PCI コンプライアンス チェックリスト: すべての e コマース ビジネスが知っておくべきこと

毎日のように、新しいデータ侵害について耳にします。 2020 年だけでも、J.Crew、Estee Lauder、T-Mobile、GE、Marriott、Avon、Staples などの大企業はすべてデータ侵害を経験し、多額の費用がかかり、顧客の信頼を失いました。

「それは大企業にしか起こらない」と考えるのは簡単ですが、実際には、侵害の90%が中小企業に影響を与えています。 このため、オンラインでクレジットカードまたはデビットカードの支払いを処理する e コマース小売業者 – つまり、ほぼすべての業者です! – PCI に準拠する必要があります。 では、PCI コンプライアンスとは何であり、ビジネスにどのように役立つのでしょうか? 飛び込みましょう！

PCI コンプライアンスとは何ですか?

PCI は「Payment Card Industry」の頭字語です。 「Payment Card Industry Data Security Standard」の略である PCI DSS として表示されることもあります。 いずれにせよ、PCI コンプライアンスの定義は、「クレジット カード情報を処理、保存、または送信するすべての企業が安全な環境を維持することを保証することを目的とした一連の要件」です。

PCI コンプライアンスは、Visa、MasterCard、American Express、Discover、および JCB のクレジット カード業界のリーダーで構成される独立機関であるPCI Security Standards Council (PCI SSC)によって 2006 年に開発されました (そのため、「クレジット カード」と呼ばれることもあります)。カードコンプライアンス」）。 彼らの目標は、支払いネットワーク、プロセッサ、金融機関、顧客、企業など、支払いトランザクションに関与するすべての関係者を保護することです。

PCI コンプライアンスが重要な理由

PCI コンプライアンスは法的要件ではありません。 ただし、PCI プロトコルに従わないと、e コマースの小売業者が法的な問題に巻き込まれる可能性があります。 どのように？ ビジネスでデータ侵害が発生し、調査の結果、プロセスが PCI に準拠していないことが判明した場合、政府およびクレジット カード発行会社から数千ドルの罰金と手数料が課せられる可能性があり、失敗したとして訴訟や保険金請求が行われる可能性があります。 PCI 規格に準拠します。 さらに、顧客の信頼、貴重な従業員、支払いカードを受け入れる能力 (オンライン小売業者にとって死の鐘) を失い、コンプライアンスのコストが高くなる可能性があります。

そのため、PCI に準拠していないという理由だけで罰せられることはありませんが、準拠していない場合に違反が発生した場合は責任を問われる可能性があります。 また、前述のように、侵害の 90% は中小企業に影響を与えるため、後悔するよりも安全を確保する方がよいでしょう。

サイバー犯罪者がなぜ中小企業を狙うのか疑問に思われるかもしれません。 結局のところ、揚げるよりもはるかに大きな魚がいるのです！ サイバー犯罪者は、中小企業を簡単な獲物と見なしています。 彼らは、ほとんどの大規模な小売業者が PCI に準拠しているため、脆弱性が少ないことを知っています。 しかし、彼らは、多くの中小企業が PCI に準拠するために必要な措置を講じていないことを賭けており、簡単に評価できるようになっています。

PCI コンプライアンスが保護する 6 種類のセキュリティ侵害

サイバー犯罪者は、保護されていても侵入する方法を常に探していますが (それがまさに彼らの仕事です)、PCI コンプライアンスは、次の 6 種類のセキュリティ災害から保護するために多くのことを行うことができます。

1. マルウェア。 犯罪者は、悪意のあるソフトウェアを使用してコンピューター システムに侵入し、支払いデータを盗みます。 ハッカーがビットコインと引き換えにデータを「人質」にするランサムウェアは、最も急速に成長しているマルウェアの 1 つです。
2. フィッシング。 マルウェアの一般的な配信手段であるフィッシング メール (請求書や経営幹部からの情報要求など) は、正当に見えて人々に開封を促します。 ただし、これらには、コンピューターやシステム全体に感染する可能性のある悪意のあるリンクや添付ファイルが含まれています。
3. リモートアクセス。 たとえば、支払い端末ベンダーが使用するリモート アクセス制御が弱いと、サイバー犯罪者が支払いデータを保存、処理、または送信するシステムにアクセスできるようになります。
4. 脆弱なパスワード。 今日のパスワードで大文字と小文字、数字、および特殊記号の使用が求められているのには理由があります。データ侵害の80%以上が、盗まれたパスワードまたは脆弱なパスワードに関係しています。
5. 古いソフトウェア。 古いソフトウェアの欠陥は、多くの場合、「パッチが適用されていない」ままであり、サイバー犯罪者が簡単に侵入できるようになっています。
6. スキミング。 これは物理的な店舗の場所にのみ適用されますが、スキミングとは、犯罪者が小さなハードウェア「スキミング デバイス」をカード リーダーに取り付けて、支払いカードを使用するときに顧客の支払いデータを盗むことです。 次に、偽造カードを作成して違法な購入を行うことができます。

