュリティ侵害によって生じる可能性のあるリスクは、標準や業界要件に従って保存が禁止されている機密認証データの開示には理論上関与しないはずです。
この点については、長年にわたって業界で多くの議論や解決策が行われてきました。PCI Standards Council からの情報は以下を参照してください:
磁気ストライプの内容やセキュリティーコードのような機密性の高い認証データについては、同協議会は this.
SAD に関して、PCI DSS 要件 3.2 は、暗号化されている場合でも、承認後に SAD を保存することを禁止しています。 SAD を承認前に保存することが許可されているかどうかは、関連する使用要件および保護要件を含め、各ペイメントブランドによって決定されます。SAD を認証前に保存することが許可されているかどうかは、関連する使用要件および保護要件を含め、各ペイメントブランドによって決定されます。承認前の SAD の保存が許可されている場合は、PCI DSS で定義されている以上の厳格な条件と管理の対象となります。 さらに、いくつかのペイメントブランドではさらに、いくつかのペイメントブランドでは、SAD の保管を禁止する非常に具体的な規則があり、例外は一切認められていません。ペイメントブランドの要件については、各ペイメントブランドに直接お照会ください。
PCI DSS基準の観点からは、見落とされやすい場所、特にデバッグのデバッグ情報は見落とされがちであり、atsecがQSA監査を実施するのはここに着目し、問題を発見しやすくするためです。
また、PCI の要件はいわゆる「事前承認」プロセス全体を通じて一貫しており、要件の変更や相違はありません。2012年にPCI Standards Councilが発表した公式声明をご覧ください:
PCI DSS は、承認前か承認後かに関係なく、カード会員データおよび/または機密認証データが保存、処理、または伝送される場所であればどこでも適用されます。PCI DSS には、承認前に CHD または SAD を保存できる期間に関する具体的なルールはありません。PCI DSS には、承認前に CHD または SAD を保存できる期間に関する特定のルールはありませんが、そのようなデータは保存、処理、または送信される間、PCI DSS に従って保護されなければなりません。
2.カード会員データ伝送の暗号化要件
PCI DSS のデータ保護は、データ保存の保護と送信の暗号化に分かれており、PCI DSS の第 4 章の要件はすべて、強力な暗号化が義務付けられているパブリック・オープン・ネットワークのカード会員データ送信の暗号化に関する要件です。
4.1 強力な暗号化技術およびセキュリティプロトコルを使用して、オープンな公共ネットワーク上で の伝送中に機密性の高いカード会員データを保護します。
通常、atsecでは、証拠や聞き取り調査に加えて、外部の認定スキャニングベンダーを通したスキャニングにより、さらなる検証を行います。
3.カタログトラバーサルの脆弱性について
6.5.8 不適切なアクセス制御
4.デフォルトで米国にリストされていることは、PCI DSS基準のコンプライアンス要件を満たしていますか?
これは不正確です。PCI DSS は、新規加盟店やサービスプロバイダ、アクワイアラーや発行体にとって、決済関連業務を処理するための必須要件となってから何年も経過しており、PCI DSS 準拠要件が上場規制当局から強制されているという明確な証拠はありません。
PCI DSS コンプライアンスの実施は、通常、カードブランド、アクワイアラ、およびペイメントパートナーの顧客からの要件に基づくものです。また、データセキュリティ上の理由から、PCI コンプライアンスの構築やセキュリティコンプライアンス評価に取り組む組織も増えています。
5.データ漏洩とPFIについて
セキュリティ業界では、多くの組織やベンダーがセキュリティの専門家を受け入れたり、自らセキュリティの脆弱性を発見したりします。ハッカーは脆弱性を利用して攻撃を仕掛けますが、本質的な違いは、脆弱性をより良く修正し、情報セキュリティの問題を解決するために脆弱性が公表されることです。そのため、脆弱性は客観的なものであっても、ハッカーによって脆弱性が悪用され、データ漏えい事件の可能性につながり、関連するリスクが最小化されるように、脆弱性のリリースから問題の修復までの時間的な余裕が特に重要です。
脆弱性の公表自体は、データ侵害の発生を意味するものではありません。国際的な PCI 業界では、データ侵害が疑われた後、PCI セキュリティ基準審議会が認定した PCI フォレンジック調査機関が招聘され、事後フォレンジック調査を実施し、インシデントの原因をさらに特定し、情報セキュリティを改善するための提言を行います。
PCIデータセキュリティ基準のライフサイクルは3年で、3年ごとに世界の業界専門家が最新のセキュリティ開発要件に沿って、新しい基準の議論と開発に取り組んでいます。さらに、問題の様々な分野では、暗号化、EMV、モバイル決済、クラウドコンピューティング、侵入テスト、セキュリティ意識教育などの特別な関連セキュリティ技術ガイダンスを開発し、維持するために特別なタスクフォースを設定します。要件は、システムプロセス、人的要件からネットワークセキュリティ、システムハードニング、アプリケーション開発プロセス、セキュアコーディング、セキュアなデータ保存と送信、物理的セキュリティ、セキュリティテスト、脆弱性管理まで多岐にわたります。PCI 準拠へのコミットメントと長期的な準拠の継続は、決済関連組織のビジネスを健全かつ安定的に発展させるための基盤であり、大多数のカード会員のデータセキュリティを保護するためのベストプラクティスでもあります。
[1] WooYun.org: http://...//--02
[4] Ctrip Payment Security Statement:
