Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PCI DSS v 3.2に対する対応

benzookapi
May 12, 2016
Technology
2
2.4k

PCI DSS v 3.2に対する対応

@ Security Night #1 2016.5.11
http://secnight.connpass.com/event/30672/

benzookapi

May 12, 2016
Tweet

More Decks by benzookapi

See All by benzookapi
技術をお金と貢献に変える、Shopifyテーマとアプリの開発

benzookapi
1
1.9k
Shopify Storefront APIを使った PWA e-commerceの解説とデモ
benzookapi
0
400
DevRel for tech. entrepreneurs: Beyond platform partners
benzookapi
0
110
Shopifyを使ったヘッドレスコマースの 実現方法と事例
benzookapi
0
150
React + GraphQL を使ったShopify Appの作り方と そのマネタイズ方法
benzookapi
1
1.2k
Shopifyアプリエコシステムで始める 第3のスキルマネタイズ
benzookapi
0
4k
Tech. Blog TIPS
benzookapi
0
250
Our new DevRel: Invention of scaling out partner ecosystem
benzookapi
0
240
WordPressとShopifyでECサイトを作ろう
benzookapi
0
1k

Other Decks in Technology

See All in Technology
オーティファイ会社紹介資料 / Autify Company Deck
autifyhq
9
120k
Vueで Webコンポーネントを作って Reactで使う / 20241030-cloudsign-vuefes_after_night
bengo4com
4
2.4k
AWS re:Inventを徹底的に楽しむためのTips / Tips for thoroughly enjoying AWS re:Invent
yuj1osm
1
480
最速最小からはじめるデータプロダクト / Data Product MVP
amaotone
5
670
わたしとトラックポイント / TrackPoint tips
masahirokawahara
1
230
Databricksで構築する初めての複合AIシステム - ML15min
taka_aki
2
1.4k
Amazon FSx for NetApp ONTAPを利用するにあたっての要件整理と設計のポイント
non97
1
150
プロダクトチームへのSystem Risk Records導入・運用事例の紹介/Introduction and Case Studies on Implementing and Operating System Risk Records for Product Teams
taddy_919
1
130
一休.comレストランにおけるRustの活用
kymmt90
3
540
Hotwire光の道とStimulus
nay3
6
2.4k
Product Engineer Night #6プロダクトエンジニアを育む仕組み・施策
hacomono
PRO
1
330
急成長中のWINTICKETにおける品質と開発スピードと向き合ったQA戦略と今後の展望 / winticket-autify
cyberagentdevelopers
PRO
1
160

Featured

See All Featured
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Making the Leap to Tech Lead
cromwellryan
132
8.9k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
790
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
225
22k
Optimizing for Happiness
mojombo
376
69k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Into the Great Unknown - MozCon
thekraken
31
1.5k
A designer walks into a library…
pauljervisheath
202
24k
Why You Should Never Use an ORM
jnunemaker
PRO
53
9k
Facilitating Awesome Meetings
lara
49
6k
Why Our Code Smells
bkeepers
PRO
334
57k
Designing for Performance
lara
604
68k

Transcript

  1. PCI DSS v 3.2ʹର͢ΔରԠ Junichi Okamura @ Security Night #1

    2016.5.11

  2. Who am I? • Junichi Okamura @benzookapi • API Lover/Midnight

    Creator/TDD (Talk Driven Development) Advocator • Rock/Wine/DQ/JOJO/I18N/Marketing/Payment • Scala/Java/Ruby/Python/Node.js/PHP/Mobile/Unity/../ppt

  3. Today’s Topic PCI DSSͷ௒΍ΜΘΓઆ໌ͱɺ ͱ͋ΔFinTechاۀͷରԠʹ͍ͭͯ

  4. PCI DSSͱ͸ʁ Payment Card Industry Data Security Standardͷུɻ ࠃࡍϖΠϝϯτϒϥϯυ5͕ࣾڞಉͰࡦఆͨ͠ɺ ΫϨδοτۀքʹ͓͚ΔάϩʔόϧηΩϡϦςΟج४ɻ

    PCI SSCʹΑͬͯ؅ཧɻ

  5. PCI SSCͱ͸ʁ Payment Card Industry Security Standards Councilͷུɻ લग़̑ࣾͰઃཱͨ͠ηΩϡϦςΟ؅ཧஂମɻ

  6. ͬ͘͟Γݴ͏ͱ ΫϨδοτΧʔυΛѻ͏ۀऀ͕औಘ͢΂͖ηΩϡϦςΟن֨

  7. ͞Βʹݴ͏ͱ ΫϨδοτΧʔυ৘ใ͕̍ճͰ΋఻ૹ͢ΔՄೳੑͷ͋Δۀऀ͸औΒͳ ͍ͱμϝͳ΋ͷͰ͢ɻʢຊདྷ͸ʣ

  8. PCI DSSͷओཁ߲໨ ҆શͳωοτϫʔΫͷߏஙɾҡ࣋ Χʔυձһσʔλͷอޢ ੬ऑੑΛ؅ཧ͢ΔϓϩάϥϜͷ੔උ ڧݻͳΞΫηε੍ޚख๏ͷಋೖ ఆظతͳωοτϫʔΫͷ؂ࢹ͓Αͼςετ ৘ใηΩϡϦςΟɾϙϦγʔͷ੔උ ʢ࣮ࡍ͸΋ͷ͘͢͝ࡉ෼Խ͞Εఆٛ͞Ε͍ͯ·͢ʣ