4 つの PCI コンプライアンス レベル

あなたの中小企業が、Amazon のような数十億ドル規模の企業と同じ PCI 基準を守られているのは公平ではないと思いますか? 良いニュースは、そうではないということです! 4 つの PCI コンプライアンス レベルがあり、企業が毎年処理するトランザクションの数によって決定されます。

• レベル 1:年間 600 万件以上のカード取引を処理する加盟店。
• レベル 2:年間 100 万から 600 万のトランザクションを処理する加盟店。
• レベル 3:年間 20,000 ～ 100 万件の取引を処理する加盟店。
• レベル 4:年間処理件数が 20,000 件未満の加盟店。

PCI SSC は、Web サイトで簡単な自己評価アンケートも提供しています。これは、どの PCI データ セキュリティ基準要件がビジネスに適用されるかを判断するのに役立ちます。

この PCI コンプライアンス チェックリストを使用してスタートアップ企業や小規模な e コマース ビジネスを準備する方法

以下は、ビジネスと顧客を保護するために PCI コンプライアンス レベルを上げる方法です。 これを「PCI コンプライアンス チェックリスト」と考えてください。 12 の PCI コンプライアンス要件はすべて 1 つの原則に関連しており、これらの原則は次のとおりです。

• 安全なネットワークの構築と維持
• カード会員データの保護
• 脆弱性管理プログラムを維持する
• 強力なアクセス制御手段を実装する
• ネットワークを定期的に監視およびテストする
• 情報セキュリティポリシーの維持

1. ファイアウォールの使用と維持

悪意があるかどうかにかかわらず、サイバー犯罪者やその他の未知のアクターがシステム内の個人データにアクセスしようとすると、ファイアウォールは本質的にそれらの侵入をブロックします. もちろん、ファイアウォールは侵入できないわけではなく、脆弱性が見つかる可能性があります (そのため、更新によってファイアウォールを維持することが重要です) が、ファイアウォールは防御の優れた最前線です。

2. 適切なパスワード保護を使用する

多くの場合、サードパーティのソフトウェアとハ​​ードウェアには、サイバー犯罪者が簡単にアクセスできる一般的なパスワードとデフォルトのセキュリティ対策が付属しています。 PCI に準拠するには、これらのパスワードを変更し、基本構成を調整するだけでなく、パスワードまたはその他のアクセス手段を必要とするすべてのデバイスのリストを保持する必要があります。

3. 保存されたカード会員データを保護する

カード会員データは、法律上、規制上、またはビジネス上の必要がある場合を除き、トランザクションを完了するまでにかかる時間を超えて保存することはできません。 ストレージが必要な場合、企業はストレージと保持期間を最小限に制限し、少なくとも四半期ごとにデータをパージする必要があります。 PCI コンプライアンスは、最初の 6 桁と最後の 4 桁のみを表示するなど、プライマリ アカウント番号 (PAN) の表示方法にも対応しています。

4.送信データの暗号化

カード所有者のデータが公共のネットワークを介して送信されると、サイバー犯罪者がデータを傍受する絶好の機会になります。 この PCI 要件では、カード所有者データがこれらの既知の場所に送信されるときは常に暗号化する必要があり、未知の場所に送信してはならないことが規定されています。

5.ウイルス対策ソフトウェアの使用と維持

PAN とやり取りしたり、PAN を保存したりするデバイスには、McAfee や Norton などのウイルス対策ソフトウェアが必要です。 ファイアウォールと同様に、脆弱性にパッチを適用できるように、このソフトウェアを定期的に更新する必要があります。 2021 年に最適なウイルス対策ソフトウェアの PC のリストを確認してください。

6. 安全なシステムとアプリケーションを維持する

e コマース ビジネスは、ソフトウェア ベンダーと協力して、セキュリティ パッチが最新であり、簡単にアクセスして実行できるように、ソフトウェアを安全に保つ必要があります。 企業は、重要なパッチをタイムリーに展開するだけでなく、新しい脆弱性を発見してランク付けするプロセスを作成する必要があります。 これらの更新は、カード会員データとやり取りしたり保存したりするデバイス上のすべてのソフトウェアにとって特に重要です。

