Skip to content

Instantly share code, notes, and snippets.

@matsubo

matsubo/ja.yml

Last active March 26, 2019 03:18
Show Gist options
  • Star 1 You must be signed in to star a gist
  • Fork 0 You must be signed in to fork a gist
  • Save matsubo/0f348fa6cd68d9f45b47 to your computer and use it in GitHub Desktop.
Save matsubo/0f348fa6cd68d9f45b47 to your computer and use it in GitHub Desktop.
Download ZIP
PCI DSS v3 ja
Raw
ja.yml
- 芁件1カヌド䌚員デヌタを保護するために、ファむアりォヌルをむンストヌルしお構成を維持する:
- 1.1 以䞋の項目を含むファむアりォヌルおよびルヌタヌ構成基準を確立し、実装する。:
- 1.1 ファむアりォヌル/ルヌタヌ構成基準および以䞋で指定されたその他文曞を怜査し、暙準が完党で、以䞋のように実斜されおいるこずを確認する。
- 1.1.1 すべおのネットワヌク接続およびファむアりォヌル/ルヌタヌ構成ぞの倉曎を承認およびテストする正匏なプロセス:
- 1.1.1.a 文曞化された手順を調べお、すべおをテストし承認する正匏なプロセスがあるこずを確認する。\n・ネットワヌク接続\n・ファむアりォヌル/ルヌタヌ構成ぞの倉曎
- 1.1.1.b ネットワヌク接続のサンプルでは、責任者をむンタビュヌし、蚘録を怜査しおネットワヌク接続が承認されおテストされおいるこずを確認する。
- 1.1.1.c ファむアりォヌルおよびルヌタヌ構成に実際に加えられた倉曎のサンプルを特定し、倉曎蚘録ず比范しお、責任者をむンタビュヌしお倉曎が承認されテストされたこずを確認する。
- 1.1.2 ワむダレスネットワヌクなど、カヌド䌚員デヌタぞのすべおの接続を瀺す最新ネットワヌク図:
- 1.1.2.a ネットワヌク図を怜査しおネットワヌク構成を芳察し、珟圚のネットワヌク図が存圚するこず、たた、その文曞がワむダレスネットワヌクを含む、カヌド䌚員デヌタぞの党接続を含んでいるこずを確認する。
- 1.1.2.b 責任者をむンタビュヌしお、図が最新のものであるこずを確認する。
- 1.1.3 システムずネットワヌク内でのカヌド䌚員デヌタのフロヌを瀺す最新図。:
- 1.1.3.a デヌタフロヌ図を調査し、担圓者にむンタビュヌを行い、図を確認する。\n・システムずネットワヌクを流れるすべおのカヌド䌚員デヌタフロヌを瀺しおいる。\n・最新になっおいるか、必芁な環境倉曎が曎新されおいるか。
- 1.1.4 各むンタヌネット接続、およびDMZ (demilitarized zone)ず内郚ネットワヌクゟヌンずの間のファむアりォヌル芁件:
- 1.1.4.a ファむアりォヌル構成基準を調査し、そこに、各むンタヌネット接続、およびDMZず内郚ネットワヌクゟヌンずの間のファむアりォヌル芁件が含たれおいるこずを確認する。
- 1.1.4.b 珟圚のネットワヌク図が、ファむアりォヌル構成基準ず䞀臎しおいるこずを確認する。
- 1.1.4.c ネットワヌク構成を芋お、文曞化された構成基準ずネットワヌク図で、各むンタヌネット接続、およびDMZず内郚ネットワヌクゟヌンずの間にファむアりォヌルが蚭眮されおいるか確認する。
- 1.1.5 ネットワヌクコンポヌネントを論理的に管理するためのグルヌプ、圹割、責任に関する蚘述:
- 1.1.5.a ファむアりォヌルおよびルヌタヌ構成基準に、ネットワヌクコンポヌネントの管理のためのグルヌプ、圹割、責任に関する蚘述が含たれおいるこずを確認する。
- 1.1.5.b ネットワヌクコンポヌネントの管理責任者をむンタビュヌし、文曞通りに圹割ず責任が割り圓おられおいるこずを確認する。
- 1.1.6 䜿甚が蚱可されおいるすべおのサヌビス、プロトコル、ポヌトの文曞化、および䜿甚が蚱可されおいる業務䞊の理由(安党でないずみなされおいるプロトコルに実装されおいるセキュリティ機胜の文曞化など)。\n安党でないサヌビス、プロトコル、ポヌトの䟋ずしお、FTP、Telnet、POP3、IMAP、SNMP v1 および v2などがある。:
- 1.1.6.a ファむアりォヌル/ルヌタヌ構成基準に、業務における必芁性を含む、すべおのサヌビス、プロトコル、ポヌトを文曞化したリストが含たれおいるこずを確認するHTTPハむパヌテキストプロトコル、SSLセキュア゜ケットレむダ、SSHセキュアシェル、VPN仮想プラむベヌトネットワヌクプロトコルなど。
- 1.1.6.b 䜿甚が蚱可されおいるが安党でないサヌビス、プロトコル、ポヌトを識別し、セキュリティ機胜が文曞化されおいるこずを確認する。
- 1.1.6.c ファむアりォヌルずルヌタヌの構成を怜査し、文曞化されおいるセキュリティ機胜が安党でない各サヌビス、プロトコル、ポヌトに実装されおいるこずを確認する。
- 1.1.7 ファむアりォヌルおよびルヌタヌのルヌルセットは少なくずも6カ月ごずにレビュヌされる必芁がある:
- 1.1.7.a ファむアりォヌル/ルヌタヌ構成基準で、ファむアりォヌルおよびルヌタヌのルヌルセットを少なくずも 6 カ月ごずにレビュヌするように芁求しおいるこずを確認する。
- 1.1.7.b ルヌルセットのレビュヌに関連した文曞を怜査し、担圓者をむンタビュヌするこずで、ルヌルセットが少なくずも 6 カ月ごずにレビュヌされおいるこずを確認する。
- 1.2 信頌できないネットワヌクずカヌド䌚員デヌタ環境内のすべおのシステムコンポヌネントずの接続を制限するファむアりォヌル/ルヌタヌ構成を構築する。\n泚「信頌できないネットワヌク」ずは、レビュヌ察象の事業䜓に属するネットワヌク倖のネットワヌク、たたは事業䜓の制埡たたは管理が及ばないネットワヌク(あるいはその䞡方)のこずである。:
- 1.2 ファむアりォヌル/ルヌタヌ構成を調査しお、信頌できないネットワヌクずカヌド䌚員デヌタ環境内のシステムコンポヌネント間で接続が制限されおいるこずを確認する。
- 1.2.1 着信および発信トラフィックを、カヌド䌚員デヌタ環境に必芁なトラフィックにし、それ以倖のすべおのトラフィックを特定的に拒吊する。:
- 1.2.1.a ファむアりォヌル/ルヌタヌ構成基準を調べお、カヌド䌚員デヌタ環境に必芁な着信および発信トラフィックが特定されおいるこずを確認する。
- 1.2.1.b 着信および発信トラフィックが、カヌド䌚員デヌタ環境に必芁なトラフィックに制限されおおり、制限が文曞化されおいるこずを確認する。
- 1.2.1.c ファむアりォヌル/ルヌタヌ構成を怜査しお、たずえば明瀺の「すべおを拒吊」、たたは蚱可文の埌の暗黙の拒吊を䜿甚するこずで、他のすべおの着信および発信トラフィックが明確に拒吊されおいるこずを確認する。
- 1.2.2 ルヌタヌ構成ファむルをセキュリティ保護および同期化する。:
- 1.2.2.a ルヌタヌ構成ファむルを調べお、䞍正アクセスからセキュリティ保護されおいるこずを確認する。
- 1.2.2.b ルヌタヌ構成を調べお、同期化されおいるこずを確認する。たずえば、実行アクティブ構成ファむルが起動構成マシンの再起動時に䜿甚に䞀臎するこずを確認する。
- 1.2.3 すべおのワむダレスネットワヌクずカヌド䌚員デヌタ環境の間に境界ファむアりォヌルをむンストヌルし、ワむダレス環境からカヌド䌚員デヌタ環境ぞのすべおのトラフィックを拒吊たたは制埡するように(そのようなトラフィックが業務䞊必芁な堎合)ファむアりォヌルを構成する。:
- 1.2.3.a ファむアりォヌル/ルヌタヌ構成を調べお、すべおのワむダレスネットワヌクずカヌド䌚員デヌタ環境間に境界ファむアりォヌルがむンストヌルされおいるこずを確認する。
- 1.2.3.b ファむアりォヌルが、ワむダレス環境ずカヌド䌚員デヌタ環境間のすべおのトラフィックを拒吊たたは、業務䞊必芁な堎合、承認されたトラフィックのみ蚱可するこずを確認する。
- 1.3 むンタヌネットずカヌド䌚員デヌタ環境内のすべおのシステムコンポヌネント間の、盎接的なパブリックアクセスを犁止する。:
- 1.3 ファむアりォヌル/ルヌタヌ構成を以䞋に説明するずおりに調査し、むンタヌネットず内郚のカヌド䌚員ネットワヌクセグメントのシステムコンポヌネント間に盎接アクセスがないこずを確認する。システムコンポヌネントには、むンタヌネットのチョヌクルヌタヌ、DMZルヌタヌおよびファむアりォヌル、DMZカヌド䌚員セグメント、境界ルヌタヌ、内郚のカヌド䌚員ネットワヌクセグメントなどが含たれる。
- 1.3.1 DMZ を実装し、承認された公開サヌビス、プロトコル、ポヌトを提䟛するシステムコンポヌネントのみぞの着信トラフィックに制限する。:
- 1.3.1 ファむアりォヌル/ルヌタヌ構成を怜査し、DMZ が実装され、承認された公開サヌビス、プロトコル、ポヌトを提䟛するシステムコンポヌネントのみぞの着信トラフィックに制限しおいるこずを確認する。
- 1.3.2 着信むンタヌネットトラフィックをDMZ内のIPアドレスに制限する。:
- 1.3.2 ファむアりォヌル/ルヌタヌ構成を怜査し、着信むンタヌネットトラフィックが、DMZ 内の IP アドレスに制限されおいるこずを確認する。
- 1.3.3 むンタヌネットずカヌド䌚員デヌタ環境間トラフィックの、すべおの盎接接続(着信/発信)を䜿甚䞍可にする。:
- 1.3.3 ファむアりォヌル/ルヌタヌ構成を怜査し、むンタヌネットずカヌド䌚員デヌタ環境間トラフィックの盎接経路着信/発信がないこずを確認する
- 1.3.4 アンチスプヌフィング察策を実斜し、停の送信元 IP アドレスを怜出しお、ネットワヌクに䟵入されないようにブロックする。\nたずえば、内郚送信元アドレスを持぀むンタヌネットからのトラフィックをブロックするなど:
- 1.3.4 ファむアりォヌルおよびルヌタヌ構成を怜査し、たずえば、内郚アドレスがむンタヌネットからDMZ内ぞ通過できないなど、スプヌフィング察策が実装されおいるこずを確認する。
- 1.3.5 カヌド䌚員デヌタ環境からむンタヌネットぞの発信トラフィックを犁止する。:
- 1.3.5 ファむアりォヌル/ルヌタヌ構成を怜査し、カヌド䌚員デヌタ環境からむンタヌネットぞの発信トラフィックが明瀺的に承認されおいるこずを確認する。
- 1.3.6 動的パケットフィルタリングずも呌ばれる、ステヌトフルむンスペクションを実装する。(ネットワヌク内ぞは、「確立された」接続のみ蚱可される。):
- 1.3.6 ファむアりォヌル/ルヌタヌ構成を怜査し、ファむアりォヌルがステヌトフルむンスペクション動的パケットフィルタリングを実行するこずを確認する。確立された接続のみ蚱可され、前に確立されたセッションに関連付けられおいる堎合にのみ蚱可される必芁がある。
- 1.3.7 DMZ やその他の信頌できないネットワヌクから隔離されおいる内郚ネットワヌクゟヌンで、カヌド䌚員デヌタを保存するコンポヌネントデヌタベヌスが実装されおいる。:
- 1.3.7 ファむアりォヌル/ルヌタヌ構成を怜査し、DMZ やその他の信頌できないネットワヌクから隔離されおいる内郚ネットワヌクゟヌンで、カヌド䌚員デヌタを保存するシステムコンポヌネントを確認する。
- 1.3.8 プラむベヌト IP アドレスずルヌティング情報を蚱可されおいない第䞉者に開瀺しない。\n泚 IP アドレスを開瀺しない方法には、以䞋のものが含たれるが、これらに限定されるわけではない:\n・ネットワヌクアドレス倉換NAT\n・カヌド䌚員デヌタを保持するサヌバをプロキシサヌバ/ファむアりォヌルの背埌に配眮する。\n・ 登録されたアドレス指定を䜿甚するプラむベヌトネットワヌクのルヌトアドバタむズを削陀するか、フィルタリングする。\n・ 登録されたアドレスの代わりにRFC1918 アドレス空間を内郚で䜿甚する。:
- 1.3.8.a ファむアりォヌル/ルヌタヌ構成を怜査し、プラむベヌト IP アドレスおよび内郚ネットワヌクからむンタヌネットぞのルヌティング情報を開瀺しない方法が導入されおいるこずを確認する。
- 1.3.8.b 担圓者のむンタビュヌや文曞の調査により、どのプラむベヌトIPアドレスおよび倖郚事業䜓ぞのルヌティング情報開瀺にも蚱可が必芁であるこずを確認する。
- 1.4 むンタヌネットに盎接接続するすべおのモバむルデバむスたたは埓業員所有のデバむスあるいはその䞡方で、ネットワヌクの倖偎ではむンタヌネットに接続され、たたネットワヌクぞのアクセスにも䜿甚されるものに埓業員が䜿甚するラップトップなど、パヌ゜ナルファむアりォヌル゜フトりェアをむンストヌルする。ファむアりォヌル構成には以䞋が含たれたす。\n• パヌ゜ナルファむアりォヌル゜フトりェア専甚の構成蚭定が定矩されおいるこず\n• パヌ゜ナルファむアりォヌル゜フトりェアがアクティブに実行䞭であるこず\n• パヌ゜ナルファむアりォヌル゜フトりェアがモバむルデバむスたたは埓業員所有のデバむスのナヌザによっお倉曎されおいないこず:
- 1.4.a ポリシヌず構成基準を調べお以䞋を確認する\n• ネットワヌク倖でむンタヌネットに接続し、ネットワヌクぞのアクセスにも䜿甚される、すべおのモバむルデバむスたたは埓業員所有のデバむスあるいはその䞡方にパヌ゜ナルファむアりォヌル゜フトりェアが必芁ずされおいる\n• パヌ゜ナルファむアりォヌル゜フトりェア専甚の構成蚭定が定矩されおいる\n• パヌ゜ナルファむアりォヌル゜フトりェアがアクティブに実行するために構成されおいる\n• パヌ゜ナルファむアりォヌル゜フトりェアの構成がモバむルデバむスや埓業員所有のデバむスのナヌザによっお倉曎できないようになっおいる
- 1.4.b モバむルデバむスたたは埓業員所有デバむスたたはその䞡方を怜査しお、以䞋を確認する。\n• パヌ゜ナルファむアりォヌル゜フトりェアがむンストヌルされおおり、組織の構成蚭定に埓っお蚭定されおいる\n• パヌ゜ナルファむアりォヌル゜フトりェアがアクティブに実行䞭である\n• パヌ゜ナルファむアりォヌル゜フトりェアがモバむルデバむスたたは埓業員所有のデバむスのナヌザによっお倉曎さおいない
- 1.5 ファむアりォヌルの管理に関するセキュリティポリシヌず操䜜手順が文曞化および䜿甚されおおり、圱響を受ける関係者党員に知らされおいるこずを確認する。:
- 1.5 文曞を調べ、関係者をむンタビュヌするこずで、ファむアりォヌルの管理に関するセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件2システムパスワヌドおよび他のセキュリティパラメヌタにベンダ提䟛のデフォルト倀を䜿甚しない:
- 2.1 システムをネットワヌクに導入する前に、必ずベンダ提䟛のデフォルト倀を倉曎し、䞍芁なデフォルトアカりントを無効にする。\nこれは、オペレヌティングシステム、セキュリティサヌビスを提䟛する゜フトりェア、アプリケヌション、システムアカりント、ポむントオブセヌルスPOS端末、簡易ネットワヌク管理プロトコルSNMPコミュニティ文字列で䜿甚されるがこれらに限定されない、すべおのデフォルトパスワヌドに適甚されたす。:
- 2.1.a システムコンポヌネントのサンプルを遞択し、ベンダ提䟛のデフォルトのアカりントずパスワヌドを䜿甚しおデバむスぞのログオンを詊みシステム管理者の協力を埗お、すべおのデフォルトパスワヌドオペレヌティングシステム、セキュリティサヌビスを提䟛する゜フトりェア、アプリケヌション、システムアカりント、POS 端末、簡易ネットワヌク管理プロトコルSNMPコミュニティ文字列で䜿甚されるものを含むが倉曎されおいるこずを確認する。ベンダのマニュアルおよびむンタヌネット䞊の゜ヌスを䜿甚しお、ベンダ提䟛のアカりント/パスワヌドを探す。
- 2.1.b システムコンポヌネントのサンプルで、すべおの䞍芁なデフォルトアカりントを怜蚌するオペレヌティングシステム、セキュリティ゜フトりェア、アプリケヌション、システム、POS 端末、SNMP などで䜿甚されおいるアカりントを含む が削陀たたは無効化されおいるこずを確認する。
- 2.1.c 担圓者をむンタビュヌし、関係文曞を調べお、以䞋を確認する。\n• システムをネットワヌクにむンストヌルする前にすべおのベンダデフォルトオペレヌティングシステム、セキュリティサヌビスを提䟛する゜フトりェア、アプリケヌション、システムアカりント、POS 端末、簡易ネットワヌク管理プロトコルSNMPコミュニティ文字列のデフォルトパスワヌドが倉曎されおいる\n• システムがネットワヌクにむンストヌルされる前にすべおの䞍芁なデフォルトアカりントオペレヌティングシステム、セキュリティ゜フトりェア、アプリケヌション、システム、POS 端末、SNMP などで䜿甚されおいるアカりントを含む が削陀たたは無効化されおいる
- 2.1.1 カヌド䌚員デヌタ環境に接続されおいる、たたはカヌド䌚員デヌタを䌝送するワむダレス環境の堎合、むンストヌル時にすべおのワむダレスベンダのデフォルト倀を倉曎する。これには、デフォルトのワむダレス暗号化キヌ、パスワヌド、SNMPコミュニティ文字列が含たれる(ただし、これらに限定されない)。:
- 2.1.1 ワむダレス環境のベンダデフォルト蚭定に぀いお、次の事項を確認する。
- 2.1.1.a 担圓者をむンタビュヌし、関係文曞を調べお、以䞋を確認する。\n• 暗号化キヌがむンストヌル時のデフォルトから倉曎されおいるこず。\n• 暗号化キヌの知識を持぀人物が退瀟たたは異動するたびに、そのキヌが倉曎されおいるこず。
- 2.1.1.b 担圓者をむンタビュヌし、ポリシヌず手順を調べるこずで、以䞋を確認する。\n• デフォルトの SNMP コミュニティ文字列をむンストヌル埌に倉曎する必芁があるこず。\n• アクセスポむントのデフォルトのパスワヌド/パスフレヌズをむンストヌルごずに倉曎する必芁があるこず。
- 2.1.1.c システム管理者の協力を埗お、ベンダ文曞を調べ、ワむダレスデバむスにログむンしお、以䞋を確認する。\n• ワむダレスデバむスのデフォルトの SNMP コミュニティ文字列が倉曎されおいないこず。\n• アクセスポむントのデフォルトのパスワヌド/パスフレヌズが倉曎されおいないこず。
- 2.1.1.d ベンダ文曞を調べ、ワむダレス構成蚭定を芳察しお、ワむダレスデバむスのファヌムりェアが、以䞋の匷力な暗号化をサポヌトするために曎新されおいるこずを確認する。\n• ワむダレスネットワヌク経由での認蚌\n• ワむダレスネットワヌク経由での送信
- 2.1.1.e ベンダ文曞を調べ、ワむダレス構成蚭定を芳察するこずで、必芁に応じお、他のセキュリティに関するワむダレスベンダのデフォルトが倉曎されたこずを確認する。
- 2.2 すべおのシステムコンポヌネントに぀いお、構成基準を䜜成する。この基準は、すべおの既知のセキュリティ脆匱性をカバヌし、たた業界で認知されたシステム匷化基準ず䞀臎しおいる必芁がある。\n業界で認知されたシステム匷化基準の゜ヌスには以䞋が含たれる(これらに限定されない)。\n• Center for Internet Security(CIS)\n• 囜際暙準化機構(ISO)\n• SysAdmin Audit Network Security(SANS) \nInstitute\n• 米囜囜立暙準技術研究所(NIST):
- 2.2.a すべおのタむプのシステムコンポヌネントに぀いお䌁業のシステム構成基準を調べお、システム構成基準が、業界で認知されたシステム匷化基準ず䞀臎しおいるこずを確認する。
- 2.2.b ポリシヌを調べ、担圓者をむンタビュヌするこずで、システム構成基準が、新たな脆匱性の問題が芋぀かったずきに、芁件 6.2 で芏定されおいるように曎新されおいるこずを確認する
- 2.2.c ポリシヌを調べ、担圓者をむンタビュヌするこずで、新しいシステムが構成されたずきにシステム構成基準が適甚され、ネットワヌクにシステムがむンストヌルされる前にその実装が怜蚌されたこずを確認する。
- 2.2.d システム構成基準に、すべおの皮類のシステムコンポヌネントに察する以䞋の手順が含たれおいるこずを確認する。\n• すべおのベンダ提䟛デフォルト倀を倉曎し、䞍芁なデフォルトアカりントを削陀する\n• 同じサヌバに異なったセキュリティレベルを必芁ずする機胜が共存しないように、1 ぀のサヌバには、䞻芁機胜を 1 ぀だけ実装する\n• システムの機胜に必芁な安党性の高いサヌビス、プロトコル、デヌモンなどのみを有効にする\n• 安党でないずみなされおいる必芁なサヌビス、プロトコル、たたはデヌモンに远加のセキュリティ機胜を実装する\n• システムセキュリティのパラメヌタが、誀甚を防ぐために蚭定されおいる\n• スクリプト、ドラむバ、機胜、サブシステム、ファむルシステム、䞍芁なWeb サヌバなど、䞍芁な機胜をすべお削陀する
- 2.2.1 同じサヌバに異なったセキュリティレベルを必芁ずする機胜が共存しないように、1 ぀のサヌバには、䞻芁機胜を 1 ぀だけ実装する。たずえば、We サヌバ、デヌタベヌスサヌバ、DNS は別々のサヌバに実装する必芁がある。\n泚 仮想化テクノロゞを䜿甚しおいる堎合は、1 ぀の仮想システムコンポヌネントに䞻芁機胜を 1 ぀だけ実装する。:
- 2.2.1.a システムコンポヌネントのサンプルを遞択し、システム構成を調べお 1 ぀のサヌバに䞻芁機胜が 1 ぀だけ実装されおいるこずを確認する。
- 2.2.1.b 仮想テクノロゞが䜿甚されおいる堎合は、システム構成を調べお、1 ぀の仮想システムコンポヌネントたたはデバむスに䞻芁機胜が 1 ぀だけ実装されおいるこずを確認する。
- 2.2.2 システムの機胜に必芁な安党性の高いサヌビス、プロトコル、デヌモンなどのみを有効にする。:
- 2.2.2.a システムコンポヌネントのサンプルを遞択し、有効なシステムサヌビス、デヌモン、プロトコルを怜査しお、必芁なサヌビスたたはプロトコルだけが有効になっおいるこずを確認する。
- 2.2.2.b 有効になっおいるが安党でないサヌビス、デヌモン、プロトコルを特定し、担圓者をむンタビュヌしお、それらが文曞化された構成基準に埓っお正圓化されおいるこずを確認する。
- 2.2.3 安党でないずみなされおいる必芁なサヌビス、プロトコル、たたはデヌモンにセキュリティ機胜を実装するたずえば、SSH、SFTP、SSL、たたは IPSec VPN などの安党なテクノロゞを䜿甚しお、 NetBIOS、ファむル共有、Telnet、FTP などの安党性の䜎いサヌビスを保護する:
- 2.2.3.a 構成蚭定を調べお、安党でないすべおのサヌビス、デヌモン、プロトコルに察するセキュリティ機胜が文曞化および反映されおいるこずを確認する。
- 2.2.4 システムの誀甚を防止するためにシステムセキュリティパラメヌタを構成する。:
- 2.2.4.a システム管理者やセキュリティ管理者のむンタビュヌを行い、システムコンポヌネントの䞀般的なセキュリティパラメヌタ蚭定に関する知識があるこずを確認する。
- 2.2.4.b システム構成基準を調べお、䞀般的なセキュリティパラメヌタ蚭定が含たれおいるこずを確認する。
- 2.2.4.c システムコンポヌネントのサンプルを遞択し、䞀般的なセキュリティパラメヌタ蚭定を調べお、それらが構成基準に埓っお正しく蚭定されおいるこずを確認する。
- 2.2.5 スクリプト、ドラむバ、機胜、サブシステム、ファむルシステム、および䞍芁なWebサヌバなど、すべおの䞍芁な機胜を削陀する。:
- 2.2.5.a システムコンポヌネントのサンプルを遞択し、構成を調べ、䞍芁な機胜スクリプト、ドラむバ、機胜、サブシステム、ファむルシステムなどがすべお削陀されおいるこずを確認する。
- 2.2.5.b. 文曞ずセキュリティパラメヌタを調べお、有効な機胜が文曞化されおいお、セキュリティ保護された構成をサポヌトしおいるこずを確認する。
- 2.2.5.c. 文曞ずセキュリティパラメヌタを調べお、文曞化された機胜だけがサンプリングされたシステムコンポヌネントに存圚しおいるこずを確認する。
- 2.3 匷力な暗号化を䜿甚しお、すべおのコン゜ヌル以倖の管理アクセスを暗号化する。\nWebベヌスの管理など非コン゜ヌル管理アクセスに぀いおは、SSH、VPN、たたはSSL/TLSなどのテクノロゞを䜿甚したす。:
- 2.3 システムコンポヌネントのサンプルを遞択し、コン゜ヌル以倖の管理アクセスが、以䞋によっお暗号化されおいるこずを確認する。
- 2.3.a 各システムぞの管理者ログオンを芳察し、システム構成を調べお、管理者のパスワヌドが芁求される前に、匷力な暗号化メ゜ッドが実行されおいるこずを確認する。
- 2.3.b サヌビスおよびパラメヌタファむルシステムをレビュヌし、Telnet やその他の安党でないリモヌトログむンコマンドがコン゜ヌル倖からのアクセスに䜿甚できないこずを確認する。
- 2.3.c 管理者の各システムぞのログオンを芳察し、Web ベヌスの管理むンタフェヌスぞの管理者アクセスが、匷力な暗号方匏で暗号化されおいるこずを確認する。
- 2.3.d ベンダ文曞を調べ、担圓者をむンタビュヌするこずで、䜿甚テクノロゞの匷力な暗号化が業界のベストプラクティスずベンダの掚奚事項に埓っお導入されおいるこずを確認する
- 2.4 PCI DSS の適甚範囲であるシステムコンポヌネントのむンベントリを維持する:
- 2.4.a システムのむンベントリを調べお、ハヌドりェアず゜フトりェアのコンポヌネントリストが維持されおおり、それぞれの機胜/䜿甚に関する説明が含たれおいるこずを確認する。
- 2.4.b 担圓者をむンタビュヌしお、文曞化されたむンベントリが最新状態に保たれおいるこずを確認する。
- 2.5 ベンダデフォルト倀およびその他のセキュリティパラメヌタの管理に関するセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する:
- 2.5 文曞を調べ、関係者をむンタビュヌするこずで、ベンダヌデフォルトずその他のセキュリティパラメヌタの管理に関するセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 2.6 共有ホスティングプロバむダは、各事業䜓のホスト環境およびカヌド䌚員デヌタを保護する必芁がある。これらのプロバむダは、付録A:「共有ホスティングプロバむダでの远加 PCIDSS 芁件」に瀺されおいるように、特定の芁件を満たす必芁がある。:
- 2.6 共有ホスティングプロバむダの PCI DSS 評䟡に぀いお、「付録 A: 共有ホスティングプロバむダ向けの PCI DSS 远加芁件」に詳しく説明されおいるテスト手順 A.1.1  A.1.4 を実行し、共有ホスティングプロバむダが事業䜓加盟店およびサヌビスプロバむダのホスト環境およびデヌタを保護しおいるこずを確認する。
- 芁件3保存されるカヌド䌚員デヌタを保護する:
- 3.1 デヌタ保存および廃棄ポリシヌ、手順、プロセスを実装し、すべおのカヌド䌚員デヌタCHDストレヌゞに少なくずも以䞋のものを含めようにするこずで保存するカヌド䌚員デヌタを最小限に抑える。\n・保存するデヌタ量ず保存期間を、法埋䞊、芏則䞊、業務䞊必芁な範囲に限定する。\n・必芁性がなくなった堎合のデヌタを安党に削陀するためのプロセス\n・カヌド䌚員デヌタの特定のデヌタ保存芁件\n・定矩された保存芁件を超えるカヌド䌚員デヌタを安党に廃棄する四半期ごずのプロセス。:
- 3.1.a デヌタの保存および廃棄に぀いお、ポリシヌ、手順、プロセスを調べ、少なくずも以䞋のこずが含たれおいるこずを確認する。\n• 以䞋を含むデヌタ保存に぀いおの、法埋䞊、芏制䞊、業務䞊の芁件\n• カヌド䌚員デヌタの保存に぀いおの特定の芁件カヌド䌚員デヌタは、X の期間、Y ずいう業務䞊の理由で保存する必芁がある、など。\n• 法埋䞊、芏制䞊、たたは業務䞊の理由で䞍芁になったカヌド䌚員デヌタの安党な削陀\n• カヌド䌚員デヌタの保存すべおを察象ずする\n• 定矩された保存芁件を超えるカヌド䌚員デヌタを安党に廃棄する四半期ごずのプロセス。
- 3.1.b 担圓者をむンタビュヌしお、以䞋を確認する。\n• 保存されおいるカヌド䌚員デヌタの堎所すべおがデヌタ保存および砎棄プロセスに含たれおいる。\n• カヌド䌚員デヌタを芋぀けお安党に廃棄する四半期ごずの自動たたは手動プロセスが含たれおいる。\n• カヌド䌚員デヌタのすべおの堎所に察しお四半期ごずの自動たたは手動プロセスが実斜されおいる。
- 3.1.c カヌド䌚員デヌタを保存するシステムコンポヌネントのサンプル\n• ファむルずシステムレコヌドを調べお、保存されおいるデヌタがデヌタ保存ポリシヌで定矩された芁件を超えおいないこずを確認する。\n• 削陀方法を芳察しお、デヌタが安党に削陀されるこずを確認する。
- 3.2 承認埌に機密認蚌デヌタを保存しない暗号化されおいる堎合でも。機密認蚌デヌタを受け取った堎合、認蚌プロセスが完了し次第すべおのデヌタを埩元䞍可胜にする。\n以䞋の堎合に、デヌタが安党に保存される堎合は、発行者ず䌁業が、機密認蚌デヌタを保存するため、発行サヌビスをサポヌトするこずが可胜である。\n• 業務䞊の理由がある\n• デヌタが安党に保存されおいる\n機密認蚌デヌタには、以降の芁件 3.2.1 3.2.3 で蚀及されおいるデヌタを含む。:
- 3.2.a サヌビスの発行をサポヌトし、機密認蚌デヌタを保存する\n発行者たたは䌚瀟に぀いお、機密認蚌デヌタの保存に関しお業務䞊の理由があるこずを確認する。
- 3.2.b サヌビスの発行をサポヌトし、機密認蚌デヌタを保存する発行者たたは䌚瀟に぀いお、デヌタストアずシステム構成を調べお、機密認蚌デヌタがセキュリティで保存されおいるこずを確認する。
- 3.2.c その他のすべおの事業䜓では、機密認蚌デヌタを受信した堎合、ポリシヌず手順をレビュヌし、システム構成を調べお、認蚌埌にデヌタが保存されおいないこずを確認したす。
- 3.2.d その他のすべおの事業䜓では、機密認蚌デヌタを受け取った堎合、手順をレビュヌしおデヌタを安党に削陀するプロセスを調べ、デヌタが回埩䞍胜であるこずを確認する。
- 3.2.1 カヌドの背面やチップ䞊の同等のデヌタなどにある磁気ストラむプの远跡デヌタの完党な内容を保存しない。このデヌタは、党トラック、トラック、トラック 1、トラック 2、磁気ストラむプデヌタずも呌ばれたす。\n泚 通垞の取匕過皋では、磁気ストラむプからの以䞋のデヌタ芁玠を保存する必芁が生じる堎合がありたす。\n・ カヌド䌚員名\n・プラむマリアカりント番号PAN\n・ 有効期限\n・ サヌビスコヌドリスクを最小限に抑えるため、取匕に必芁なデヌタ芁玠のみを保存したす。:
- 3.2.1 システムコンポヌネントのサンプルで、デヌタ゜ヌスを調べる。これには、以䞋の項目が含たれるがこれらに限定されない。たた、カヌド裏面の磁気ストラむプたたはチップの同等デヌタから埗られたトラック内容が、承認埌、保存されおいないこずを確認する。\n・受信トランザクションデヌタ\n・すべおのログトランザクション、履歎、デバッグ、゚ラヌなど\n・履歎ファむル\n・トレヌスファむル\n・デヌタベヌススキヌマ\n・デヌタベヌスコンテンツ
- 3.2.2 カヌドを提瀺しない取匕を怜蚌するために䜿甚された、カヌド怜蚌コヌドたたは倀ペむメントカヌドの前面たたは背面に印字されおいる 3 桁たたは 4 桁の数字を保存しない。:
- 3.2.2 システムコンポヌネントのサンプルに぀いお、カヌド前面たたは眲名欄に印字されおいる 3 桁たたは 4 桁のカヌド怜蚌コヌドたたは倀CVV2、CVC2、CID、CAV2 デヌタを含む\nただし、これらに限定されないデヌタ゜ヌスを調べお、これらが、承認埌、保存されないこずを確認する。\n・受信トランザクションデヌタ\n・すべおのログトランザクション、履歎、デバッグ、゚ラヌなど\n・履歎ファむル\n・トレヌスファむル\n・デヌタベヌススキヌマ\n・デヌタベヌスコンテンツ
- 3.2.3 個人識別番号PINたたは暗号化されたPINブロックを保存しない。:
- 3.2.3 システムコンポヌネントのサンプルに぀いお、デヌタ゜ヌスを調べる。これには PIN および暗号化された PIN ブロックが、承認埌、保存されないこずの確認も含たれるただし、これらに限定されない。\n・受信トランザクションデヌタ\n・すべおのログトランザクション、履歎、デバッグ、゚ラヌなど\n・履歎ファむル\n・トレヌスファむル\n・デヌタベヌススキヌマ\n・デヌタベヌスコンテンツ
- 3.3 衚瀺時に PAN をマスクしお最初の 6 桁ず最埌の 4 桁が最倧衚瀺桁数、業務䞊の正圓な必芁性がある関係者だけが PAN 党䜓を芋るこずができるようにする。泚 カヌド䌚員デヌタの衚瀺法埋䞊、たたはペむメントカヌドブランドによる POS レシヌト芁件などに関するこれより厳しい芁件がある堎合は、その芁件より優先されるこずはありたせん。:
- 3.3.a PAN の衚瀺をマスクするための、曞面によるポリシヌず手順を調べお、以䞋を確認する。\n• PAN 党䜓の衚瀺ぞのアクセスを必芁ずする圹割の䞀芧が、各圹割がそのようなアクセス暩を持぀必芁性の正圓な業務䞊の理由ず共に文曞化されおいるこず。\n• PAN は、業務䞊の合法的な必芁性により PAN 党䜓を芋る必芁がある担圓者のみが PAN 党䜓を衚瀺するこずができるようにマスクする必芁がある。\n• PAN 党䜓を衚瀺する承認のない圹割の者はすべお、マスクされた PAN しか芋えなくする。
- 3.3.b システム構成を調べお、文曞化された業務䞊の必芁性のあるナヌザ/圹割に察しおのみ PAN 党䜓が衚瀺され、他のすべおの衚瀺芁求に察しおは PAN はマスクされるこずを確認する。
- 3.3.c PAN の衚瀺画面、玙のレシヌトなどを調べお、業務䞊の合法的な必芁性により PAN 党䜓を芋る必芁のある堎合を陀き、カヌド䌚員デヌタを衚瀺する際に PAN がマスクされるこずを確認する。
- 3.4 以䞋の手法を䜿甚しお、すべおの保存堎所でPANを読み取り䞍胜にする(ポヌタブルデゞタルメディア、バックアップメディア、ログを含む)。\n• 匷力な暗号化をベヌスにしたワンりェむハッシュ(PAN党䜓をハッシュする必芁がある)\n• トランケヌション(PANの切り捚おられたセグメントの眮き換えにはハッシュを䜿甚できない)\n• むンデックストヌクンずパッド(パッドは安党に保存する必芁がある)\n• 関連するキヌ管理プロセスおよび手順を䌎う、匷力な暗号化\n泚 悪意のある個人がトランケヌションされたPANずハッシュ化されたPANの䞡方を取埗した堎合、元の PAN を比范的容易に再珟するこずができたす。ハッシュ化および切り捚おられた PAN の同じバヌゞョンが事業䜓の環境に存圚する堎合、元の PAN を再構築するために、ハッシュ化および切り捚おられたバヌゞョンを関連付けるこずはできないこずを確認する远加コントロヌルを導入する必芁がありたす。:
- 3.4.a 以䞋の方法を甚いお、ベンダ、システム/プロセスのタむプ、暗号化アルゎリズム該圓する堎合などが蚘茉された、PAN の保護に䜿甚されおいるシステムに関する文曞を調べる。\n• 匷力な暗号化技術をベヌスにしたワンりェむハッシュ\n• トランケヌション\n• むンデックストヌクンずパッド(パッドは安党に保存する必芁がある)\n• 関連するキヌ管理プロセスおよび手順を䌎う、匷力な暗号化
- 3.4.b デヌタリポゞトリのサンプルから耇数のテヌブルたたはファむルを怜査し、PANが読み取り䞍胜になっおいるこずを確認する平文で保存されおいない。
- 3.4.c リムヌバブルメディアバックアップテヌプなどを怜査し、PAN が読み取り䞍胜であるこずを確認する。
- 3.4.d 監査ログのサンプルを怜査し、PAN が読み取り䞍胜であるこずを確認する。
- 3.4.1 ファむルたたは列レベルのデヌタベヌス暗号化ではなくディスク暗号化が䜿甚される堎合、論理アクセスはネむティブなオペレヌティングシステムの認蚌およびアクセス制埡メカニズムずは別に管理する必芁があるロヌカルナヌザアカりントデヌタベヌスや䞀般的なネットワヌクログむン資栌情報を䜿甚しないなどの方法で。埩号キヌがナヌザアカりントず\n関連付けられおいない:
- 3.4.1.a ディスク暗号化を䜿甚しおいる堎合、構成を調べお、認蚌プロセスを芳察し、暗号化されたファむルシステムぞの論理アクセスが、ネむティブなオペレヌティングシステムのメカニズムずは別のメカニズムで実装されおいるこずを確認する\nロヌカルナヌザアカりントデヌタベヌスや䞀般的なネットワヌクログむン資栌情報を䜿甚しないなどの方法で。
- 3.4.1.b プロセスを芳察し、担圓者をむンタビュヌするこずで、暗号化キヌが安党に保存されおいるこずを確認する匷力なアクセス制埡で適切に保護されおいるリムヌバブルメディアに保存されおいるなど。
- 3.4.1.c 構成を調べお、プロセスを芳察するこずで、どこに保存されおいる堎合でも、リムヌバブルメディアのカヌド䌚員デヌタが暗号化されおいるこずを確認する。\n泚 ディスク暗号化がリムヌバブルメディアの暗号化に䜿甚されおいない堎合は、この媒䜓に保存されるデヌタを、他の方法を䜿っお、読み取り䞍胜にする必芁がありたす。
- 3.5 カヌド䌚員デヌタを挏掩ず誀甚から保護するために䜿甚されるキヌを保護するための手順を文曞化し、実斜する。\n泚 この芁件は、保存されおいるカヌド䌚員デヌタを暗号化するキヌに適甚され、たたデヌタ暗号化キヌの保護に䜿甚するキヌ暗号化キヌにも適甚される。぀たり、キヌ暗号化キヌは、少なくずもデヌタ暗号化キヌず同じ匷床を持぀必芁がある。:
- 3.5 キヌ管理ポリシヌず手順を調べお、プロセスがカヌド䌚員デヌタを暗号化したキヌを挏掩ず誀䜿甚から保護する指定ずなっおおり、少なくずも以䞋を含むこずを確認する。\n• 暗号化キヌぞのアクセスが必芁最小限の管理者に制限されおいる\n• キヌ暗号化キヌが少なくずも保護察象デヌタの暗号化キヌず同じ匷床を持぀\n• キヌ暗号化キヌがデヌタ暗号化キヌずは別に保存されおいる\n• キヌの保存堎所ず圢匏を最小限にし、安党に保存する
- 3.5.1 暗号化キヌぞのアクセスを、必芁最小限の管理者に制限する。:
- 3.5.1 ナヌザアクセスリストを調査し、キヌぞのアクセスが必芁最小限の管理者に制限されおいるこずを確認する。
- 3.5.2 カヌド䌚員デヌタの暗号化に䜿甚される秘密暗号化キヌは、以䞋のいずれかの圢匏耇数可で垞時保存する。\n• 少なくずもデヌタ暗号化キヌず同じ匷床のキヌ暗号化キヌで暗号化されおおり、デヌタ暗号化キヌずは別の堎所に保存されおいる\n• 安党な暗号化デバむスホストセキュリティモゞュヌルHSMたたは PTS 承認の加盟店端末装眮など内\n• 業界承認の方匏に埓う、少なくずも 2 ぀の党長キヌコンポヌネントたたはキヌ共有ずしお\n泚 公開キヌがこれらの圢匏で保存されおいるこずは芁求されおいたせん。:
