Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
payjp-base-drink-pcidss-2016-04-27
Search
basedevteam
May 10, 2016
Technology
0
2.7k
payjp-base-drink-pcidss-2016-04-27
payjp-base-drink-pcidss-2016-04-27
basedevteam
May 10, 2016
Tweet
Share
More Decks by basedevteam
See All by basedevteam
base-drink-base-many-many-thumbnails-2016-04-27
basedevteam
0
2.7k
base-drink-base-bin-code-2016-04-27
basedevteam
0
2.6k
base-drink-base-ssl-2016-04-27
basedevteam
0
2.6k
payjp-base-drink-creditcard-2016-04-27
basedevteam
0
2.8k
Other Decks in Technology
See All in Technology
NW-JAWS #14 re:Invent 2024(予選落ち含)で 発表された推しアップデートについて
nagisa53
0
270
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
280
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
260
Microsoft Azure全冠になってみた ~アレを使い倒した者が試験を制す!?~/Obtained all Microsoft Azure certifications Those who use "that" to the full will win the exam! ?
yuj1osm
2
110
Wantedly での Datadog 活用事例
bgpat
1
450
生成AIのガバナンスの全体像と現実解
fnifni
1
190
スタートアップで取り組んでいるAzureとMicrosoft 365のセキュリティ対策/How to Improve Azure and Microsoft 365 Security at Startup
yuj1osm
0
220
5分でわかるDuckDB
chanyou0311
10
3.2k
podman_update_2024-12
orimanabu
1
270
統計データで2024年の クラウド・インフラ動向を眺める
ysknsid25
2
840
なぜCodeceptJSを選んだか
goataka
0
160
1等無人航空機操縦士一発試験 合格までの道のり ドローンミートアップ@大阪 2024/12/18
excdinc
0
160
Featured
See All Featured
Designing Experiences People Love
moore
138
23k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
365
25k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
95
17k
The Cost Of JavaScript in 2023
addyosmani
45
7k
How To Stay Up To Date on Web Technology
chriscoyier
789
250k
Producing Creativity
orderedlist
PRO
341
39k
Facilitating Awesome Meetings
lara
50
6.1k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
0
98
How to train your dragon (web standard)
notwaldorf
88
5.7k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
1.9k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
Transcript
PCI-DSS の無茶振り、そして PCI-DSS に 準拠することによるその効果。
ココハドコワタシハダレ • Christopher S – of BASE, Inc. • PAY.JP
事業部のセキュリティエンジニア – セキュアなインフラ構築 – PCI-DSS 準拠のお手伝い
PCI-DSS とは何じゃ • Payment Card Industry Data Security Standard •
クレジットカード情報を取り扱う業者が任意で 準拠するセキュリティ指針 – 割賦販売法 (2010 年 12 月改正 ) 第 35 条で言及され る「必要な措置」として適する – 某マークよりよっぽどまとも • 常識的な項目から頭を抱える項目まで
頭を抱えた問題その 1 ログを監視して、そのログを監視して、さらに そのログを監視して… … • セキュリティの三大要素のうち 2 つ –
integrity – confidentiality
ログを監視するログを監視するログ を監視しているログ。 • integrity が破れると何も信じられなくなる だから集めてきた syslog は • まず参照元で改竄を監視し(当然これもログ)
• 集約サーバで整合性を検証し(もちろんこれもログ) • 最終転送先( Amazon S3 )でもファイル変更履歴を監視 し、ファイルのバージョンが複数になったら直ちに Lambda 経由で Slack に通報 最終的に Amazon を信じることになる
まぁ、大丈夫じゃろ ( AWS の各サービスは迅速に PCI-DSS 新バー ジョンに対応します)
頭を抱えた問題その 2 ハッシュ化された PAN とトランケートされた PAN の分離 • PAN –
(Primary Account Number) カード番号 のこと – 15 桁 (AMEX) か 16 桁の数字
• PAN のハッシュとそれに対応するカード番号の 一部が暴露されると、 50 億に満たない試行回 数でカード番号が解読できてしまう – DB から漏洩したときは
Issuer 情報も一緒に漏れる ことが想定され、その場合は 10 億回以下になる。 • 「ハッシュ化された PAN とトランケートされ た PAN (通常は下 4 桁)を関連付けられない ことを確認する」
None
無理です★ • トークン / カード ID と PAN の下 4
桁の情報は 同じ親ノード – 同じ機能で使われるから仕方ない
代替コントロール • どうしても無理な要件に対応するときの言い訳代 替手段 • PAN に関係するデータが存在するデータベース へのアクセスを記録? – RDS
だからそれもできない! – RDS へアクセスできるサーバへの SSH アクセスを通 知・記録する←ここに落ち着いた
まとめ • PCI-DSS の要件がらみで、カジュアルに無茶 を言われることがある – あれもこれもセキュリティのためだから仕方ない – 代替コントロールという手段はある •
どうやって代替とするかは腕の見せ所 • Amazon はエライ!