7. カード会員データへのアクセスを制限する

カード会員データは非常に機密性の高い情報であり、絶対に知る必要があるエージェントのみが表示する必要があります。 スタッフや第三者の大部分は、この情報にアクセスする必要がないため、制限する必要があります。 このデータへのアクセスが必要な役割については、十分に文書化し、定期的に更新する必要があります。

8. アクセス用の一意の ID を割り当てる

カード所有者データ用の単一のログイン ユーザー名とパスワードではなく、アクセスが必要な個人は、個人の資格情報と ID を持っている必要があります。 これにより、誰かがカード会員データにアクセスするたびに、そのアクティビティを既知のユーザーまで追跡するか、少なくとも不正アクセスとしてすぐに認識できるようになります。 リモート アクセスの場合、追加のセキュリティ レイヤーを提供する2 要素認証が必要です。

9. データへの物理アクセスを制限する

すべてのオンサイトのカード所有者データは、物理的に安全な場所に保管し、監視し、ログを必要とする必要があります。 所属していない人物を迅速に特定する手順を導入する必要があります。 バックアップは、安全なセカンダリ サイトでも維持する必要があります。 最後に、ビジネスでデータが不要になった場合は、データを破棄する必要があります。

10.ネットワークを定期的に監査する

PCI コンプライアンスでは、e コマース ビジネスはネットワークを定期的に監視およびテストして、物理的またはワイヤレスの脆弱性がないことを確認する必要があります。 侵害が発生した場合、イベントを再構築する機能とともに、自動化された監査証跡が必要です。 監査データは、少なくとも 1 年間は保護および維持する必要があります。

11.脆弱性のスキャンとテスト

脆弱性は、サイバー犯罪活動、誤動作、人的エラー、および新しいコードの導入によって発生します。 これは、セキュリティが維持されていることを確認するために、すべての内部および外部のシステムとプロセスを四半期ごとにテストする必要があることを意味します。 その他の進行中の PCI DSS 要件には、侵入テストや侵入検知および防止システムの使用が含まれます。 さらに、ユーザーが不正な方法でコンテンツ、構成、またはシステム ファイルを変更したときにアラートが生成されるように、PCI 準拠のためにファイル監視が必要です。

12. 文書のセキュリティ ポリシー

データにアクセスできる機器、ソフトウェア、および従業員のインベントリは、コンプライアンスのために文書化する必要があります。 カード会員データへのアクセスのログと、情報が会社に流れ込む方法、保存場所、販売後の使用方法も文書化する必要があります。 さらに、内部データ侵害を回避するために、雇用プロセスの一環として、セキュリティ意識向上イニシアチブを作成し、将来の従業員、請負業者などをスクリーニングするために、個人またはチームを任命する必要があります。

PCI コンプライアンスの予算編成

PCI コンプライアンスの 12 のステップを達成して維持するには、間違いなく費用がかかります。 もちろん、どれだけの費用がかかるかは、ビジネスのコンプライアンスのレベル、組織の規模、会社のセキュリティ文化、使用するテクノロジーの種類、専任の IT/PCI 専門家を雇う余裕があるかどうかによって異なります。

ただし、データ侵害が発生した場合、コンプライアンス違反のコストが非常に大きくなる可能性があるため (正直なところ、いつ発生するかは問題ではありません)、他の場所での費用の削減や増額を意味する場合でも、そのための予算を見つける価値があります。資金を調達するために一時的に特定の製品の価格を設定すること。 最終的には、安全な e コマース ビジネスを実現し、あなたとあなたの顧客に安心感を与えることができます。

フルフィルメント ラボでデータ セキュリティの懸念を軽減

テクノロジーは、在庫の監視から出荷の追跡、支払い処理、顧客データのセキュリティまで、e コマースの小売業者に多くの利点をもたらします。 もちろん、これらのシステムを取得するには多額の投資が必要であり、常に学習曲線が必要です。

14 の国際施設を持つ e コマース マーケティングのリーダーである The Fulfillment Lab に注文のフルフィルメントをオフロードすると、発送の負担が軽減されます。 また、最先端のGlobal Fulfillment System (GFS)ソフトウェアにアクセスできるため、PCI コンプライアンスに関する懸念も大幅に軽減されます。 この安全なシステムにより、在庫の監視、出荷の追跡、パッケージのカスタマイズ、支払いの処理が可能になります。 詳細については、ブログ「eコマース配送にフルフィルメント センターを使用する 10 の理由」をご覧ください。詳細については、お気軽にお問い合わせください。