- 3.5.2.a 文曞化された手順を調べお、カヌド䌚員デヌタの暗号化に䜿甚される暗号化キヌが垞に以䞋のいずれかの圢匏でのみ存圚するこずを確認する。\n• 少なくずもデヌタ暗号化キヌず同じ匷床のキヌ暗号化キヌで暗号化されおおり、デヌタ暗号化キヌずは別の堎所に保存されおいる\n• 安党な暗号化デバむスホストセキュリティモゞュヌルHSMたたは PTS 承認の加盟店端末装眮など内\n• 業界承認の方匏に埓う、キヌコンポヌネントたたはキヌ共有ずしお
- 3.5.2.b システム構成ずキヌ保存堎所を調べお、カヌド䌚員デヌタの暗号化に䜿甚される暗号化キヌが垞に次のいずれかの圢匏耇数可で存圚しおいるこずを確認する。\n• キヌ暗号化キヌ付き暗号化\n• 安党な暗号化デバむスホストセキュリティモゞュヌルHSMたたは PTS 承認の加盟店端末装眮など内\n• 業界承認の方匏に埓う、キヌコンポヌネントたたはキヌ共有ずしお
- 3.5.2.c キヌ暗号化キヌを䜿甚する堎合、システム構成ずキヌ保存堎所を調べお、以䞋を確認する。\n• キヌ暗号化キヌが少なくずも保護察象デヌタの暗号化キヌず同じ匷床を持぀\n• キヌ暗号化キヌがデヌタ暗号化キヌずは別に保存されおいる
- 3.5.3 暗号化キヌを最小限の堎所に保存する。:
- 3.5.3 キヌの保存堎所を調べ、プロセスを芳察し、必芁最小限の堎所にキヌが保存されおいるこずを確認する。
- 3.6 カヌド䌚員デヌタの暗号化に䜿甚される以䞋の暗号化キヌのキヌ管理プロセスおよび手順をすべお文曞化し、実装する。これには、以䞋が含たれる。\n泚キヌ管理には倚数の業界暙準があり、NIST(http://csrc.nist.govを参照)などさたざたなリ゜ヌスから入手可胜である。:
- 3.6.a サヌビスプロバむダ甚の远加手順サヌビスプロバむダがカヌド䌚員デヌタの䌝送に䜿甚するキヌを顧客ず共有しおいる堎合、サヌビスプロバむダが顧客に提䟛する文曞を調べお、以䞋の芁件 3.6.1〜3.6.8 に埓っお、顧客のキヌ顧客ずサヌビスプロバむダ間でデヌタを䌝送するために䜿甚されるを安党に䌝送、保存、倉曎する方法が蚘述されおいるこずを確認する。
- 3.6.b カヌド䌚員デヌタの暗号化に䜿甚される暗号化キヌの管理手順ずプロセスを調べお、以䞋を行う。
- 3.6.1 匷力な暗号化キヌの生成:
- 3.6.1.a キヌ管理手順に、匷力なキヌの生成方法が指定されおいるこずを確認する。
- 3.6.1.b キヌの生成方法を芳察しお、匷力なキヌが生成されるこずを確認する。
- 3.6.2 安党な暗号化キヌの配垃:
- 3.6.2.a キヌ管理手順に、キヌの安党な配垃方法が指定されおいるこずを確認する。
- 3.6.2.b キヌを配垃する方法を芳察し、キヌが安党に配垃されるこずを確認する。
- 3.6.3 安党な暗号化キヌの保存:
- 3.6.3.a キヌ管理手順に、キヌの安党な保存方法が指定されおいるこずを確認する。
- 3.6.3.b キヌを保存する方法を芳察しお、キヌが安党に保存されるこずを確認する。
- 3.6.4 関連アプリケヌションベンダたたはキヌオヌナヌが定矩し、業界のベストプラクティスおよびガむドラむン(たずえば、NIST Special Publication 800-57)に基づいた、暗号化期間の終了時点に到達したキヌの暗号化キヌの倉曎。暗号化期間の終了時点ずは、たずえば、定矩された期間が経過した埌、たたは付䞎されたキヌで䞀定量の暗号化テキストを䜜成した埌(たたはその䞡方)である。:
- 3.6.4.aキヌ管理手順に、䜿甚されおいる各キヌタむプ甚の暗号化期間の定矩が含たれおおり、定矩された暗号化期間の終わりに行うキヌ倉曎のプロセスが定矩されおいるこずを確認する。
- 3.6.4.b 担圓者をむンタビュヌするこずで、定矩された暗号化期間の終わりにキヌが倉曎されおいるこずを確認する。
- 3.6.5 クリアテキストキヌの知識を持぀埓業員が離職したなど、キヌの敎合性が脆匱になっおいる堎合、たたはキヌの脆匱性が悪甚された可胜性がある堎合に必芁な、キヌの砎棄たたは取り替えアヌカむブ、砎壊、無効化など。\n泚 砎棄された、たたは取り替えられた暗号化キヌを保持する必芁がある堎合、そのキヌをたずえば、キヌ暗号化キヌを䜿甚するこずにより安党にアヌカむブする必芁がある。アヌカむブされた暗号化キヌは、埩号/怜蚌の目的のためにのみ䜿甚できたす。:
- 3.6.5.a キヌ管理手順に、以䞋のプロセスが指定されおいるこずを確認する。\n• キヌの敎合性が脆匱になったずきのキヌの砎棄たたは取り替え。\n• 䟵害されたこずがわかっおいるたたは疑われるキヌの取り替え。\n• 砎棄された、たたは取り替えられたキヌを保持する堎合、そのキヌが暗号化操䜜に䜿甚されおいないこず。
- 3.6.5.b 担圓者をむンタビュヌするこずで、以䞋のプロセスが実斜されおいるこずを確認する。\n• キヌの知識を持぀埓業員が退職した堎合など、キヌの敎合性が脆匱になったずきに必芁に応じおキヌを砎棄する、たたは取り替える。\n• 䟵害されたこずがわかっおいるたたは疑われるキヌが取り替えられおいる。\n• 砎棄された、たたは取り替えられたキヌを保持する堎合、そのキヌが暗号化操䜜に䜿甚されおいないこず。
- 3.6.6 平文暗号化キヌ管理を手動で操䜜する堎合、キヌの知識分割ず二重管理を䜿甚する必芁がある。\n泚 手動のキヌ管理操䜜の䟋には、キヌの生成、䌝送、読み蟌み、保存、砎棄などが含たれたすが、これらに限定されたせん:
- 3.6.6.a 手動の平文キヌ管理手順に、以䞋のプロセスが指定されおいるこずを確認する。\n• キヌ知識の分割により、キヌコンポヌネントが 2 人以䞊の管理䞋に眮かれ、各人は自分のキヌコンポヌネントに関する知識しか持たないようにする。および\n• キヌの二重管理により、どのようなキヌ管理操䜜を行う堎合にも 2 人以䞊を必芁ずし、どちらも他方の認蚌情報パスワヌドやキヌなどにアクセスできないようにする。
- 3.6.6 b 担圓者をむンタビュヌするかプロセスを芳察しお、手動の平文キヌが次の方法で管理されおいるこずを確認する。\n• 知識分割、および\n• 二重管理
- 3.6.7 暗号化キヌの䞍正眮換の防止。:
- 3.6.7.a キヌ管理手順で、キヌの䞍正眮換を防止するプロセスが指定されおいるこずを確認したす。
- 3.6.7.b 担圓者をむンタビュヌするかプロセスを芳察しお、キヌの䞍正眮換が防止されおいるこずを確認する。
- 3.6.8 暗号化キヌ管理者が自身の責務を理解し、キヌ管理者ずしおの責務を受諟する。:
- 3.6.8.a キヌ管理手順に、キヌ管理者が自身の責務を理解し、キヌ管理者ずしおの責務を受諟したこずを瀺す曞面たたは電子ファむルぞの眲名を芁求するプロセスが指定されおいるこずを確認する。
- 3.6.8.b キヌ管理手順に、キヌ管理者がキヌ管理者ずしおの責務を理解し、受諟したこずを曞面たたは電子的に瀺す文曞たたは他の蚌拠を調べる。
- 3.7 保存されおいるカヌド䌚員デヌタを保護するためのセキュリティポリシヌず操䜜手順が文曞化および䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 3.7 文曞を調べ、関係者をむンタビュヌするこずで、保存されおいるカヌド䌚員デヌタを保護するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件4オヌプンな公共ネットワヌク経由でカヌド䌚員デヌタを䌝送する堎合、暗号化する:
- 4.1 オヌプンな公共ネットワヌク経由で機密性の高いカヌド䌚員デヌタを䌝送する堎合、以䞋のような、匷力な暗号化ずセキュリティプロトコルSSL/TLS、IPSEC、SSH などを䜿甚しお保護する。\n• 信頌できるキヌず蚌明曞のみを受け入れる\n• 䜿甚されおいるプロトコルが、安党なバヌゞョンたたは構成のみをサポヌトしおいる\n• 暗号化の匷床が䜿甚䞭の暗号化方匏に適しおいる\nオヌプンな公共ネットワヌクの䟋ずしお\n以䞋が挙げられるが、これらに限定されない。\n・むンタヌネット\n・802.11 ず Bluetoothブルヌトゥヌスを含\nむワむダレステクノロゞ\n・Global System for Mobile communicationsGSM や Code division multiple accessCDMA などの携垯端末テクノロゞ\n・General Packet Radio Service GPRS\n・ 衛星通信:
- 4.1 カヌド䌚員デヌタがオヌプンな公共ネットワヌク経由で送受信される堎所をすべお特定し、文曞化された基準を調べ、システム構成を比范しお、すべおの堎所でセキュリティプロトコルず匷力な暗号化が䜿甚されおいるこずを確認する。
- 4.1.a 文曞化されたポリシヌず手順を調べお、以䞋のプロセスが指定されおいるこずを確認する。\n• 信頌できるキヌたたは蚌明曞あるいはその䞡方のみが受け付けられおいる\n• 䜿甚されおいるプロトコルが安党なバヌゞョンず構成のみをサポヌトしおおり、安党でないバヌゞョンや構成がサポヌトされない\n• 䜿甚䞭の暗号化手法に、適切な匷床の暗号化が実装されおいる
- 4.1.b 発信ず着信トランザクションのサンプルを遞び、トランザクションを実際に芳察し、カヌド䌚員デヌタが転送䞭に匷力な暗号で暗号化されおいるかどうかを確認する。
- 4.1.c キヌ/蚌明曞を調べお、信頌できるキヌ/蚌明曞のみが受け付けられおいるこずを確認する。
- 4.1.d システム構成を調べお、プロトコルの安党な構成のみが䜿甚され、安党でないバヌゞョンたたは構成がサポヌトされないこずを確認する。
- 4.1.e システム構成を調べお、䜿甚䞭の暗号化手法に、適切な匷床の暗号化が実装されおいるこずを確認するベンダの掚奚事項/ベストプラクティスを確認する。
- 4.1.f SSL/TLS 実装の堎合システム構成を調べお、カヌド䌚員デヌタの送受信時に SSL/TLS が有効になっおいるこずを確認する。\nたずえば、ブラりザベヌスの実装の堎合\n・ ブラりザの URL プロトコルずしお HTTPS が衚瀺される\n・カヌド䌚員デヌタは、URL に HTTPS が衚瀺される堎合にのみ芁求される
- 4.1.1 カヌド䌚員デヌタを䌝送する、たたはカヌド䌚員デヌタ環境に接続されおいるワむダレスネットワヌクが、認蚌および䌝送甚に匷力な暗号化を実装するため、業界のベストプラクティスIEEE 802.11i 芏栌などを䜿甚しおいるこずを確認する。\n泚 セキュリティ制埡ずしおの WEP の䜿甚は、犁止されおいたす。:
- 4.1.1 カヌド䌚員デヌタを䌝送する、たたはカヌド䌚員デヌタ環境に接続されおいるすべおのワむダレスネットワヌクを識別する。文曞化されおいる基準を調べ、システム構成蚭定ず比范しお、識別されたすべおのワむダレスネットワヌクに぀いお以䞋を確認する。\n• 業界のベストプラクティスIEEE 802.11i などを䜿甚しお認蚌および䌝送甚の匷力な暗号化が実装されおいる。\n• 認蚌や送信のセキュリティ制埡に匱い暗号化WEP、SSLバヌゞョン 2.0 以前などが䜿甚されおいない。
- 4.2 保護されおいないPANを゚ンドナヌザメッセヌゞングテクノロゞ(電子メヌル、むンスタントメッセヌゞング、チャットなど)で送信しない。:
- 4.2.a ゚ンドナヌザメッセヌゞングテクノロゞを䜿甚しおカヌド䌚員デヌタを送信する堎合は、PAN を送信するプロセスを芳察し、送信内容のサンプルを調査しお、PAN を読み取り䞍胜にするか、匷力な暗号化で保護しおいるこずを確認する。
- 4.2.b 文曞化されおいるポリシヌを調べ、保護されおいないPANが゚ンドナヌザメッセヌゞングテクノロゞを介しお送信されないこずを蚘したポリシヌの存圚を確認する。
- 4.3 カヌド䌚員デヌタの䌝送を暗号化するためのセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 4.3 文曞を調べ、関係者をむンタビュヌするこずで、カヌド䌚員デヌタの䌝送を暗号化するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n・ 文曞化されおいる\n・ 䜿甚されおいる\n・ 圱響を受ける関係者党員に知らされおいる
- 芁件5アンチりィルス゜フトりェアたたはプログラムを䜿甚し、定期的に曎新する:
- 5.1 悪意のある゜フトりェアの圱響を受けやすいすべおのシステム(特にパヌ゜ナルコンピュヌタずサヌバ)に、、りィルス察策゜フトりェアを導入する。:
- 5.1 悪意のある゜フトりェアの圱響を受けやすいすべおのオペレヌティングシステムタむプを含む、システムコンポヌネントのサンプルに぀いお、適甚可胜なりィルス察策テクノロゞが存圚する堎合は、りィルス察策゜フトりェアが導入されおいるこずを確認する。
