PCIコンプライアンスについて知っておくべきことすべて

オンラインでの支払い受付にはリスクが伴います。常に不正利用者が安全でないネットワークから支払い情報を盗もうとします。そのため、PCIコンプライアンスはこれまで以上に重要になっています。

ウェブサイトを通じて支払いを受け付けている場合は、PCIコンプライアンスを理解し、それがビジネスにとって何を意味するかを理解することが重要です。真剣に取り組まないと、顧客とビジネスを不必要なリスクにさらす可能性があります。

2017 Verizon Data Breach Incident Reportによると、その年には約42,068件のデータセキュリティインシデントが発生しました。あなたのビジネスがその一つにならないようにしましょう。

PCIコンプライアンスについては以前にも聞いたことがあるかもしれませんが、それが何であり、なぜ関連があるのかは知らないかもしれません。この記事では、すべてをわかりやすく説明します。

PCI DSSとは？

PCI DSSは、Payment Card Industry Data Security Standardの略です。これは、クレジットカード決済を処理する方法に関する、PCI Security Standards Council（PCI SSC）によって設定された一連の基準です。

PCI SSCは、Visa、MasterCard、American Express、Discover、JCBといった主要なクレジットカード会社によって設立されました。当初はそれぞれ独自のセキュリティ基準を持っていましたが、2006年にすべてを標準化するために統合されました。

このイニシアチブの目標は、クレジットカード番号を含む機密性の高い消費者情報を保護することです。これは、企業が個人情報を悪用したり、ハッカーや詐欺師が盗んだりする可能性を減らすため、消費者にとって有益です。また、チャージバックや未払い債務の可能性を減らすため、決済処理業界にとっても有益です。

PCIコンプライアンスは法律ではありませんが、これらの企業のいずれかと取引したい場合は、基準を遵守する必要があります（そして、クレジットカードを処理したい場合は、ほぼ必須です）。

機密情報とは何ですか？プライマリ アカウント番号、カード保有者名、有効期限、サービス コード、磁気ストリップ データ、チップ、CAV2、CVC2、CVV2、CID、PIN、PIN ブロック、およびトランザクションの処理に使用するその他のすべての情報です。

PCI DSSは、カード保有者データを安全かつ確実に受け取り、保存、処理、送信するために遵守する必要がある12の要件を定めています。たとえ一つでも従わない場合、コンプライアンス違反となります。各要件は、情報セキュリティの重要なコンポーネントに対処しています。

1. カード保有者データを保護するために、ファイアウォール構成をインストールおよび維持します。
2. システムパスワードおよびその他のセキュリティパラメータに、ベンダー提供のデフォルト値を使用しないでください。
3. 保存されているカード保有者データを保護します。
4. オープンでパブリックなネットワーク全体でのカード保有者データの送信を暗号化します。
5. すべてのシステムをマルウェアから保護し、アンチウイルスソフトウェアまたはプログラムを定期的に更新します。
6. 安全なシステムおよびアプリケーションを開発および維持します。
7. 業務上の必要性に基づいて、カード保有者データへのアクセスを制限します。
8. システムコンポーネントへのアクセスを特定および認証します。
9. カード保有者データへの物理アクセスを制限します。
10. ネットワークリソースおよびカード保有者データへのすべてのアクセスを追跡および監視します。
11. セキュリティシステムおよびプロセスを定期的にテストします。
12. 全従業員の情報セキュリティに関する方針を維持してください。

いかなる種類の金融取引を行う場合でも、PCIに準拠することはあなたの責任です。これには、電話でのクレジットカードの受け入れも含まれます。

さらに、ソフトウェアやサービスを提供するベンダー、または雇用する会社や個人がPCIに準拠していることを確認することもあなたの仕事です。

たとえば、Stripeを使用してクレジットカード決済を処理する場合、同社のサービスが非準拠であることが判明した場合、あなたは責任を問われる可能性があります。（幸いなことに、Stripeではそれは大きなリスクではありません。だからこそ私たちはStripeを推奨しています。）

たとえ年に1回の取引しか処理しなくても、事業の規模に関係なくPCIに準拠することが期待されています。準拠しない場合、深刻な罰則を受ける可能性があります。

最新の情報については、常にPCI SSCのウェブサイトにアクセスするのが最善です。同社の基準は定期的に、また事業内容によって変更されるため、常に最新情報を把握しておく必要があります。同社の加盟店向けページの内容を確認してください。

PCI加盟店レベル

必要なセキュリティの種類は、年間処理する支払い回数によって異なります。処理する取引が多いほど、ハッカーや悪意のある攻撃者にとって魅力的なターゲットとなるため、PCI準拠は4つのレベルに分けられています。

レベル1は、年間600万件を超える取引を処理する加盟店向けです。承認済みスキャンベンダーによる四半期ごとのネットワークスキャンと、認定セキュリティ評価者による年次コンプライアンスレポートの提出が義務付けられています。また、侵入テストも受ける必要があります。

