クレジットカードデータを共有する際のPCIコンプライアンス達成方法

PCIコンプライアンスを達成し維持するためには、クレジットカードでの支払いを受け入れる企業は、この機密データを厳格なPCIデータセキュリティ基準（PCI DSS）の要件に従って安全に取り扱い、保存し、共有しなければなりません。PCIコンプライアンスは、クレジットカード情報が不正アクセスから保護され、データ侵害のリスクを軽減するために重要です。このデータを保護しないと、巨額の罰金、評判の損失、法的措置などの深刻な結果を招く可能性があります。

PCIコンプライアンスを示すことができない企業は、顧客の機密カードホルダーデータをサイバー犯罪者にさらし、盗難や詐欺を引き起こします。企業にとって、保護されていないクレジットカード情報は、財務的損失や顧客の不信感につながる可能性があります。一方、PCIコンプライアンスを遵守することは、顧客データを保護するだけでなく、企業の評判と信頼性を向上させます。厳格なセキュリティ対策を実施することで、企業は高額な違反を回避し、安全な支払い環境を育成し、顧客の機密情報を継続的に保護することができます。

この投稿では、PCIコンプライアンスの観点からセキュアファイル共有を詳しく見て、PCIコンプライアンスを維持するための推奨事項を提供します。

PCIコンプライアンスの概要

PCIは、クレジットカードやデビットカードでの支払いを受け入れる支払い処理業者、小売業者、商人、または組織のためのコンプライアンスフレームワークです。企業が満たすべきPCIフレームワークには12の要件があります：

1. ファイアウォールを利用してカードホルダーデータを保護する
2. セキュリティシステムにユニークな構成とパスワードを使用する
3. カードホルダーデータを保護する
4. 公共ネットワーク上でのデータ送信を暗号化する
5. 最新のアンチマルウェアソフトウェアを使用する
6. 安全なシステムとアプリケーションを開発し維持する
7. プライベートデータへのアクセスを制限する
8. システムにアクセスする各ユーザーにユニークなIDを割り当てる
9. カードホルダーデータへの物理的アクセスを制限する
10. ネットワークリソースへのユーザーアクセスを追跡し監視する
11. セキュリティシステムの定期的なテストを実施する
12. 情報セキュリティと人事に関するポリシーを維持する

これらのPCI要件は、個人の財務情報が通過するすべてのシステム、部門、技術に適用されます。これには、クレジットカード番号、PIN、顧客名と住所、または磁気ストライプ/EMVチップデータを含むシステムが含まれます。

PCIコンプライアンスレベル

PCIコンプライアンスには、企業が処理する年間クレジットカード取引数によって決定される4つのレベルがあります。

• レベル1 – 年間600万件以上の取引
• レベル2 – 年間100万件から600万件の取引
• レベル3 – 年間2万件から100万件の取引
• レベル4 – 年間2万件未満の取引

クレジットカードデータを処理、保存、または送信する企業は、各レベルで指定された要件を遵守する必要があります。コンプライアンスのレベルが高いほど、要件は厳しくなります。例えば、レベル1の組織は、資格のあるセキュリティアセッサーによる年次現地監査を受ける必要がありますが、レベル4の組織は自己評価が可能かもしれません。

クレジットカードデータを共有する際のPCIコンプライアンスリスク

クレジットカード情報を共有または転送することは、データ侵害、不正アクセス、アイデンティティ盗難などの重大なリスクを伴い、企業にとって深刻な財務的および評判的な損害を引き起こす可能性があります。

クレジットカード情報を送信する際には、カードホルダーデータを保護するために厳格なセキュリティ対策を遵守することが求められるため、PCIコンプライアンスを確保することが重要です。標準的なファイル共有およびファイル転送システムは、必要な暗号化およびセキュリティプロトコルを欠いていることが多く、機密データを脆弱にします。

クレジットカード情報を送信する際には、企業は暗号化を実施し、PCI準拠のサーバーを使用し、安全な通信のためのベストプラクティスを採用する必要があります。これにより、非準拠のリスクを軽減し、高額な違反を回避しながら、クレジットカード情報の安全な取り扱いを確保し、カードホルダーデータ環境を安全に保つことができます。

PCIコンプライアンス違反のトップ5タイプ

PCI DSSコンプライアンスに違反する組織は、通常、以下の理由で違反します：

1. 必要なセキュリティアップデートの未実施： これは、PCI基準に従ってシステムにセキュリティパッチやアップデートをインストールしないことを含み、攻撃者が悪用できる脆弱性を生む可能性があります。
2. 弱いパスワード： 弱いパスワードを使用したり、複数のアカウントでパスワードを再利用したりすると、攻撃者がアカウントの1つにアクセスした場合にシステムに脆弱性を生む可能性があります。
3. 安全でないWi-Fiネットワーク： ワイヤレスネットワークは有線システムほど安全ではなく、適切に保護されていない場合、簡単に侵入される可能性があります。
4. 不十分なアクセス制御： 機密データへのアクセスを制限するための制御を実施および/または維持しないことは、データ盗難やその他の悪意のある活動につながる可能性があります。
5. セキュリティイベントの監視不足： セキュリティイベントを監視し対応するためのシステムを設定または維持しないことは、セキュリティ脆弱性の検出と悪用につながる可能性があります。これには、システムログインや変更などの特定の活動を記録しないことが含まれ、侵害されたアカウントを検出するのに役立ちます。

