【仕事】PCI DSS 素人からのスタート①
私の仕事はシステムのセキュリティに関するアドバイザリーやセールスがメインなのですが、兎にも角にも今は『PCI DSS』がホットワードのようにお客様からも良く問い合わせを頂くようになりました。
WEBなどで良く検索することも多く、様々な情報に触れるのですが、結局、
□何をしなければならないの?
□対応しなきゃいけない範囲はどこまでなの?
が、分かりづらくてしょうがない。。。
なので、仕事や独学を通じて学んでいかなければ、、、ということもあり、自分の整理も込めて書き込んでいきたいと思います。
★PCI DSSのコツ?(なのか?)
『適用範囲=クレジットカードのデータが流れても範囲に!?厳しい範囲指定について』
PCI DSSでは、その適用範囲について『クレジットカードのデータを保存、処理、通過する場合に適用範囲になる』と定義されていますね。と言うことは、店舗のレジやタクシーの決済用端末も対象になる、と言うこと?
いや、これは大変だ、、、
と初めて知った時の感想は、こんな感じでした。
次に、クレジットカードのデータって何だ?を調べます。
『守るべきデータって?クレジットカードデータの定義を調べる』
クレジットカードデータはどうやら、カードの前面に表示されている16桁(15桁)の番号のことらしい。これをとにかく守る必要があると理解。あと、機密データなのものがあって、パスワード(PIN)、磁器データも保護対象らしい、、、逆に有効期限や名前、お客様番号(マイレージとかで使う10桁の番号。物によって違うのかな??)は対象にならないらしいです。
まずは、16桁の番号を守るもの、決済に必要になる情報が保護対象である、と覚えておきましょう。。。
次の更新で最も重要と言われる、『適用範囲の決定』について、書き足そうと思います。
それでは、また。。。