私の仕事はシステムのセキュリティに関するアドバイザリーやセールスがメインなのですが、兎にも角にも今は『PCI DSS』がホットワードのようにお客様からも良く問い合わせを頂くようになりました。

WEBなどで良く検索することも多く、様々な情報に触れるのですが、結局、

□何をしなければならないの？

□対応しなきゃいけない範囲はどこまでなの？

が、分かりづらくてしょうがない。。。

なので、仕事や独学を通じて学んでいかなければ、、、ということもあり、自分の整理も込めて書き込んでいきたいと思います。

★PCI DSSのコツ？（なのか？）

『適用範囲＝クレジットカードのデータが流れても範囲に！？厳しい範囲指定について』

PCI DSSでは、その適用範囲について『クレジットカードのデータを保存、処理、通過する場合に適用範囲になる』と定義されていますね。と言うことは、店舗のレジやタクシーの決済用端末も対象になる、と言うこと？

いや、これは大変だ、、、

と初めて知った時の感想は、こんな感じでした。

次に、クレジットカードのデータって何だ？を調べます。

『守るべきデータって？クレジットカードデータの定義を調べる』

クレジットカードデータはどうやら、カードの前面に表示されている16桁（15桁）の番号のことらしい。これをとにかく守る必要があると理解。あと、機密データなのものがあって、パスワード（PIN）、磁器データも保護対象らしい、、、逆に有効期限や名前、お客様番号（マイレージとかで使う10桁の番号。物によって違うのかな？？）は対象にならないらしいです。

まずは、16桁の番号を守るもの、決済に必要になる情報が保護対象である、と覚えておきましょう。。。

次の更新で最も重要と言われる、『適用範囲の決定』について、書き足そうと思います。

それでは、また。。。