PCI非準拠の影響

PCIに準拠しないことは、組織に重大な困難をもたらす可能性があります。これらの困難には、巨額の罰金、評判の損失、訴訟が含まれることがあります。さらに、組織は、システムがPCI基準に準拠していることを確保し証明するために、システムやセキュリティ担当者により多くのリソースを投資しなければならないかもしれません。これにより、トレーニング、ハードウェア、ソフトウェアのアップグレードの形で大きな財務的コストが発生する可能性があります。

非準拠はまた、技術的な困難を引き起こす可能性があり、組織はPCI基準に準拠していない特定のレガシーハードウェアやソフトウェアを使用できないかもしれません。その結果、組織は、PCIによって規制されるデータの共有方法や、このデータを保護するためのデータセキュリティの実践、ハードウェア/ソフトウェアソリューションを常に監視し、PCIコンプライアンスを維持するために努力しなければなりません。

クレジットカード情報を安全に共有する方法

PCIコンプライアンスを遵守しながらクレジットカード情報を安全に共有するためには、企業は高額な違反を避けるために重要なセキュリティ対策を実施する必要があります。これには、PCI準拠の暗号化ツール、SFTPのような安全なファイル転送プロトコルの利用、PCI準拠の安全なプラットフォームの活用が含まれます。セキュアなカードホルダーデータ環境（CDE）を作成することで、組織はクレジットカードデータが送信および保存中に保護されることを確保できます。これらの対策は、PCIコンプライアンスを達成し維持するだけでなく、不正アクセスから機密情報を保護し、クレジットカードの詳細を共有する際のリスクを軽減します。

企業は、内部の実践を遵守し、技術プロバイダーとの慎重なパートナーシップを含むベストプラクティスでPCIコンプライアンスを達成します。これらの実践には以下が含まれます：

1. データ暗号化を使用する： 強力な暗号化とトランスポート層セキュリティ（TLS）1.2以上のセキュリティプロトコルを使用して、送信前にすべての機密カードホルダーデータを暗号化します。
2. 安全なファイル転送を実施する： 高度なセキュリティプロトコル、例えばSFTPやFTPSを利用して、パートナー間で暗号化されたカードデータファイルを送信します。
3. 共有するデータ要素を制限する： 必要最低限のカードホルダーデータ要素のみを共有します。CVVコードのような機密認証データの共有は避けてください。
4. データトークン化を採用する： パートナーとデータを共有する前に、クレジットカード番号をユニークなトークンに置き換えてリスクを軽減します。
5. 正式な契約を確立する： パートナーとセキュリティ責任、アクセス制御、データ処理手順を詳細に記載した書面契約を作成します。
6. アクセスを制限する： カードホルダーデータへのアクセスを、業務を遂行するために必要な個人に限定します。
7. データアクセスを監視する： パートナーによる共有カードホルダーデータへのすべてのアクセスを追跡するために、監視と監査ログを実施します。
8. パートナー評価を実施する： パートナーのPCI DSSコンプライアンスとセキュリティ制御を定期的に評価し、要件を満たしていることを確認します。
9. データを安全に削除する： パートナーが不要になったカードホルダーデータを安全に削除または破壊するプロセスを実施します。

Kiteworksでクレジットカード情報を安全に共有し、PCIコンプライアンスを達成する

クレジットカードデータを送信するために厳格な制御を使用することが、ペイメントカード業界によって義務付けられています。したがって、組織がPCI DSS 4.0に準拠してこれらの要件を遵守することが重要です。これにより、クレジットカードの支払いを受け入れ続けることができます（つまり、ビジネスを続けることができます）。

Kiteworksのプライベートコンテンツネットワークは、FIPS 140-2レベルで検証されたセキュアファイル共有およびファイル転送プラットフォームであり、メール、ファイル共有、ウェブフォーム、SFTP、マネージドファイル転送、および次世代デジタル著作権管理ソリューションを統合し、組織がファイルを管理し、保護し、追跡できるようにします。

Kiteworksプラットフォームは、PCI DSS 4.0を含むさまざまなコンプライアンス基準と義務を満たすために組織によって使用されています。

FIPS 140-2認定の暗号化は、Kiteworksプラットフォームのセキュリティを強化し、支払いカード情報のような機密データを扱う組織に適しています。さらに、エンドユーザーと管理者の活動は記録され、アクセス可能であり、ネットワークリソースとカードホルダーデータへのすべてのアクセスを追跡および監視することを要求するPCI-DSSコンプライアンスにとって重要です。

Kiteworksは、フォルダの所有者によって指定された権限に基づいてすべてのフォルダへの異なるレベルのアクセスを提供します。この機能は、PCI DSS 4.0の主要要件である強力なアクセス制御対策の実施に役立ちます。

Kiteworksの展開オプションには、オンプレミス、ホスティング、プライベート、ハイブリッド、およびFedRAMP仮想プライベートクラウドが含まれます。Kiteworksを使用すると、機密コンテンツへのアクセスを制御し、自動エンドツーエンド暗号化、多要素認証、およびセキュリティインフラストラクチャ統合を使用して外部で共有される際に保護し、すべてのファイル活動、つまり誰が何を誰に、いつ、どのように送信するかを確認、追跡、報告できます。最後に、GDPR、HIPAA、CMMC、Cyber Essentials Plus、IRAPなどの規制や基準に準拠していることを証明します。

Kiteworks、セキュアファイル共有、PCI DSS 4.0コンプライアンスについて詳しく知るには、カスタムデモをスケジュールしてください。