2010年9月15日8:20

PCI DSS対象範囲の特定(2)

ネットワークセグメンテーションの例を示す。右図には、社内にインターネットに接続されたシステムがあり、データベースにカード会員データを保管してあるような環境を想定している。

この形式の内部ネットワーク(INTセグメント)に、メンテナンス用のPCが何台か接続され、さらに通常業務のPCもつながれていれば、「フラットネットワーク」としてカード会員データ環境用に含まれてしまう。このケースは実際によくある。

PCをすべてフラットなネットワークに置く必要がないのであれば、メンテナンス用PCはネットワークを分離すればいい。ファイアウォールを置いてメンテナンス用のネットワークセグメントと、いわゆる通常業務のパソコンのネットワークをセグメンテーション(分離)する(※点線囲み)。もちろん通常業務用のネットワークセグメントからカード会員データ環境にアクセスできないファイアウォールのポリシーになっていることが前提となるが、これでリスクはメンテナンス用のPCに限定され、通常業務用のPC、ネットワーク、その利用者の教育などPCI DSSに準拠するコストが削減できる。つまり、ネットワークセグメンテーションは、リスクとコストを下げる有効な手段なのである。

仮に現有のカード会員データ環境は広くても、ネットワークセグメンテーションにより狭めることが可能だ。具体的な対象範囲の決め方だが、オンサイト監査を受けている場合は、一般的には監査の前に予備調査の工程が設けられるため、ここで線引きすることが多い。自己問診の場合は、契約するアクワイアラもしくは準拠支援のコンサルティング会社などとの協議で決定する。

リスクとコストを下げるには、カード会員データを扱う環境を、どんどん狭めていくことだ。究極のリスク低減は、データそのものを持たないこと。リスクゼロである。非対面の加盟店が選択する方法の1つとして、インターネット決済代行事業者が提供する「非保持(画面遷移型)」サービスの利用が挙げられる。この形式のサービスでは、すべてのカード会員データを決済代行事業者に預け、加盟店は所有しない。

続きを読む⇒⇒⇒PCI DSS対象範囲の特定(3)へ

前に戻る←PCI DSS対象範囲の特定(1)へ

※本記事は「PCI DSS Version1.2徹底解説」の一部分をご紹介したものです。

■「PCI DSS Version1.2徹底解説」の短期連載目次

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP