クレジットカードやその他の決済カードの取引を扱うすべての企業にとって、PCIコンプライアンスを理解することは、お客様だけでなく業務全体を保護する安全な環境を維持するために不可欠です。
簡単に言えば、PCIコンプライアンスは、技術的および運用上のセキュリティ予防措置のチェックリストに従うことで、企業がカード保持者データを保護することを要求するものです。すでに事業を確立している場合でも、これから始める場合でも、PCIコンプライアンスの基本は、思っているほど複雑ではありません。
このわかりやすいガイドでは、PCIコンプライアンスの概要、準拠が求められる対象、およびカード保持者データを含むメール通信を保護する方法について説明します。
PCIコンプライアンスとは何ですか?
PCIはPayment Card Industry(決済カード業界)の略で、PCI DSSはPayment Card Industry Data Security Standard(決済カード業界データセキュリティ基準)の略です。
PCI DSSは、クレジットカード情報を受け付け、処理、保管、または送信するすべての企業がその情報を安全に保つことを保証するために作成された、世界的なセキュリティ基準の集まりです。
これらの基準は、American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc.によって設立された団体であるPCI Security Standards Councilによって管理されています。
PCIコンプライアンスは法律ではありませんが、主要なクレジットカード会社が加盟店との契約において強制している義務的な要件です。
なぜPCIコンプライアンスが重要なのですか?
PCIコンプライアンスは、データ侵害や詐欺からお客様のビジネスと顧客を保護するために不可欠です。不遵守は、高額な罰金、法的影響、および顧客からの信頼喪失につながる可能性があります。
PCI DSSの要件を確実に満たすことは、機密データを保護し、信頼できる存在としての評価を高めるのに役立ちます。
誰がPCIに準拠する必要がありますか?
決済カード取引を扱う世界中のあらゆる企業が、PCIに準拠する必要があります。これには、オンライン小売業者、実店舗、およびクレジットカード決済を処理するあらゆる組織が含まれます。お客様のビジネスがカード保持者データを受け付け、送信、または保管している場合、PCI DSS要件(新しいウィンドウ)を遵守する必要があります。
小規模な企業であっても、Stripeのような決済プロセッサを使用している場合でも、自らPCIに準拠する必要があります。PCI準拠の決済プロセッサを使用することで一部の要件を満たすことはできますが、自社のシステムと慣行がPCI DSS基準に準拠していることを保証する責任は依然として企業側にあります。
PCIコンプライアンスのチェックリスト
PCIに準拠するためには、企業はPCI DS(新しいウィンドウ)S(新しいウィンドウ)によって概説されている12の要件に従う必要があります。
- カード保持者データを保護するために、ファイアウォールをインストールし、維持する。
- システムパスワードやその他のセキュリティパラメータに、ベンダー提供のデフォルト値を使用しない。
- 暗号化と安全な保管方法により、保管済みカード保持者データを保護する。
- オープンな公共ネットワークを介したカード保持者データの送信を暗号化する。
- すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアやプログラムを定期的に更新する。
- 安全なシステムおよびアプリを開発し、維持する。
- 業務上の必要性(Need-to-Know)に基づき、カード会員データへのアクセスを制限してください。
- システムコンポーネントへのアクセスを特定し、認証を行ってください。
- カード会員データへの物理的なアクセスを制限してください。
- ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡・監視してください。
- セキュリティシステムおよびプロセスを定期的にテストしてください。
- 全担当者の情報セキュリティに対応したポリシーを維持してください。
ただし、これらの要件の各項目は、さらにさまざまな小要件に細分化されていることに注意することが重要です。それらすべてへの準拠が不可欠です。
メールセキュリティについて明示的な言及はありませんが、本基準では、メールを含む公共ネットワーク経由の送信中のカード会員データの暗号化が求められています。
安全なメールはPCI準拠に不可欠です
PCI準拠の重要な側面の1つは、顧客のクレジットカードデータを含むメール通信が適切に暗号化され、保護されていることを確実にすることです。この貴重な情報の保護に失敗すると、データ侵害につながる可能性があり、お客様のビジネスの評判を損なうだけでなく、壊滅的な金銭的損失を招くおそれがあります。
メール通信の安全性を確保するために実施できるいくつかのステップを以下に示します。
エンドツーエンド暗号化を使用する
エンドツーエンド暗号化により、データは送信者のデバイスで暗号化され、受信者のデバイスでのみ復号されるようになります。たとえば、Proton Mailはこのレベルのセキュリティを提供しており、Protonであってもお客様のメールの内容にアクセスできないことを保証しています。
2要素認証を使用する
2要素認証 (2FA)などの多要素認証は、パスワード以外のセキュリティレイヤーを追加し、不正アクセスに対する防御を大幅に強化できます。Proton for Businessプランをご利用いただくと、組織内で2要素認証の使用を義務付け、セキュリティを強化し、確実なものにすることができます。
定期的なセキュリティ監査
定期的なセキュリティ監査を実施して、メール通信やその他のシステムがPCI DSSの要件に準拠していることを確認してください。これらの監査により、古いファイアウォールの構成や不適切なアクセス制御における脆弱性を発見できます。これにより、潜在的な脆弱性が悪用される前に特定し、対処するのに役立ちます。
ProtonでPCI準拠を維持
Protonを使用すると、ビジネスデータを保護できるため、Protonでさえも誰もアクセスできません。最も貴重な情報への鍵は、常にお客様の手元にあります。プライバシーとセキュリティへのこの取り組みにより、ProtonはPCI準拠の達成と維持を目指す企業にとって理想的なソリューションとなります。
Protonは、CERN(欧州原子核研究機構)で出会った科学者たちが主導するプロジェクトとして始まりました。私たちの目標は、個人や組織が自らのデータを管理できるようにインターネットを再構築することです。
Proton Mailへの移行は、弊社のEasy Switch機能で簡単に行えます。チームのトレーニングを必要とせず、組織のすべてのメール、連絡先、カレンダーを他のサービスからシームレスに移行できます。また、サポートチームが24時間365日体制で待機しており、追加の支援が必要な場合はライブサポートを提供いたします。エンドツーエンド暗号化メールであるProton Mailと、エンドツーエンド暗号化クラウドストレージサービスであるProton Driveにより、データ保護とプライバシーの要件を簡単に満たすことができます。
Proton for Businessのご利用には、以下のような追加の利点があります:
- Proton Mail: ビジネス通信をエンドツーエンド暗号化メールで保護し、お客様と指定した宛先のみがメッセージを読めるようにします。
- Proton VPN: インターネット接続を保護し、高速VPNアクセスでオンラインアクティビティを保護します。
- Proton Calendar: ビジネスの予定をプライベートに保つ暗号化されたカレンダーで、スケジュールを管理します。
- Proton Pass: 暗号化されたパスワードマネージャーで、パスワードを安全に保存・管理します。
- Proton Drive:エンドツーエンド暗号化により、安全にファイルを保存・共有し、お客様のデータのプライバシーと安全を確保します。
Proton for Businessへのサインアップ、または弊社の営業チームへのお問い合わせを通じて、お客様の組織がコンプライアンスを簡単に遵守するためにProtonがどのようにお役に立てるかご確認ください。
ビジネスをProtonのエコシステムに移行することは、お客様自身と顧客のデータを保護し、コンプライアンスを維持し、プライバシーがデフォルトとなる未来の構築を支援することに繋がります。
