バリデーション要件を全世界で統一

VISAがPCI DSS順守に期限を設定

2008/11/14

　ビザ・ワールドワイドは11月13日、クレジットカードやデビットカードなどのペイメントカード業界のセキュリティ基準である「PCI DSS」の国際的な義務化に向けた順守期限を発表した。取引量によって決められる加盟店のレベルとPCI DSSバリデーション要件の統一が行われ、取引量の多い上位レベルの加盟店に対しては、具体的な報告期限が設定された。

　加盟店はペイメントカードの年間取引量により4つのレベルに分類され、PCI DSSのバリデーション要件はレベルごとに異なる。年間取引量が600万件を超えるレベル1の加盟店に対しては認定セキュリティ評価ベンダ（QSA）による年次報告書の提出や、脆弱（ぜいじゃく）性スキャニングベンダ（ASV）による四半期ごとの脆弱性スキャン結果の報告が求められる。

加盟店のレベルとバリデーション要件

　このうち上位のレベルに分類される加盟店に対しては、「保管禁止データの廃棄期限」（レベル1、2）、および「PCI DSS順守バリデーションの期限」（レベル1）が設定される。クレジットカード情報にはカード番号のほかにも、磁気ストライプ内に格納された情報やPIN、セキュリティコード（CVV2）などがあるが、このうちPINやセキュリティコードは機密認証データとされており、取引認証後に直ちに破棄する必要がある。今回、これらの機密情報が適切に処理されていることを確認、報告する期限を2009年9月30日とした。

　また、レベル1加盟店に対しては、QSAによるPCI DSS順守報告書の提出を2010年9月30日までに行うことを義務づけた。これらの証明を提出しなかった場合、加盟店に対し罰金が科せられることがあるという。

　PCI DSSはペイメントカード業界におけるセキュリティ要件を定めた基準で、VISA、JCB、アメリカンエキスプレス、Discover、マスターカードの5社が共同で策定したもの。2008年10月には最新バージョンであるv1.2が発表され、2010年6月30日以降のWEP利用禁止などが盛り込まれている。