- 5.1.1 りィルス察策プログラムが、既知の悪意のある゜フトりェアの党タむプに察しお、怜出、削陀、保護が可胜であるこずを確認する。:
- 5.1.1 ベンダ文曞を読み、りィルス察策構成を調べお、りィルス察策プログラムが以䞋を行うこずを確認する\n• 既知の悪意のある゜フトりェアの党タむプを怜出する。\n• 既知の悪意のある゜フトりェアの党タむプを削陀する。\n• 既知の悪意のある゜フトりェアの党タむプから保護する。\n䟋ずしお、りィルス、トロむの朚銬、ワヌム、スパむりェア、アドりェア、ルヌトキットなどがありたす。
- 5.1.2 䞀般的に悪意のある゜フトりェアに圱響されないずみなされおいるシステムでは、定期的に評䟡を行っお、進化を続けるマルりェアの脅嚁を特定しお評䟡するこずで、システムにりィルス察策゜フトりェアが䟝然ずしお必芁ないかどうかを刀断する:
- 5.1.2.b 担圓者をむンタビュヌするこずで、システムにりィルス察策゜フトりェアが䟝然ずしお必芁ないかどうかを刀断するために、進化を続けるマルりェアの脅嚁の、䞀般的に悪意のある゜フトりェアに圱響されないずみなされおいるシステムに察する圱響が監芖されおいるこずを確認する。
- 5.2 すべおのりィルス察策メカニズムが以䞋のように維持されおいるこずを確認する。\n• 最新の状態である\n• 定期的にスキャンを行う\n• PCI DSS 芁件 10.7 に埓っお監査ロ\n・保持する:
- 5.2 すべおのアンチりィルス゜フトりェアが最新で、有効に実行されおおり、監査ログが生成されるこずを確認するために、以䞋の項目を確認する。
- 5.2.a ポリシヌず手順を調べお、りィルス察策゜フトりェアおよび定矩を最新状態に保぀こずが芁求されおいるこずを確認する。
- 5.2.b ゜フトりェアのマスタむンストヌルを含め、りィルス察策構成を調べるこずで、りィルス察策メカニズムが以䞋を満たすこずを確認する。\n• 自動曎新を行うように構成されおいる\n• 定期的にスキャンを行うように構成されおいる
- 5.2.c 悪意のある゜フトりェアの圱響を受けやすいすべおのオペレヌティングシステムタむプを含む、システムコンポヌネントのサンプルに぀いお、以䞋を確認する。\n• りィルス察策゜フトりェアず定矩が最新である。\n• 定期的なスキャンが実行される。
- 5.2.d ゜フトりェアのマスタむンストヌルを含め、りィルス察策構成を調べるこずで、りィルス察策メカニズムが以䞋を満たすこずを確認する。\n• りィルス察策゜フトりェアログの生成が有効になっおいる\n• ログが PCI DSS 芁件 10.7 に埓っお保持されおいる
- 5.3 りィルス察策メカニズムがアクティブに実行されおおり、経営管理者からケヌスバむケヌスで期間を限っお特別に蚱可されない限り、ナヌザが無効にしたり倉曎できないこずを確認する。\n泚 りィルス察策゜リュヌションは、ケヌスバむケヌスで経営管理者により蚱可されたこずを前提に、正圓な技術䞊のニヌズがある堎合に限り、䞀時的に無効にするこずができたす。特定の目的でアンチりィルス保護を無効にする必芁がある堎合、正匏な蚱可を埗る必芁がありたす。アンチりィルス保護が無効になっおいる間、远加のセキュリティ手段が必芁になる堎合がありたす。:
- 5.3.a ゜フトりェアのマスタむンストヌルずシステムコンポヌネントのサンプルを含め、りィルス察策構成を調べるこずで、りィルス察策゜フトりェアがアクティブに実行されおいるこずを確認する。
- 5.3.b ゜フトりェアのマスタむンストヌルずシステムコンポヌネントのサンプルを含め、りィルス察策構成を調べるこずで、りィルス察策゜フトりェアがナヌザによっお無効化・倉曎できないこずを確認する。
- 5.3.c 責任者をむンタビュヌし、プロセスを芳察するこずで、りィルス察策゜フトりェアは、経営管理者からケヌスバむケヌスで期間を限っお特別に蚱可されない限り、ナヌザが無効化・倉曎できないこずを確認する。
- 5.4 マルりェアからシステムを保護するためのセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 5.4 文曞を調べ、関係者をむンタビュヌするこずで、マルりェアからシステムを保護するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件6安党性の高いシステムずアプリケヌションを開発し、保守する:
- 6.1 セキュリティ脆匱性情報の信頌できる瀟倖提䟛元を䜿っおセキュリティの脆匱性を特定し、新たに発芋されたセキュリティの脆匱性にリスクのランク「高」、「䞭」、「䜎」などを割り圓おるプロセスを確立する。\n泚 リスクのランク分けは、業界のベストプラクティスず考えられる圱響の皋床に基づいおいる必芁がありたす。たずえば、脆匱性をランク分けする基準は、CVSS ベヌススコア、ベンダによる分類、圱響を受けるシステムの皮類などを含む堎合がありたす。\n脆匱性を評䟡し、リスクのランクを割り圓おる方法は、組織の環境ずリスク評䟡戊略によっお異なりたす。リスクのランクは、最小限、環境に察する「高リスク」ずみなされるすべおの脆匱性を特定するものである必芁がありたす。リスクのランク分けに加えお、環境に察する差し迫った脅嚁をもたらす、重芁システムに圱響を及がす、察凊しないず䟵害される危険がある堎合、脆匱性は「重倧」ずみなされたす。重芁システムの䟋ずしおは、セキュリティシステム、䞀般公開のデバむスやシステム、デヌタベヌス、およびカヌド䌚員デヌタを保存、凊理、送信するシステムなどがありたす。:
- 6.1.a ポリシヌず手順を調べ、以䞋のプロセスが定矩されおいるこずを確認する。\n• 新しいセキュリティの脆匱性の識別\n• すべおの「高」リスクず「重倧」な脆匱性の識別を含む脆匱性のランク分けの割り圓お\n• セキュリティ脆匱性情報の信頌できる倖郚情報源の䜿甚
- 6.1.b 担圓者をむンタビュヌするかプロセスを芳察しお、以䞋を確認する。\n• 新しいセキュリティの脆匱性が識別されおいる\n• すべおの「高」リスクず「重倧」な脆匱性の識別を含む脆匱性のランク分けが割り圓おられおいる\n• 新しいセキュリティの脆匱性を特定するプロセスに、セキュリティ脆匱性情報を埗るための倖郚情報源の䜿甚が含たれおいる
- 6.2 すべおのシステムコンポヌネントず゜フトりェアに、ベンダ提䟛のセキュリティパッチがむンストヌルされ、既知の脆匱性から保護されおいる。重芁なセキュリティパッチは、リリヌス埌 1 カ月以内にむンストヌルする。\n泚 芁件 6.1 で定矩されおいるリスクのランク分けプロセスに埓っお、重芁なセキュリティパッチを識別する必芁がありたす:
- 6.2.a セキュリティパッチのむンストヌルに関連したポリシヌず手順を調べお、以䞋のプロセスが定矩されおいるこずを確認する。\n• 該圓する、ベンダ提䟛の重芁セキュリティパッチは、リリヌス埌 1 カ月以内にむンストヌルする。\n• 該圓する、ベンダ提䟛のセキュリティパッチをすべお、適切な時間枠内3 カ月以内などにむンストヌルする。
- 6.2.b システムコンポヌネントおよび関連゜フトりェアのサンプルに぀いお、各システムにむンストヌルされたセキュリティパッチのリストず、ベンダの最新のセキュリティパッチのリストを比范しお、以䞋を確認する。\n• 該圓する、ベンダ提䟛の重芁セキュリティパッチは、リリヌス埌1 カ月以内にむンストヌルする。\n• 該圓するすべおのベンダが提䟛するセキュリティパッチは、適切な時間枠たずえば 3 カ月以内内に蚭眮されおいる。
- 6.3 内郚および倖郚゜フトりェアアプリケヌションアプリケヌションぞの Webベヌスの管理アクセスを含むを次のように開発する。\n• PCI DSS 安党な認蚌やロギングなどに埓っお。\n• 業界基準やベストプラクティスに基づいお。\n• ゜フトりェア開発ラむフサむクル党䜓に情報セキュリティを組み蟌む。\n泚これは、瀟内開発゜フトりェアすべお、および第䞉者によっお開発されたカスタム゜フトりェアにも圓おはたりたす。:
- 6.3.a 文曞化された゜フトりェア開発プロセスを調べお、プロセスが業界暙準たたはベストプラクティスあるいはその䞡方に基づいおいるこずを確認する。
- 6.3.b 蚘述された゜フトりェア開発プロセスを怜査し、ラむフサむクル党䜓に情報セキュリティが組み蟌たれおいるこずを確認する。
- 6.3.c 蚘述された゜フトりェア開発プロセスを怜査し、PCI DSS に埓っお、゜フトりェアアプリケヌションが開発されおいるこずを確認する。
- 6.3.d ゜フトりェア開発者のむンタビュヌから、文曞化された゜フトりェア開発プロセスが実装されおいるこずを確認する。
- 6.3.1 アプリケヌションがアクティブになる前、たたは顧客にリリヌスされる前に、テスト/カスタムアプリケヌションアカりント、ナヌザ ID、パスワヌドを削陀する:
- 6.3.1 文曞化された゜フトりェア開発手順を調べ、責任者をむンタビュヌするこずで、本番前ずカスタムアプリケヌションアカりント、ナヌザ ID/パスワヌドが、システムが本番環境に導入される、たたは顧客にリリヌスされる前に削陀されるこずを確認する。
- 6.3.2 コヌディングの脆匱性がないこずを確認するための、本番たたは顧客のリリヌス前のカスタムコヌドのレビュヌする手動たたは自動プロセスによる。\n・コヌド倉曎は、コヌド䜜成者以倖の、コヌドレビュヌ手法ず安党なコヌディング手法の知識のある人がレビュヌする。\n・ コヌドレビュヌにより、コヌドが安党なコヌディングガむドラむンに埓っお開発されたこずが保蚌される\n・ リリヌス前に、適切な修正を実装しおいる。\n・ コヌドレビュヌ結果は、リリヌス前に管理職によっおレビュヌおよび承認される。\n泚 このコヌドレビュヌ芁件は、システム開発ラむフサむクルの䞀環ずしお、すべおのカスタムコヌド内郚および公開に適甚される。\nコヌドレビュヌは、知識を持぀瀟内担圓者たたは第䞉者が実斜できる。䞀般に公開されおいる Web アプリケヌションは、実装埌の脅嚁および脆匱性に察凊するために、PCI DSS 芁件 6.6 に定矩されおいる远加コントロヌルの察象ずなる。:
- 6.3.2.a ポリシヌを入手しおレビュヌし、すべおのカスタムアプリケヌションコヌドの倉曎に察しお、(手動たたは自動プロセスで)以䞋のようにレビュヌが芁求されおいるこずを確認する。\n• コヌド倉曎は、コヌド䜜成者以倖の、コヌドレビュヌ手法ず安党なコヌディング手法の知識のある人がレビュヌする。\n• コヌドレビュヌにより、コヌドが安党なコヌディングガむドラむンに埓っお開発されたこずが保蚌される(PCI DSS芁件6.5を参照)。\n• リリヌス前に、適切な修正を実装しおいる。\n• コヌドレビュヌ結果は、リリヌス前に管理職によっおレビュヌおよび承認される。
- 6.3.2.b 最近のカスタムアプリケヌションの倉曎に぀いおサンプルを遞択し、そのカスタムアプリケヌションコヌドが䞊蚘6.3.2.aに埓っおレビュヌされおいるこずを確認する。
- 6.4 システムコンポヌネントぞのすべおの倉曎においお、倉曎管理のプロセスおよび手順に埓う。これらのプロセスには、以䞋を含める必芁がある。:
- 6.4 ポリシヌず手順を調べ、以䞋が定矩されおいるこずを確認する。\n• 開発/テスト環境が、本番環境から分離されおいお、分離を実斜するためのアクセス制埡が行われおいるこず\n• 開発/テスト環境に割り圓おられおいる担圓者ず本番環境に割り圓おられおいる担圓者ずの間で責務が分離されおいるこず\n• テストたたは開発に本番環境デヌタ実際の PANを䜿甚しないこず。\n• 本番環境システムがアクティブになる前にテストデヌタずテストアカりントが削陀されるこず\n• セキュリティパッチや゜フトりェアの倉曎の実装に関連する倉曎管理手順が文曞化されおいるこず
- 6.4.1 開発/テスト環境を本番環境から分離し、分離を実斜するためのアクセス制埡を行う。:
- 6.4.1.a ネットワヌク文曞ずネットワヌクデバむス構成を調べお、開発/テスト環境が本番環境から分離されおいるこずを確認する。
- 6.4.1.b アクセス制埡蚭定を調べお、開発/テスト環境ず本番環境の分離を匷制するためのアクセス制埡が行われおいるこずを確認する。
- 6.4.2 開発/テスト環境ず本番環境での責務の分離:
- 6.4.2 プロセスを芳察し、開発/テスト環境に割り圓おられおいる担圓者ず本番環境に割り圓おられおいる担圓者をむンタビュヌするこずで、開発/テスト環境ず本番環境の責務が分離されおいるこずを確認する。
- 6.4.3 テストたたは開発に本番環境デヌタ(実際のPAN)を䜿甚しない:
- 6.4.3.a テストプロセスを芳察し、担圓者をむンタビュヌするこずで、本番環境デヌタ実際の PANがテストたたは開発に䜿甚されおいないこずを確認する。
- 6.4.3.b テストデヌタのサンプルを芳察しお、本番環境デヌタ実際の PANがテストたたは開発に䜿甚されおいないこずを確認する。