レベル2は、年間100万件から600万件の取引を処理する加盟店向けです。年次のセルフアセスメントクイズ（SAQ）、認定セキュリティ評価者（QSA）によるオンサイト評価、四半期ごとのネットワークスキャン、および侵入テストの提出が必要です。

レベル3は、年間20,000件から100万件の取引を処理する企業向けです。レベル4は、年間20,000件未満の取引を処理する企業向けです。どちらも年次のセルフアセスメントクイズ、四半期ごとのネットワークスキャン、およびその他のいくつかの要件の実施が義務付けられています。ほとんどの企業は、最も低いカテゴリであるレベル4に該当します。

場合によっては、PCI SSCは、事業の種類（他のものよりもリスクが高いものがある）や過去にデータ侵害を経験したかどうかによって、特定の加盟店をより上位のランクに引き上げることがあります。

非準拠の場合の罰則

PCI基準に準拠していない場合、データ侵害を受けるリスクがあります。悪意のある人物が顧客の支払い情報を入手し、不正な請求を作成した場合、クレジットカード会社は不当な費用を負担せざるを得なくなるため、非準拠には非常に真剣に対応します。

支払いブランド（Visa、MasterCard、American Express、Discover、JCB）は、非準拠の場合、裁量により加盟店、銀行、またはその他の決済処理ベンダーに罰金を科すことができます。これらの罰金は、月額5,000ドルから10,000ドルの範囲になることがよくあります。

また、カード交換費用（クレジットカード利用者のアカウントやカードが侵害されたために変更が必要になった場合）や、ビジネスに対する高額なフォレンジック監査の支払いも求められる場合があります。

さらに悪いことに、不注意な処理が原因で顧客が被った金銭的損害に対して、民事上の責任を問われる可能性があります。これは、コンプライアンスの欠如が個人情報を侵害した場合、人々がお金を失ったことに対してあなたを訴えることができることを意味します。

さらに、支払いブランドはあなたのビジネスに対する手数料を増やす権利があります。リスクが高すぎると判断された場合、完全に取引を停止される可能性があります。クレジットカードブランドは手数料の割り当て方法を公表していませんが、その裁定は中小企業にとって非常に有害となる可能性があります。そのため、PCIコンプライアンスの意味を理解し、自分が準拠しているかどうかを知ることが非常に重要です。

決済ゲートウェイ

ほとんどの加盟店は、決済ゲートウェイを通じて取引を処理します。Stripe、PayPal、Authorize.netなどの名前はご存知でしょう。ゲートウェイは、クレジットカード銀行に接続するフロントエンドプラットフォームです。

これは、クレジットカード銀行と個別の契約を結ぶ必要がないことを意味します。ゲートウェイを利用する場合、ゲートウェイは提供された入力（顧客の支払い情報）を受け取り、適切な銀行にデータをルーティングします。また、すべての人を保護する多数の不正検出ツールも提供しています。

ここで良いニュースがあります。決済ゲートウェイを使用している場合、ゲートウェイがPCIコンプライアンスを保証してくれるため、ほとんどの場合、すでにPCIに準拠しています。彼らのビジネスモデル全体は、クレジットカードブランドとの良好な関係にかかっているため、一切のリスクを負いません。たとえば、Stripeは特定のビジネスの利用を outright 禁止しています。なぜなら、それらのビジネスは高いリスクを伴うからです。

さらに、ゲートウェイを使用すると、その評判を活用できます。たとえば、Mastercardと直接契約を結ぼうとすると、Mastercardにはあなたを信頼する理由があまりないため、高額になります。

しかし、Stripeのようなゲートウェイを使用する場合、あなたはMastercardの顧客ではありません。StripeがMastercardの顧客であり、MastercardはStripeが何百万もの取引を成功させてきたため、Stripeを信頼しています。これは、Stripeがあなたよりもはるかに良いレートを得られることを意味します。

決済ゲートウェイを使用すると、PCIコンプライアンスを無視できるという意味ですか？絶対に違います。

ゲートウェイとは関係なくPCIコンプライアンスに違反する方法はたくさんあります。たとえば、顧客のクレジットカード情報を紙に書き留めて壁に貼り付けた場合、PCI基準に違反することになりますが、ゲートウェイがあなたを保護する方法はありません。

PCIコンプライアンス基準の変更

残念ながら、データの窃盗犯、ハッカー、悪意のある関係者は創造的で洗練されています。彼らは、私たちが自分自身を守ることができるのと同じくらい速く、新しいセキュリティ技術に彼らの方法を適応させます。

したがって、PCIコンプライアンスについて知っておくべき最後のことは次のとおりです。基準は常に変化しています。今日受け入れられるものが明日機能しない可能性があります。自分で支払い処理を管理している場合は、変更を常に把握して脆弱性を残さないようにすることが重要です。

支払い処理業者（Stripe、PayPal、Authorize.netなど）を使用している場合、処理業者が準拠を維持してくれます（それが機能の1つである場合）。ただし、変化する状況を理解しておくことは依然として重要です。