毎年、企業は顧客情報を危険にさらすデータ侵害の危険にさらされています。 Risk Based Securityの年次報告書によると、昨年は違反インシデントの新たなピークが見られました。3,930件の発生により、7億3600万件を超える公開レコードが発生しました。

データセキュリティはビジネス上の深刻な懸念事項です。特に、中小企業の60％近くが侵害後に破産することを考えると。

あなたのビジネスがデビット/クレジット支払いを受け入れる場合、あなたはペイメントカード業界（PCI）コンプライアンス、業界によって制定されたセキュリティ要件と対策に精通しているかもしれません。ただし、多くの新しいビジネス（および一部の定評のあるビジネス）は、PCIコンプライアンスにまったく慣れていません。

PCI標準に精通することは、現代のビジネスの重要な要素です。

PCIコンプライアンスとは、ペイメントカード業界によって作成および施行された一連の必須の標準とルール、つまりVisa、MasterCard、American Express、Discoverを指します。

任意 会社 クレジットカードおよびデビットカードの支払いを保存、処理、または送信する PCI Security Standards Council（SSC）ガイドラインを満たし、毎年コンプライアンスを実証する必要があります。そうしないと、高額の罰金が科せられ、トランザクションを処理する権限が失われる可能性があります。

SSCデータセキュリティ標準要件

SSCは、PCIコンプライアンスに関する12の広範な要件を定めています。これらの要件を満たす必要がありますが、具体的には方法については詳しく説明していません。 あなたのビジネスはそれらに会わなければなりません。たとえば、企業はウイルス対策ソフトウェアを使用および更新する必要がありますが、SSCはどのソフトウェアを使用する必要があるかを指定していません。

これらの標準を実装するために、SSCはPCIコンプライアンスガイドへの優先アプローチを提供します。

データセキュリティの標準要件：

1. カード会員データを保護するためのファイアウォール構成をインストールして維持する
2. システムパスワードやその他のセキュリティパラメータにベンダー提供のデフォルトを使用しないでください
3. 保存されたデータを保護する
4. オープンなパブリックネットワークを介したカード会員データの送信を暗号化する
5. ウイルス対策ソフトウェアを使用して定期的に更新する
6. 安全なシステムとアプリケーションを開発および維持する
7. ビジネスで知っておくべきことにより、カード会員データへのアクセスを制限する
8. コンピュータにアクセスできる各ユーザーに一意のIDを割り当てます
9. カード会員データへの物理的アクセスを制限する
10. ネットワークリソースとカード会員データへのすべてのアクセスを追跡および監視します
11. セキュリティシステムとプロセスを定期的にテストする
12. 情報セキュリティに対処するポリシーを維持する

3段階のコンプライアンスプロセス

1：評価

評価の目的は、顧客の支払いデータのセキュリティにリスクをもたらす脆弱性を特定することです。評価は本質的に包括的であり、会社のトランザクションプロセス全体を最初から最後まで分析する必要があります。これには、デジタルネットワークだけでなく、すべてが含まれます。 物理的なラップトップ、デスクトップ、紙の領収書など、顧客の支払いデータが保存される領域。

サードパーティが支払いフロープロセスの一部である場合は、サードパーティの手順とシステムも評価する必要があります。

SSCは、専門の評価者をトレーニングおよび検証することで支援を提供します。この評価者には、資格のあるセキュリティ評価者と承認されたスキャンベンダー（ASV）の2種類があります。

QSAはデータのセキュリティを評価し、コンプライアンスの証明として提出する証拠を準備します。

ASVは、データシステムの弱点を分析できる商用ソフトウェアツールを提供しています。

2：修正

修復とは、評価中に見つかった脆弱性に対処して修正するプロセスです。

多くの修復戦略は単純です。ウイルス対策ソフトウェアを更新し、会社のサーバーが配置されているドアにロックを追加し、90日ごとに更新される新しいパスワードを採用します。

ただし、多くの企業が苦労しているのは、企業のセキュリティポリシーと手順の作成と実装です。会社全体に明確に伝達された巧妙に作成されたポリシーと手順がなければ、ほとんどの企業は最終的にコンプライアンスの維持に失敗します。

すべての企業は独自のものであり、このため、修復は各ビジネスに非常に固有です。 2つの修復戦略がまったく同じように見えることはありません。

3：レポート

ビジネスがSSC要件を満たしていることを示すために、コンプライアンスに関するレポート（ROC）を提出する必要があります。 ROCは単一のドキュメントではなく、評価と修復の段階で収集された証拠の要約です。

ROCドキュメントには、資格のある評価者からの詳細なワークペーパー、システムテストの結果、構成データ、インタビューのメモ、スクリーンショット、およびその他の多くの証拠が含まれる場合があります。

SSCは、レポートプロセスをガイドするために確認できる詳細な113ページのレポート手順ドキュメントを提供しています。

進行中

PCIコンプライアンスは進行中のプロセスです 。単一の評価または年次検証は、プロセスの終わりではありません。代わりに、コンプライアンスとは、データの安全性を確保するための多数の戦略の継続的な実装と監視です。

よくある誤解

クレジットカード情報を保存しない場合、PCIは適用されません。

PCIコンプライアンスは、デビット/クレジットカードの支払い情報をおよび保存する企業に適用されます。 それらの支払いを処理または送信する会社。データを保存するかどうかに関係なく、借方/貸方の支払いを受け入れる場合は、PCIコンプライアンスが適用されます。

私は少数のトランザクションしか処理せず、PCIは大企業にのみ適用されます。

PCIコンプライアンスは、単一のデビット/クレジット支払いを保存、処理、または送信するすべての企業を対象としています。唯一の免除は、取引プロセス全体を第三者に引き渡した企業に対するものです。

コンプライアンスを報告して検証した後、PCIは終了しました。

PCIコンプライアンスは継続的なプロセスであり、年に1回のイベントではありません。検証は、承認の包括的なスタンプではなく、時間のスナップショットと見なす必要があります。年次評価で検証されたが、コンプライアンスの失効によりセキュリティ違反が発生した企業を見つけるのが一般的です。

他の商人は罰金を科されていません。私が従わなくても、罰金は大したことではありません。

違反に対する罰金は多額で、月額5000ドルから100,000ドルの範囲です。企業は、コンプライアンスが実証および確認されるまで、借方/貸方の支払いを完全に処理する権利を失う可能性もあります。

ASVスキャンに合格したので、問題はありません。

ASVスキャンは、継続的なプロセスの1つのステップにすぎません。コンプライアンスを維持するための継続的な取り組みにおいて、それらを多くのツールの1つと考えてください。