- 6.4.4 本番環境システムがアクティブになる前にテストデヌタずテストアカりントを削陀する:
- 6.4.4.a テストプロセスを芳察し、担圓者をむンタビュヌするこずで、本番環境システムがアクティブになる前にテストデヌタずアカりントが削陀されるこずを確認する。
- 6.4.4.b 最近むンストヌルされたか曎新された本番システムからのデヌタずアカりントのサンプルを調べお、本番環境システムがアクティブになる前にテストデヌタずアカりントが削陀されるこずを確認する。
- 6.4.5 セキュリティパッチの適甚ず゜フトりェアの倉曎に関する倉曎管理手順は以䞋を含む必芁がある。:
- 6.4.5.a セキュリティパッチや゜フトりェアの倉曎の実装に関する文曞化された倉曎管理手順を調べお、以䞋の手順が定矩されおいるこずを確認する。\n• 圱響の文曞化\n• 適切な暩限を持぀関係者による文曞化された倉曎承認。\n• 倉曎がシステムのセキュリティに悪圱響を䞎えおいないこずを確認するための機胜テスト\n• 回埩手順
- 6.4.5.b システムコンポヌネントのサンプルに぀いお、責任者をむンタビュヌするこずで、最新の倉曎/セキュリティパッチを確認し、それらの倉曎内容に関連する倉曎管理文曞を確認する。確認した倉曎内容に぀いお、以䞋を実行する。
- 6.4.5.1 圱響の文曞化。:
- 6.4.5.1 サンプリングした倉曎で、圱響の文曞化が倉曎管理文曞に含たれおいるこずを確認する。
- 6.4.5.2 適切な暩限を持぀関係者による文曞化された倉曎承認。:
- 6.4.5.2 サンプリングした倉曎で、適切な暩限を持぀関係者による文曞化された倉曎承認が存圚しおいるこずを確認する。
- 6.4.5.3 倉曎がシステムのセキュリティに悪圱響を䞎えないこずを確認するための機胜テスト。:
- 6.4.5.3.a サンプリングした各倉曎で、倉曎がシステムのセキュリティに悪圱響を䞎えないこずを確認するため、機胜テストが実斜されたこずを確認する。
- 6.4.5.3.b カスタムコヌドの倉曎では、すべおの曎新を本番環境に導入する前に、PCI DSS の芁件 6.5 に埓っお準拠がテストされおいるこずを確認する。
- 6.4.5.4 回埩手順。:
- 6.4.5.4 サンプリングした各倉曎で、回埩手順が準備されおいるこずを確認する。
- 6.5 次のようにしお゜フトりェア開発プロセスで䞀般的なコヌディングの脆匱性に察応する。\n• 開発者に安党なコヌディング技法のトレヌニングをする\n• 䞀般的なコヌディングの脆匱性を避け、機密デヌタをメモリで扱う方法を理解するこずを含め、安党なコヌディングガむドラむンに基づいおアプリケヌションを開発する\n泚 芁件6.5.16.5.11に挙げられおいる脆匱性は、このバヌゞョンの PCI DSSが発行された時点の最新の業界ベストプラクティスを螏襲しおいるが、しかし、脆匱性管理のための業界のベストプラクティスは曎新されおいるためOWASPガむド、SANS CWE Top 25、CERT\nSecure Coding など、珟圚のベストプラクティスは、これらの芁件を䜿甚する必芁がある。:
- 6.5.a ゜フトりェア開発ポリシヌず手順を調べ、プロセスが、業界のベストプラクティスずガむダンスに基づき、開発者のための安党なコヌディング技法に぀いおトレヌニングを芁求しおいるこずを確認する。
- 6.5.b 数人の開発者をむンタビュヌし、安党なコヌディング技法に粟通しおいるこずを確認する。
- 6.5.c トレヌニング蚘録を調べお、゜フトりェア開発者が、䞀般的なコヌディングの脆匱性を避け、機密デヌタをメモリで扱う方法を理解するこずを含め、安党なコヌディング技法に぀いおのトレヌニングを受けたこずを確認する。
- 6.5.d アプリケヌションを少なくずも以䞋の脆匱性から保護するためのプロセスが存圚するこずを確認する。\n泚以䞋の芁件 6.5.1 から 6.5.6 は、すべおのアプリケヌション\n内郚たたは倖郚に適甚されたす。
- 6.5.1 むンゞェクションの䞍具合特にSQL むンゞェクション。OS コマンドむンゞェクション、LDAP およびXpath のむンゞェクションの䞍具合、その他のむンゞェクションの䞍具合も考慮する。:
- 6.5.1 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、以䞋を含め、コヌディング技法によっおむンゞェクションの䞍具合が察凊されおいるこずを確認する。\n• 入力を調べお、ナヌザデヌタがコマンドずク゚リの意味を倉曎できないこずを確認する\n• パラメヌタ化ク゚リを䜿甚する
- 6.5.2 バッファオヌバヌフロヌ:
- 6.5.2 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、以䞋を含め、コヌディング技法によっおバッファオヌバヌフロヌが察凊されおいるこずを確認する。\n• バッファ境界を怜蚌する\n• 入力文字列をトランケヌションする
- 6.5.3 安党でない暗号化保存:
- 6.5.3 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、以䞋を含め、コヌディング技法によっお安党でない暗号化保存が察凊されおいるこずを確認する。\n• 暗号化の䞍具合を防止する\n• 匷力な暗号化アルゎリズムずキヌを䜿甚する
- 6.5.4 安党でない通信:
- 6.5.4 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、安党でない通信がすべおの機密情報の通信を適切に認蚌しお暗号化するコヌディング技法によっお察凊されおいるこずを確認する
- 6.5.5 䞍適切な゚ラヌ凊理:
- 6.5.5 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、䞍適切な゚ラヌ凊理が、゚ラヌメッセヌゞを通しお情報を挏掩しないコヌディング技法によっお察凊されおいるこずを確認するたずえば、具䜓的な゚ラヌ情報ではなく汎甚゚ラヌメッセヌゞを返すなど
- 6.5.6 脆匱性特定プロセスPCI DSS芁件 6.1 で定矩で特定された、すべおの「高リスク」脆匱性。:
- 6.5.6 コヌディング技法により、アプリケヌションを䟵害する可胜性のある、PCI DSS 芁件 6.1 で特定されたすべおの「高リスク」脆匱性に察凊する。\n- 泚以䞋の芁件6.5.76.5.10は、Webアプリケヌションずアプリケヌションむンタヌフェヌス(内郚たたは倖郚)に適甚される。
- 6.5.7 クロスサむトスクリプティング(XSS):
- 6.5.7 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、以䞋を含め、コヌディング技法によっおクロスサむトスクリプティングXSSが察凊されおいるこずを確認する。\n• 取り蟌む前にすべおのパラメヌタを怜蚌\n• コンテキスト䟝存゚スケヌプの䜿甚
- 6.5.8 䞍適切なアクセス制埡安党でないオブゞェクトの盎接参照、URL アクセス制限の倱敗、ディレクトリトラバヌサル、機胜ぞのナヌザアクセス制限の倱敗など:
- 6.5.8 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、䞍適切なアクセス制埡安党でないオブゞェクトの盎接参照、URL アクセス制限の倱敗、ディレクトリトラバヌサルなどが以䞋を含むコヌディング技法によっお察凊されおいるこずを確認す。\n•ナヌザの適切な認蚌\n• 入力倀の削陀\n• 内郚オブゞェクト参照をナヌザに公開しない\n• ナヌザむンタフェヌスで無蚱可の機胜ぞのアクセスを蚱可しない
- 6.5.9 クロスサむトリク゚スト停造(CSRF):
- 6.5.9 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、、クロスサむトリク゚スト停造CSRFは、アプリケヌションがブラりザから自動的に送信された認蚌情報ずトヌクンに䟝存しないコヌディング技法によっお察凊されおいるこずを確認する。
- 6.5.10 䞍完党な認蚌管理ずセッション管理\n泚 芁件 6.5.11 は、2015 幎 6 月 30 日たではベストプラクティスずみなされ、それ以降は芁件になる。:
- 6.5.10 ゜フトりェア開発ポリシヌず手順を調べ、責任者をむンタビュヌするこずで、以䞋を含め、コヌディング技法によっお䞍完党な認蚌管理ずセッション管理が察凊されおいるこずを確認する。\n• セッショントヌクンクッキヌなどを「安党」ずしおフラグ付けする\n• URL にセッションを含めない\n• ログむン埌の適切なタむムアりトずセッション ID の巡回\n• ナヌザ ID ずパスワヌドがアプリケヌションアカりント機胜を䜿っお䞊曞きできなくする
- 6.6 䞀般公開されおいるWebアプリケヌションで、継続的に新たな脅嚁や脆匱性に察凊し、これらのアプリケヌションが、次のいずれかの方法によっお、既知の攻撃から保護されおいるこずを確認する。\n・䞀般公開されおいるWeb アプリケヌションは、アプリケヌションのセキュリティ脆匱性を\n手動/自動で評䟡するツヌルたたは手法によっお、少なくずも幎 1 回および䜕らかの倉曎を加えた埌にレビュヌする\n泚 この評䟡は、芁件 11.2 で実斜する脆匱性スキャンずは異なる。\n・Web ベヌスの攻撃を怜知および回避するために、䞀般公開されおいる Web アプリケヌションの手前に、Web アプリケヌションファむアりォヌルをむンストヌルする。:
- 6.6 䞀般公開されおいるWebアプリケヌションに぀いお、以䞋のいずれかの手法がずられおいるこずを確認する。\n・ 文曞化されおいるプロセスを調べ、担圓者をむンタビュヌしお、アプリケヌションセキュリティ評䟡蚘録を芋るこずで、䞀般公開されおいる Web アプリケヌションがセキュリティ脆匱性を手動/自動で評䟡するツヌルたたは手法を䜿甚しお以䞋のようにレビュヌされおいるこずを確認する。\n- 少なくずも幎に䞀床実斜する\n- 䜕らかの倉曎を加えた埌\n- アプリケヌションのセキュリティを専門ずする組織によっお\n- 評䟡に少なくずも芁件 6.5 に蚘茉されおいる脆匱性を含める\n- 脆匱性がすべお修正されおいる\n- 修正埌、アプリケヌションが再評䟡されおいる\n・防止する技術的な解決策Web アプリケヌションファむアりォヌルなどが以䞋の通り備わっおいるこずを確認する。\n- Web ベヌスの攻撃を怜知および防止するために、䞀般公開されおいる Web アプリケヌションの手前にむンストヌルされおいる\n- アクティブに実行されおおり、最新状態である該圓する堎合\n- 監査ログを生成する\n- Web ベヌスの攻撃をブロックするか、アラヌトを生成する
- 6.7 セキュアシステムずアプリケヌションを開発・保守するためのセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。
- 6.7 文曞を調べ、関係者をむンタビュヌするこずで、安党なシステムずアプリケヌションを開発・保守するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件7カヌド䌚員デヌタぞのアクセスを、業務䞊必芁な範囲内に制限する:
- 7.1 システムコンポヌネントずカヌド䌚員デヌタぞのアクセスを、業務䞊必芁な人に限定する。:
- 7.1.a アクセス制埡に関する文曞化されたポリヌを入手しお怜蚎し、ポリシヌが以䞋のように 7.1.1〜7.1.4 を含んでいるこずを確認する。\n• 各圹割のアクセスニヌズず特暩割り圓おを定矩する\n• 特暩ナヌザ ID に䞎えるアクセス暩が、職務の実行に必芁な最小限の特暩に制限されおいるこず\n• 特暩の付䞎は、個人の職皮ず職務に基づくこず\n• すべおのアクセスに察しお、暩限を持぀関係者による、蚱可された特暩のリストを含む、文曞化された承認曞面たたは電子的
- 7.1.1 以䞋を含む、各圹割のアクセスニヌズを定矩する\n• 各圹割が職務䞊アクセスする必芁のあるシステムコンポヌネントずデヌタリ゜ヌス\n• リ゜ヌスぞのアクセスに必芁な特暩レベルナヌザ、管理者など:
- 7.1.1 圹割のサンプルを遞択し、各圹割のアクセスニヌズが定矩されおおり、以䞋を含むこずを確認する。\n• 各圹割が職務䞊アクセスする必芁のあるシステムコンポヌネントずデヌタリ゜ヌス\n• 各圹割が職務を遂行するために必芁な特暩の特定
- 7.1.2 特暩ナヌザ ID に䞎えるアクセス暩を職務の実行に必芁な最小限の特暩に制限する。:
- 7.1.2.a アクセス暩の割り圓おの責任者をむンタビュヌするこずで、特暩ナヌザ ID ぞのアクセスが以䞋を満たしおいるこずを確認する。\n• そのようなアクセス暩を特に必芁ずする圹割にのみ割り圓おられる\n• 職務の実行に必芁な最小限の特暩に制限されおいる
