Upgrade to Pro — share decks privately, control downloads, hide ads and more …

PCI DSSってなんぞ #1 /What is PCI DSS #1

vivid224
August 31, 2018
Technology
0
170

PCI DSSってなんぞ #1 /What is PCI DSS #1

vivid224

August 31, 2018
Tweet

More Decks by vivid224

See All by vivid224
業界未経験→SESインフラエンジニア→その先生きのこりたい! /ChangeJobs-SES-Qualification
vivid224
0
350

Other Decks in Technology

See All in Technology
知識と実践を紡ぐGenAI / Connecting Knowledge and experience with GenAI
aki_moon
2
170
Observabilityジャーニーを実現するためのAWSサービス:CloudWatch編
o11yfes2023
0
140
「できる!」を増やすGitHub Copilot活用法 / How to use GitHub Copilot to expand your possibilities
sansan_randd
1
230
cgroup v2 で何が変わったのか / TechFeed Experts Night #28
tenforward
2
160
Password cracking: past, present, future
openwall
0
240
OPENLOGI Company Profile for engineer
hr01
1
2.1k
多言語化対応における TypeScript の型定義を通して開発のしやすさについて考えた / TSKaigi TypeScript Multilingualization
nabeliwo
2
380
Kaggleで学ぶ系列データのための深層学習モデリング
yu4u
7
1.7k
AWSの生成AI入門書を執筆しました🎉
minorun365
PRO
0
140
AWS アーキテクチャ作図入門/aws-architecture-diagram-101
ma2shita
16
6.7k
20240509 CloudWatch でいろいろなものを監視してみよう
masaruogura
1
120
#phpconkagawa レガシーコードにもオブザーバビリティを 〜少しずつ始めるサービス監視〜
yamato_sorariku
0
520

Featured

See All Featured
GitHub's CSS Performance
jonrohan
1025
450k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
275
13k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
8
3.5k
Statistics for Hackers
jakevdp
790
220k
Optimizing for Happiness
mojombo
370
69k
The Brand Is Dead. Long Live the Brand.
mthomps
49
30k
4 Signs Your Business is Dying
shpigford
176
21k
StorybookのUI Testing Handbookを読んだ
zakiyama
13
4.7k
Practical Orchestrator
shlominoach
183
9.8k
How GitHub Uses GitHub to Build GitHub
holman
468
290k
Designing with Data
zakiwarfel
96
4.8k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
155
14k

Transcript

  1. PCI DSSってなんぞ #1 ~ペイメントの世界とPCI DSS要件の紹介~

  2. 私について びび(@vivid224) • 情報処理安全確保支援士 • CISA • CISM勉強中

  3. 今日の話 • PCI DSSのことをざっくり • ペイメントの世界をざっくり • PCI DSS要件をざっくり 概略なので、深い話は出てきません!

    知らないことを知ってもらえたら嬉しいです

  4. PCI DSSってなんぞ ★PCI DSS(Payment Card Industry Data Security Standard) •

    カード会員情報の保護を目的としてPCI SSCが作った カード情報セキュリティの国際統一基準

  5. PCI DSSってなんぞ ★PCI DSS(Payment Card Industry Data Security Standard) •

    カード会員情報の保護を目的としてPCI SSCが作った カード情報セキュリティの国際統一基準 カード会員情報(アカウントデータ) カード会員データ 機密認証データ ・PAN(プライマリアカウント番号…カード番号) ・カード会員名 ・有効期限 ・サービスコード ・磁気ストライプデータ or ICチップ上の同等の情報 ・暗証番号 ・セキュリティコード 赤枠囲みの情報はお漏らし厳禁

  6. PCI DSSってなんぞ ★PCI DSS(Payment Card Industry Data Security Standard) •

    カード会員情報の保護を目的としてPCI SSCが作った カード情報セキュリティの国際統一基準 カード会員情報(アカウントデータ) カード会員データ 機密認証データ ・PAN(プライマリアカウント番号…カード番号) ・カード会員名 ・有効期限 ・サービスコード ・磁気ストライプデータ or ICチップ上の同等の情報 ・暗証番号 ・セキュリティコード 赤枠囲みの情報はお漏らし厳禁 機密認証データは 認証時に通過・処理 保存は原則禁止 PANを守る!