  9. PCI DSSͷऔಘํ๏ ໰਍ථʹΑΔࣗݾ਍அ ੬ऑੑεΩϟχϯάςετ ๚໰ௐࠪ ʢ࣮ࡍ͸ΫϨδοτΧʔυͷѻ͍ํͰϨϕϧ෼͚͞Ε͍ͯ·͢ʣ

  10. PCI DSSͷऔಘίετ औಘ͢ΔϨϕϧʹΑΓ·͕͢ɺ ௨ৗ೥ؒ਺ඦສ͙Β͍͔͔Γ·͢ɻ

  11. PCI DSSΛऔΒͳ͍ͱͲ͏ͳΔͷʁ ΧʔυܾࡁΛड͚෇͚Δ͜ͱ͸Ͱ͖·ͤΜ ʢຊདྷ͸ʣ

  12. ࣮৘͸… ܾࡁ୅ߦ΍ࢿۚҠಈۀऀͳͲ͕औಘ͍ͯͯ͠ɺ Χʔυ৘ใ͸൴Β͕ѻ͏ͷͰɺ Ұൠͷۀऀ͸൴ΒΛհͯ͠ΧʔυܾࡁΛड͚Δ͜ͱ͕Ͱ͖·͢

  13. PCI DSSͷৄࡉʹ͍ͭͯ͸ ࣍ճҎ߱Ͱಛू૊Ή༧ఆͰ͢ ࠓ೔͸͜ͷลͰצห

  14. PCI DSSͷόʔδϣϯ 2004೥12݄ ੍ఆ 2006೥9݄ v 1.1 2008೥10݄ v1.2 ->

    v 2.0 2013೥12݄ v 3.0 2015೥4݄ v 3.1 2016೥4݄ v 3.2 (࠷৽ʣ

  15. ࠷৽൛ v 3.2ʹ͍ͭͯ v 3.0 ͔Βͷओͳมߋ఺ɿ TLS 1.1Ҏ্ͷ௨৴Λαϙʔτ͠ͳ͍͞ʢ2016೥6݄30೔·Ͱʹʣ SSL/TLS 1.0ͷ௨৴ΛແޮԽ͠ͳ͍͞ʢ2018೥6݄30೔·Ͱʹʣ

  16. ͭ·Γ 2016೥6݄30೔Ҏ߱ʹTLS1.1Λαϙʔτ͍ͯ͠ͳ͍ۀऀ 2018೥6݄30೔Ҏ߱ʹSSl/TLS1.0Λαϙʔτ͍ͯ͠Δۀऀ ʹ PCI DSSΛണୣ͞ΕΔʁʢ͸ͣʣ

  17. SSLʁTLSʁ ͍͖ͳΓࠓ೔ͷςʔϚʹ͍͖ۙͮͯ·ͨ͠

  18. ͳͥ͜Μͳมߋ͕ͳ͞Εͨͷ͔ʁ ͜͜Ͱͪΐͬͱࢥ͍ग़ͯ͠Έ·͠ΐ͏

  19. ࡢࠓͷOSSͷ੬ऑੑͷൃ֮ Heartbleedʢ2014೥4݄ʣ POODLEʢ2014೥10݄ʣ Logjamʢ2015೥5݄ʣ … ଟ෼಺༰͸Α͘Θ͔Βͳͯ͘΋ฉ͍ͨ͜ͱ͸͋Δ͸ͣ

  20. ҆શͳωοτϫʔΫͷߏஙɾҡ࣋ ͜ͷେલఏ͕͜ͷ··ͩͱڴ͔͞ΕΔ ͦΕΛ્ࢭ͢ΔͨΊͷߋ৽

  21. PCI DSSΛऔಘ͍ͯ͠ΔاۀͷରԠ ΍͸ΓFinTechاۀ͕Ұ൪හײ

  22. FinTechاۀҐ֎͸ؔ܎ͳ͍ʁ ͦ͏Ͱ͸͋Γ·ͤΜ ݸਓ৘ใͳͲ༷ʑͳηϯγςΟϒ৘ใΛѻ͏େاۀ͸ PCI DSSΛऔಘ͍ͯ͠Δ͜ͱ͕ଟ͍Ͱ͢ ʢྫɿAWS͞Μͱ͔ʣ ͦ΋ͦ΋ηΩϡϦςΟ͸શͯͷαʔϏεʹେࣄ

  23. FinTechاۀͷରԠྫ

  24. PayPalͷࣄྫ PCI DSS v3.2Ҏ֎ͷ΋ͷ΋ؚΜͰ ηΩϡϦςΟܭըͱͯ͠άϩʔόϧͰ࣮ࢪ

  25. ରԠ߲໨ SSLূ໌ॻͷΞοϓάϨʔυʢVeriSign G5ʣ TLS1.2/HTTP1.1΁ͷΞοϓάϨʔυ γεςϜؒ௨৴ͷHTTPͷഇࢭ ClassicɹAPIͷGETഇࢭʢREST͸আ͘ʣ ͦͷଞ…

  26. ৄࡉʢϚΠΫϩαΠτʣ https://www.paypal-knowledge.com/infocenter/index? page=content&id=FAQ1913&expand=true&locale=ja_JP

  27. ։ൃऀ޲͚ηΩϡϦςΟΨΠυϥΠϯ https://developer.paypal.com/docs/classic/lifecycle/info-security- guidelines/

  28. ͳͥʢલ౗ͯ͠͠·Ͱʣ΍Δ͔ʁ FinTechاۀͱͯ͠ͷ҆શɾ҆શͷͨΊ

  29. Thank You Junichi Okamura @ Security Night #1 2016.5.11