- 7.1.2.b アクセス暩を持぀ナヌザ ID のサンプルを遞択し、管理責任者をむンタビュヌするこずで、割り圓おられた特暩が以䞋を満たすこずを確認する。\n• そのナヌザの職務に必芁\n• 職務の実行に必芁な最小限の特暩に制限されおいる
- 7.1.3 個人の職皮ず職務に基づくアクセス暩の割り圓おる。:
- 7.1.3 ナヌザ ID のサンプルを遞択し、管理責任者をむンタビュヌするこずで、割り圓おられた特暩がその個人の職皮ず職務に基づいおいるこずを確認する。
- 7.1.4適切な暩限を持぀関係者による文曞化された倉曎承認を必芁ずする。:
- 7.1.4 ナヌザ ID を遞択し、文曞化された承認ず比范するこずで、以䞋を確認する。\n• 割り圓おられた特暩に察する文曞化された承認が存圚する\n• その承認は暩限のある関係者によるものである\n• 指定された特暩がその個人に割り圓おられた圹割に䞀臎しおいる
- 7.2 システムコンポヌネントで、ナヌザの必芁性に基づいおアクセスが制限され、特に蚱可のない堎合は「すべおを拒吊」に蚭定された、アクセス制埡システムを確立する。\nアクセス制埡システムには以䞋の項目を含める必芁がある。:
- 7.2 システムの蚭定ずベンダの文曞を怜査し、アクセス制埡システムが以䞋のように実装されおいるこずを確認する。
- 7.2.1 すべおのシステムコンポヌネントを察象に含む:
- 7.2.1 アクセス制埡システムがすべおのシステムコンポヌネントに実装されおいるこずを確認する。
- 7.2.2 職皮ず職胜に基づく、個人ぞの特暩の付䞎:
- 7.2.2 アクセス制埡システムが、職皮ず職務に基づいお個人に割り圓おられる特暩を匷制するよう構成されおいるこずを確認する。
- 7.2.3 デフォルトでは「すべおを拒吊」の蚭定:
- 7.2.3 アクセス制埡システムに「すべおを拒吊」がデフォルト蚭定されおいるこずを確認する。
- 7.3 カヌド䌚員デヌタぞのアクセスを制限するためのセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 7.3 文曞を調べ、担圓者をむンタビュヌするこずで、カヌド䌚員デヌタぞのアクセスを制限するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件8コンピュヌタにアクセスできる各ナヌザに䞀意のIDを割り圓おる:
- 8.1 ポリシヌず手順を定矩しお実装するこずで、次のように、すべおのシステムコンポヌネントで、非消費者ナヌザず管理者のための適切なナヌザ識別および認蚌の管理が行われるようにする。:
- 8.1.a 手順を調べお、以䞋の 8.1.1  8.1.8 の各項目に぀いおのプロセスが定矩されおいるこずを確認する。
- 8.1.b 以䞋を実行するこずによっお、ナヌザ識別管理のための手順が実斜されおいるこずを確認する。
- 8.1.1 システムコンポヌネントたたはカヌド䌚員デヌタぞのアクセスを蚱可する前に、すべおのナヌザに䞀意のIDを割り圓おる。:
- 8.1.1 管理責任者をむンタビュヌするこずで、すべおのナヌザに、システムコンポヌネントたたはカヌド䌚員デヌタにアクセスするための䞀意のIDが割り圓おられおいるこずを確認する。
- 8.1.2 远加、削陀、ナヌザ ID の倉曎、資栌情報、およびその他の識別オブゞェクトを管理する。:
- 8.1.2 特暩ナヌザ ID ず䞀般ナヌザ ID に぀いお、関連付けられおいる暩限を調べ、システム蚭定を芳察しお、各ナヌザ ID ず特暩ナヌザ ID に、文曞化されおいる承認内容で指定されおいる特暩のみが実装されおいるこずを確認する。
- 8.1.3 契玄終了したナヌザのアクセスを盎ちに取り消す。:
- 8.1.3.a 過去 6 カ月間に契玄終了したナヌザのサンプルを遞択し、珟圚のナヌザアクセスリストを調べお、– ロヌカルずリモヌトアクセス䞡方に぀き – これらのナヌザの ID が無効化たたは削陀されおいるこずを確認する。
- 8.1.3.b スマヌトカヌド、トヌクンなど、すべおの物理的認蚌方法が返還されたか、無効にされたこずを確認する。
- 8.1.4少なくずも 90 日ごずに非アクティブなナヌザアカりントを削陀/無効にする。:
- 8.1.4 ナヌザアカりントを芳察するこずで、90 日間を超える非アクティブなアカりントが削陀たたは無効になっおいるこずを確認する。
- 8.1.5 ベンダがリモヌトアクセス経由でシステムコンポヌネントのアクセス、サポヌト、メンテナンスに䜿甚するナヌザ ID を以䞋のように管理する。\n• 必芁な期間内だけ有効になり、䜿甚されおいないずきは無効になっおいる。\n• 䜿甚時に監芖されおいる。:
- 8.1.5.a 担圓者をむンタビュヌし、ベンダがシステムコンポヌネントのアクセス、サポヌト、メンテナンスに䜿甚するアカりントを管理するためのプロセスを芳察しお、ベンダがリモヌトアクセスに䜿甚するアカりントが以䞋を満たしおいるこずを確認する。\n• 䜿甚されおいないずきに無効になっおいる\n• ベンダが必芁なずきにのみ有効になり、䜿甚されおいない堎合は無効になる
- 8.1.5.b 担圓者をむンタビュヌし、プロセスを芳察するこずで、䜿甚䞭にベンダのリモヌトアクセスアカりントが監芖されおいるこずを確認する。
- 8.1.6 6 回以䞋の詊行で、ナヌザ ID をロックアりトするこずによっお、アクセスの詊行回数を制限する。:
- 8.1.6.a システムコンポヌネントのサンプルで、システム構成蚭定を調べ、6 回以䞊無効のログオンを繰り返した堎合に、ナヌザのアカりントがロックされるこずを芁求するよう、認蚌パラメヌタが蚭定されおいるこずを確認する。
- 8.1.6.b サヌビスプロバむダの堎合のみの远加の手順、内郚プロセスず顧客/ナヌザマニュアルをレビュヌし、実装されたプロセスを芳察するこずで、6 回以䞊無効のログオンを繰り返した堎合に、ナヌザのアカりントが䞀時的にロックされるこを確認する。
- 8.1.7 最䜎 30 分間、たたは管理者がナヌザ ID を有効にするたでのロックアりト期間を蚭定する。:
- 8.1.7 システムコンポヌネントのサンプルで、システム構成蚭定を調べ、ナヌザアカりントがロックアりトされたら、最䜎 30 分間、たたは管理者がナヌザ ID を有効にするたでのロックアりト状態が続くこずを芁求するよう、認蚌パラメヌタが蚭定されおいるこずを確認する。
- 8.1.8 セッションのアむドル状態が 15分を超えた堎合、タヌミナルたたはセッションを再床アクティブにするため、ナヌザの再認蚌が必芁ずなる。:
- 8.1.8 システムコンポヌネントのサンプルで、システム構成蚭定を調べ、セッションのアむドル状態が 15 分を超えた堎合、タヌミナルたたはセッションを再床アクティブにするため、ナヌザの再認蚌が必芁ずなるこずを確認する。
- 8.2 䞀意の ID を割り圓おるこずに加え、すべおのナヌザを認蚌するため、次の方法の少なくずも 1 ぀を䜿甚するこずで、すべおのシステムコンポヌネント䞊での顧客以倖のナヌザず管理者の適切なナヌザ認蚌管理を確認する。\n• ナヌザが知っおいるこずパスワヌドやパスフレヌズなど\n• トヌクンデバむスやスマヌトカヌドなど、ナヌザが所有しおいるもの\n• ナヌザ自身を瀺すもの生䜓認蚌など:
- 8.2ナヌザがカヌド䌚員デヌタ環境にアクセスするための䞀意の ID ず远加の認蚌パスワヌド/パスフレヌズなどを䜿甚しお認蚌されるこずを確認するため、次の項目を実行する。\n• 䜿甚される認蚌方法に぀いお蚘述した文曞を調べる。\n• 䜿甚される認蚌方法の各皮類およびシステムコンポヌネントの各皮類に぀いお、認蚌を調べお、文曞に蚘述された認蚌方法に埓っお認蚌が機胜しおいるこずを確認する。
- 8.2.1 匷力な暗号化を䜿甚しお、すべおのシステムコンポヌネントで、送信ず保存䞭に認蚌情報パスワヌド/パスフレヌズなどをすべお読み取り䞍胜ずする。:
- 8.2.1.a ベンダ文曞ずシステム構成蚭定を調べお、送信および保存䞭にパスワヌドが匷力な暗号化によっお保護されおいるこずを確認する。
- 8.2.1.b システムコンポヌネントのサンプルに察しお、パスワヌドファむルを調べお、パスワヌドが保存䞭に読み取り䞍胜であるこずを確認する。
- 8.2.1.c システムコンポヌネントのサンプルに察しお、デヌタ䌝送を調べお、パスワヌドが保存䞭に読み取り䞍胜であるこずを確認する。
- 8.2.1.d サヌビスプロバむダ甚の远加手順。パスワヌドファむルを芳察しお、保存䞭に顧客のパスワヌドが読み取れないこずを確認する。
- 8.2.1.e サヌビスプロバむダ甚の远加手順。デヌタの送信を芳察しお、送信䞭に顧客のパスワヌドが読み取れないこずを確認する。
- 8.2.2 パスワヌドのリセット、新しいトヌクンの準備、新しいキヌの生成など、認蚌情報を倉曎する前に、ナヌザの身元を確認する。:
- 8.2.2 認蚌情報を倉曎するための認蚌手順を調べお、セキュリティ担圓者を芳察しお、ナヌザが、電話、電子メヌル、Web、たたは他の非察面法でパスワヌドのリセットを芁求した堎合、パスワヌドがリセットされる前に、ナヌザの身元が確認されおいるこずを確認する。
- 8.2.3 パスワヌド/パスフレヌズは以䞋を満たす必芁がある。\n• パスワヌドに 7 文字以䞊が含たれる\n• 数字ず英文字の䞡方を含む\nあるいは、䞊蚘のパラメヌタに等しい耇雑さず匷床を持぀パスワヌド/パスフレヌズ:
- 8.2.3a システムコンポヌネントのサンプルに぀いお、システム構成蚭定を調べお、少なくずも以䞋の匷床/耇雑さを必芁ずするようにナヌザパスワヌドのパラメヌタが蚭定されおいるこずを確認する。\n• パスワヌドに 7 文字以䞊が含たれる\n• 数字ず英文字の䞡方を含む
- 8.2.3.b サヌビスプロバむダ甚の远加手順。内郚プロセスおよび顧客/ナヌザ文曞を確認しお、消費者以倖のナヌザのパスワヌドが少なくずも次の匷床/耇雑さを満たすこずが芁求されおいるこずを確認する。\n• パスワヌドに 7 文字以䞊が含たれる\n• 数字ず英字の䞡方を含む
- 8.2.4 ナヌザパスワヌド/パスフレヌズは、少なくずも90日ごず倉曎する。:
- 8.2.4.a システムコンポヌネントのサンプルに぀いお、システム構成蚭定を調べお、少なくずも 90 日ごずにパスワヌドを倉曎するこずを芁求するようにナヌザパスワヌドのパラメヌタが蚭定されおいるこずを確認する。
- 8.2.4.b サヌビスプロバむダ甚の远加手順。内郚プロセスおよび顧客/ナヌザ文曞を調べお、以䞋を確認する。\n• 非消費者ナヌザパスワヌドを定期的に倉曎するこずが芁求されおいる\n• 消費者以倖のナヌザに、い぀どのような状況䞋でパスワヌドを倉曎する必芁があるかに぀いおのガむダンスが䞎えられおいる
- 8.2.5 これたでに䜿甚した最埌の 4 ぀のパスワヌド/パスフレヌズのいずれかず同じである新しいパスワヌド/パスフレヌズを蚱可しない。:
- 8.2.5.a システムコンポヌネントのサンプルで、システム構成蚭定を入手しお調べ、新しいパスワヌドずしお、これたでに䜿甚した最埌の 4 ぀のパスワヌドのいずれかず同じパスワヌドを指定できないこずを芁求するナヌザパスワヌドパラメヌタが蚭定されおいるこずを確認する。
- 8.2.5.b サヌビスプロバむダ甚の远加手順。内郚プロセスず顧客/ナヌザマニュアルを調べお、非消費者ナヌザのパスワヌドがこれたでに䜿甚した 4 ぀のパスワヌドのいずれかにするこずはできなくなっおいるこずを確認する
- 8.2.6 初期パスワヌド/パスフレヌズずリセットパスワヌド/パスフレヌズをナヌザごずに䞀意の倀にリセットし、初回の䜿甚埌盎ちに倉曎する。:
- 8.2.6 パスワヌド手順を調べお、新しいナヌザの初期パスワヌドず既存ナヌザのリセットパスワヌドが、各ナヌザで䞀意の倀に蚭定され、初回の䜿甚埌に倉曎されおいるこずを確認する。
- 8.3 埓業員ナヌザず管理者を含むおよび第䞉者サポヌトやメンテナンス甚のベンダアクセスを含むによるネットワヌクぞのリモヌトアクセスネットワヌク倖郚からのネットワヌクレベルアクセスに 2 因子認蚌を組み蟌む。\n泚 2 因子認蚌では、3 ぀の認蚌方法のうち 2 ぀を認蚌に䜿甚する必芁がある認蚌方法に぀いおは、芁件 8.2 を参照。1 ぀の因子を 2 回䜿甚するこずたずえば、2 ぀の個別パスワヌドを䜿甚するは、2 因子認蚌ずは芋なされない。\n2 因子認蚌方匏の䟋ずしおは、トヌクン\n䜿甚の RADIUSRemote Authentication\nand Dial-In Service、トヌクン䜿甚の\nTACACSTerminal Access Controller\nAcceess Control System、および 2 因\n子認蚌を促進する他の方匏がありたす。:
- 8.3.a リモヌトアクセスサヌバずシステムのシステム構成を調べお、以䞋に察しお 2 因子認蚌が芁求されおいるこずを確認する。\n• 埓業員によるすべおのリモヌトアクセス\n• すべおの第䞉者/ベンダリモヌトアクセスサポヌトやメンテナンス目的でのアプリケヌションやシステムコンポヌネントぞのアクセスを含む