  7. クレカ業界用語 (1) ★PCI SSC (PCI Security Standards Council)は この5ブランドによって創立された

  8. クレカ業界用語 (2) ★カード会員 • カードと請求書をイシュアから受け取る • カードもしくはカード情報を使用して商品を購入 ★イシュア • カードを発行する国際ブランド(Amex、JCB、Discover)

    • VISA/MasterCardに代わってカードを発行している銀行やカード会社 ★加盟店 • カード会員が支払いのために使用するカードもしくはカード情報を受理する組織 ★アクワイアラー • 加盟店が請求処理を行う銀行やカード会社 • 加盟店からの請求処理を受け取って、イシュアに承認を求める • 加盟店に「承認」「クリアリング」「決済」を提供する ★VISA/Masterはアクワイアリングを行わない★

  9. クレカの決済の流れ – 認証 カード会員 加盟店 アクワイアラー ブランド イシュア 買い物するよ カード受付した!買

    い物させたいから処 理よろ! 処理するよ! どこが発行したカー ドか確認よろ! 発行した所を確認し たよ! 承認よろ! 与信おk! 承認した! あとはよろしく あとはよろしく 領収書出して商品 渡すよ! 買い物 できた♪

  10. クレカの決済の流れ – クリアリング カード会員 加盟店 アクワイアラー ブランド イシュア 自社カード以外の 購入情報送るんで

    計算よろ! 計算するよ! 結果を送るよ! 会員向けに請求書 つくるよー 結果確認する!

  11. クレカの決済の流れ – 決済 カード会員 加盟店 アクワイアラー ブランド イシュア 代金受け取れた! 加盟店の立替を

    精算するよ 加盟店確認して 振り分けるよ 決済情報送るよ 支払うよ!

  12. クレカの決済の流れ – で… 大まかな流れはつかめたかと思いますが • カード会員情報がどう流れていますか? • カード会員情報はどのように守られていますか? といった面で、セキュリティを確保・維持するのがPCI DSS

  13. PCI DSS 6つの目標 12の要件 PCIDSS 統制目標 要件 1. 安全なネットワークとシステムの構築と維持 1.

    カード会員データを保護するために、ファイア ウォールをインストール して構成を維持する 2. システムパスワードおよびその他のセキュリティパ ラメータにベンダ提供のデフォルト値を使用しない 2. カード会員データの保護 3. 保存されるカード会員データを保護する 4. オープンな公共ネットワーク経由でカード会員デー タを伝送する場合、 暗号化する 3. 脆弱性管理プログラムの維持 5. すべてのシステムをマルウェアから保護し、ウイル ス対策ソフトウェア またはプログラムを定期的に更 新する 6. 安全性の高いシステムとアプリケーションを開発し、 保守する

  14. PCI DSS 6つの目標 12の要件 PCIDSS 統制目標 要件 4. 強力なアクセス制御手法の導入 7.

    カード会員データへのアクセスを、業務上必要な 範囲内に制限する 8. システムコンポーネントへのアクセスを識別・認証 する 9. カード会員データへの物理アクセスを制限する 5. ネットワークの定期的な監視およびテスト 10. ネットワークリソースおよびカード会員データへの すべてのアクセスを追跡および監視する 11. セキュリティシステムおよびプロセスを定期的にテ ストする 6. 情報セキュリティポリシーの維持 12. すべての担当者の情報セキュリティに対応するポ リシーを維持する

  15. PCI DSS 6つの目標 12の要件 PCIDSS 統制目標 要件 1. 安全なネットワークとシステムの構築と維持 1.

    カード会員データを保護するために、ファイア ウォールをインストール して構成を維持する 要件1は1項目ではなく全部で19項目ある。全部の要件で400項目ちょっと。 1.1 … 1.1.1~1.1.7 1.2 … 1.2.1~1.2.3 1.3 … 1.3.1~1.3.7 1.4 1.5 めんどくさっ

  16. 準拠の流れ 1. スコープの確定 • CDE(カード会員データ環境)を明確にする • データフローを明確にする 2. Fit&Gapの実施(各要件のテスト手順を用いた自己評価) •

    要件を満たしているものとそうでないものを選別する • 要件を満たしていなければ、対応を考える(要件通りに実現できる?できない?) 3. 準拠対応 • (コスト制約範囲内で)要件を満たせるならそうする • (いろいろな制約で)要件通りの実現ができないのであれば代替コントロールを定義する • 初回のネットワーク検査(ペネトレ含む)の実施および対応 4. 審査を受ける • 指摘事項があれば対応

  17. 今後の流れ • 各要件の説明をしようかな… • サーバー、ネットワーク、ファシリティ、プロセス… 多分幅広く知識が付くんじゃないかな…

  18. 終 制作・著作 びび@vivid224