Upgrade to Pro — share decks privately, control downloads, hide ads and more …

初めてでも分かるPCIDSS,PCI3DSとは

snowwhite
March 10, 2024
120

 初めてでも分かるPCIDSS,PCI3DSとは

snowwhite

March 10, 2024
Tweet

Transcript

  1. PCI-DSS 準拠要件概要 1. FWのインストールと維持 2. デフォルト値パラメータの変更 3. カードデータの保護 4. 公共ネットワークの伝送の暗号化

    5. マルウェア対策 6. 安全性の高い開発 7. 必要な特権の管理 8. アクセス識別 9. 物理アクセス制限 10. 追跡と監視 11. 定期テスト 12. メンバーへの概要周知
  2. PCIDSSの要件ごとの目的 目的 要件(前スライドの番号で表記 ) 安全なネットワークとシステム構築と維持 1:FWのインストールと維持 2:デフォルト値パラメータの変更 カード会員データの保護 3:カードデータの保護 4:公共ネットワークの伝送の暗号化

    脆弱性管理プログラムの整備 5:マルウェア対策 6:安全性の高い開発 強力なアクセス制御の導入 7:必要な特権の管理 8:アクセス識別 ネットワークの定期的監視とテスト 10:追跡と監視 11:定期テスト 情報セキュリティポリシーの整備と周知 12:メンバーへの概要周知
  3. PCI-3DS Part1とPart2がある 1. Part1 a. コンサルタントに確認してください。 PCIDSS準拠の場合は部分的に免 除になる可能性があります。 2. Part2

    a. スコープの妥当性 b. セキュリティガバナンス c. 3DSシステムとアプリケーション保 護 d. 3DSシステムへの安全は論理アク セス e. 3DSのデータ保護 f. 暗号化と鍵管理 g. 3DSシステムの物理的安全性
  4. PCI-3DSの要件ごとの目的 目的 要件(前スライドのアルファベットで表記 ) 審査対象スコープの見極めと全体的セキュリティの 管理 a:スコープの妥当性 b:セキュリティガバナンス 3DSに関する通信・データ保管が必要最小限か、 ログが取得されているか

    c:3DSシステムとアプリケーション保護 d:3DSシステムへの安全は論理アクセス e:3DSのデータ保護 暗号化鍵の管理手順が整備されているか 必須になっているHSMが適切に管理されているか f:暗号化と鍵管理 取引内容の認証と確認をするサーバと認証を相互 で行うサーバのデータセンターが適切に入退室管 理・物理的な侵入検知、監視カメラの記録が取得さ れているか等 g:3DSシステムの物理的安全性
  5. 必要な物(概略) インフラ構築 アプリケーション構築 NIST等の有名な構築基準に準拠しているか コーディングテストは行ったか 必要なOSのログは取得出来ているか OWASP等有名なコーディング基準に則して いるか アクセスログ(こちらはSSH等という意味)は 残っているか

    脆弱性のあるバージョンを利用していないか 不正アクセス対策はされているか ミドルウェアのバージョンは適宜アップデート 出来るか 適切なアクセス制御はされているか などなど・・・