- 8.3.b ネットワヌクにリモヌト接続する埓業員ナヌザや管理者などのサンプルを芳察し、3 ぀の認蚌方法のうち 2 ぀が䜿甚されおいるこずを確認する。
- 8.4以䞋を含む認蚌手順およびポリシヌを文曞化し、すべおのナヌザに通達する。\n• 匷力な認蚌情報を遞択するためのガむダンス\n• ナヌザが自分の認蚌情報を保護する方法に぀いおのガむダンス\n• 前に䜿甚しおいたパスワヌドを再䜿甚しないずいう指瀺\n・パスワヌドが䟵害された疑いがある堎合にはパスワヌドを倉曎するずいう指瀺:
- 8.4.a 手順を調べ、担圓者をむンタビュヌするこずで、認蚌手順ずポリシヌがすべおのナヌザに配垃されおいるこずを確認する。
- 8.4.b ナヌザに配垃された認蚌手順ずポリシヌを調べるこずで、以䞋を確認する。\n• 匷力な認蚌情報を遞択するためのガむダンス\n• ナヌザが自分の認蚌情報を保護する法方に぀いおのガむダンス\n• 前に䜿甚しおいたパスワヌドを再䜿甚しないずいう指瀺\n• パスワヌドが䟵害された疑いがある堎合にはパスワヌドを倉曎するずいう指瀺
- 8.4.c ナヌザのサンプルのむンタビュヌを行い、認蚌手順およびポリシヌに粟通しおいるこずを確認する。
- 8.5 次のように、グルヌプ、共有、たたは汎甚の ID やパスワヌド、たたは他の認蚌方法が䜿甚されおいない。\n• 汎甚ナヌザ ID およびアカりントが無効化たたは削陀されおいる\n• システム管理䜜業およびその他の重芁な機胜に察する共有ナヌザ ID が存圚しない\n• システムコンポヌネントの管理に共有および汎甚ナヌザ ID が䜿甚されおいない:
- 8.5.a システムコンポヌネントのサンプルに぀いお、ナヌザ ID リストを調べお、以䞋を確認する。\n• 汎甚ナヌザ ID が無効化たたは削陀されおいる\n• システム管理䜜業およびその他の重芁な機胜のための共有ナヌザ ID が存圚しない\n• システムコンポヌネントの管理に共有および汎甚ナヌザ ID が䜿甚されおいない
- 8.5.b 認蚌ポリシヌ/手順を調べお、グルヌプおよび共有 ID やパスワヌドたたは他の認蚌方法が明瀺的に犁止されおいるこずを確認する。
- 8.5.c システム管理者のむンタビュヌを行い、グルヌプおよび共有 ID やパスワヌド、たたは他の認蚌方法が、芁求があっおも配垃されないこずを確認する。
- 8.5.1 サヌビスプロバむダぞの远加芁件顧客環境ぞのアクセス暩を持぀サヌビスプロバむダは、各顧客に䞀意な認蚌情報パスワヌド/パスフレヌズなどを䜿甚する必芁がある。\n泚 この芁件は、耇数の顧客環境がホストされおいる、独自のホスティング環境にアクセスする共有ホスティングプロバむダに適甚するこずを意図しおいたせん。\n泚 芁件 8.5.1 は、2015 幎 6 月 30 日たではベストプラクティスずみなされ、それ以降は芁件になる。:
- 8.5.1 サヌビスプロバむダ甚の远加手続き: 認蚌ポリシヌず手順を調べ、担圓者をむンタビュヌするこずで、各顧客環境にアクセスするために異なる認蚌が䜿甚されおいるこずを確認する。
- 8.6 その他の認蚌メカニズムが䜿甚されおいるたずえば、物理的たたは論理的セキュリティトヌクン、スマヌトカヌド、蚌明曞などこれらのメカニズムの䜿甚は、以䞋のように割り圓おる必芁がある。\n• 認蚌メカニズムは、個々のアカりントに割り圓おなければならず、耇数アカりントで共有するこずはできない\n• 物理/論理制埡により、意図されたアカりントのみがアクセスできるようにする必芁がある:
- 8.6.a 認蚌ポリシヌず手順を調べ、物理セキュリティトヌクン、スマヌトカヌド、蚌明曞などを䜿甚する手順が定矩されおおり以䞋を含むこずを確認する。\n• 認蚌メカニズムが、個々のアカりントに割り圓おられおおり、耇数アカりントで共有されおいない\n• 物理/論理制埡により、意図されたアカりントのみがアクセスできるようになっおいる
- 8.6.b セキュリティ担圓者をむンタビュヌするこずで、認蚌メカニズムが、個々のアカりントに割り圓おられおおり、耇数アカりントで共有されおいないこずを確認する。
- 8.6.c システム構成蚭定や該圓する堎合は物理制埡を調べお、物理/論理制埡により、意図されたアカりントのみがそのメカニズムを䜿っおアクセスできるようにする制埡が実装されおいるこずを確認する。
- 8.7 カヌド䌚員デヌタを含むデヌタベヌスぞのすべおのアクセスアプリケヌション、管理者、およびその他のすべおのナヌザによるアクセスを含むが以䞋のように制限されおいる。\n• デヌタベヌスぞのナヌザアクセス、デヌタベヌスのナヌザク゚リ、デヌタベヌスに察するナヌザアクションはすべお、プログラムによる方法によっおのみ行われる。\n・ デヌタベヌスぞの盎接アクセスたたはク゚リはデヌタベヌス管理者のみに制限される。\n・ デヌタベヌスアプリケヌション甚のアプリケヌション ID を䜿甚できるのはそのアプリケヌションのみである\n個々のナヌザやその他の非アプリケヌションプロセスは䜿甚できない。:
- 8.7.a デヌタベヌスおよびアプリケヌションの構成蚭定を調べ、すべおのナヌザがアクセスする前に認蚌されおいるこずを確認する。
- 8.7.b デヌタベヌスおよびアプリケヌションの構成蚭定を調べお、デヌタベヌスでのすべおのナヌザアクセス、ナヌザのク゚リ、およびナヌザのアクションたずえば、移動、コピヌ、削陀が、プログラムを䜿甚する方法ストアドプロシヌゞャを介しおなどによっおのみ実行されるこずを確認する。
- 8.7.c デヌタベヌスアクセス制埡蚭定ずデヌタベヌスアプリケヌション構成蚭定を調べお、ナヌザの盎接アクセスたたはデヌタベヌスぞのク゚リがデヌタベヌス管理者に制限されおいるこずを確認する。
- 8.7.d デヌタベヌスアクセス制埡蚭定、デヌタベヌスアプリケヌション蚭定、および関連アプリケヌション ID を調べお、アプリケヌション ID がアプリケヌションによっおのみ䜿甚できるこずを確認する個々のナヌザたたはその他のプロセスでは䜿甚できない。
- 8.8 識別ず認蚌に関するセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 8.8 文曞を調べ、関係者をむンタビュヌするこずで、識別ず認蚌に関するセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件9カヌド䌚員デヌタぞの物理アクセスを制限する:
- 9.1 適切な斜蚭入通管理を䜿甚しお、カヌド䌚員デヌタ環境内のシステムぞの物理アクセスを制限および監芖する。:
- 9.1 各コンピュヌタルヌム、デヌタセンタヌ、およびカヌド䌚員デヌタ環境内のシステムを備えた物理的な゚リアで、物理的なセキュリティコントロヌルが存圚するこずを確認する。\n・バッゞ読み取り機たたは承認枈みバッゞ、斜錠、鍵などのその他のデバむスによっおアクセスが管理されおいるこずを確認する。\n・システム管理者がカヌド䌚員環境内のランダムに遞択したシステムのコン゜ヌルにログむンするのを芳察しお、コン゜ヌルが䞍正䜿甚を防止するように「ロック」されおいるこずを確認する。
- 9.1.1 ビデオカメラやアクセス管理メカニズムを䜿甚しお、機密゚リアぞの個々の物理アクセスを監芖する。収集されたデヌタを確認し、その他の゚ントリず盞関付ける。法埋によっお別途定められおいない限り、少なくずも3カ月間保管する。\n泚「機密゚リア」ずは、デヌタセンタ、サヌバルヌム、たたはカヌド䌚員デヌタを保存、凊理、たたは䌝送するシステムが蚭眮されおいる゚リアのこず。これには、小売店のレゞなど、POS端末のみが存圚する゚リアは含たれない。:
- 9.1.1.a ビデオカメラやアクセス制埡メカニズムを䜿甚しお、機密゚リアぞの入退堎ポむントを監芖する。
- 9.1.1.b ビデオカメラやアクセス制埡メカニズムが改ざんや無効化から保護されおいるこずを確認する。
- 9.1.1.c ビデオカメラやアクセス管理メカニズムが監芖されおいお、カメラたたはその他のメカニズムからのデヌタが少なくずも3カ月間保管されおいるこずを確認する。
- 9.1.2 物理/論理制埡を実斜するこずで、誰でもアクセス可胜なネットワヌクゞャックぞのアクセスを制限する。\nたずえば、公共の堎や蚪問者がアクセス可胜な゚リアにあるネットワヌクゞャックは、無効にしおおき、ネットワヌクぞのアクセスが明瀺的に承認されおいる堎合にのみ有効にするこずができる。たたは、アクティブなネットワヌクゞャックがある゚リアでは蚪問者に垞に同行者を぀けるプロセスを実斜できる。:
- 9.1.2 責任者をむンタビュヌし、誰でもアクセスできる堎所にあるネットワヌクゞャックの堎所を芳察しお、物理/論理制埡が備わっおおり、誰でもアクセスできる堎所にあるネットワヌクゞャックぞのアクセスを制限しおいるこずを確認する。
- 9.1.3 ワむダレスアクセスポむント、ゲヌトりェむ、ハンドヘルドデバむス、ネットワヌク/通信ハヌドりェア、および電気通信回線ぞの物理アクセスを制限する。:
- 9.1.3 ワむダレスアクセスポむント、ゲヌトりェむ、ハンドヘルドデバむス、ネットワヌク/通信ハヌドりェア、および電気通信回線ぞの物理的なアクセスが適切に制限されおいるこずを確認する。
- 9.2 次のようにオンサむト芁員ず蚪問者を容易に区別できるような手順を開発する。\n・新しいオンサむト芁因や蚪問者を識別する\nバッゞの䜿甚など\n・アクセス芁件を倉曎する\n・契玄が終了したオンサむト芁員や期限切れの蚪問者の IDバッゞなどを無効にする:
- 9.2.a オンサむト芁員および蚪問者にバッゞを割り圓おるためのプロセスず手順を確認しお、これらのプロセスに以䞋が含たれおいるこずを確認する。\n• 新しいバッゞを付䞎するこず\n• アクセス芁件を倉曎するこず\n• 契玄が終了したオンサむト芁員ず期限切れの蚪問者バッゞを取り消すこず
- 9.2.b オンサむト担圓者ず蚪問者を識別し、区別するプロセスを芳察し、以䞋を確認する。\n• 蚪問者が明確に識別される\n• オンサむト芁員ず蚪問者を容易に区別できる
- 9.2.c 識別プロセスバッゞシステムなどぞのアクセスが、蚱可された担圓者に制限されおいるこずを確認する。
- 9.2.d 䜿甚されおいる識別方法ID バッゞなどを調べお、蚪問者を明確に識別し、オンサむト担圓者ず蚪問者を簡単に区別できるこずを確認する。
- 9.3 オンサむト芁員の機密゚リアぞの物理アクセスを次のように制埡する。\n• アクセスが個々の職務に基づいお蚱可される\n• 職務の終了埌盎ちにアクセスを無効ずし、鍵、アクセスカヌドなどすべおの物理アクセスメカニズムを返還するか無効にする:
- 9.3.a CDE ぞの物理アクセス暩を持぀オンサむト芁員のサンプルに察しお、責任者をむンタビュヌし、アクセス制埡リストを芋お、以䞋を確認する。\n• CDE ぞのアクセスが蚱可されおいる\n• アクセスがその個人の職務に必芁
- 9.3.b 関係者による CDE ぞのアクセスを芳察しお、すべおの関係者は、アクセスを蚱可される前に、承認が必芁であるこずを確認する。
- 9.3.c 最近退職した埓業員のサンプルを遞択し、アクセス制埡リストを調べ、その埓業員が CDE ぞの物理アクセスを持たないこずを確認する。
- 9.4 蚪問者を識別し、承認する手順を実斜する。\n手順には、以䞋を含める必芁がある。:
- 9.4 蚪問者の承認ずアクセス制埡が次のように行われおいるこずを確認する。
- 9.4.1 蚪問者は、カヌド䌚員デヌタが凊理たたは保守されおいる゚リアに入る前に承認が行われ、その゚リアにいる間ずっず同行者に付き添われおいる:
- 9.4.1.a 手順を芳察し、担圓者をむンタビュヌするこずで、蚪問者は、カヌド䌚員デヌタが凊理たたは保守されおいる゚リアに入るこずが蚱可される前に承認が行われ、その゚リアにいる間ずっず同行者に付き添われおいるこずを確認する。
- 9.4.1.b 蚪問者 ID バッゞたたは他のID の䜿甚を芳察しお、物理トヌクンのバッゞがカヌド䌚員デヌタの凊理たたは保守がされおいる物理゚リアに同行者なしでアクセスできないこずを確認する。
- 9.4.2 蚪問者が識別され、オンサむト担圓者から明確に区別するための有効期限付きバッゞその他の ID を䞎えられる。:
- 9.4.2.a 斜蚭内にいる人を芳察し、蚪問者バッゞが䜿甚されおいお、蚪問者ずオンサむト担圓者を明確に区別できるこずを確認する。
- 9.4.2.b 蚪問者のバッゞその他の ID が有効期限を過ぎるず無効になるこずを確認する。
- 9.4.3 斜蚭を出る前、たたは期限が切れる日にバッゞその他の ID の返還を求められる:
- 9.4.3 斜蚭から出る蚪問者を芳察しお、蚪問者が退去時たたは期限切れのずきにバッゞその他の ID の返還を求められおいるこずを確認する。
- 9.4.4 蚪問者ログを䜿甚しお、カヌド䌚員デヌタの保存たたは送信が行われおいるコンピュヌタルヌムやデヌタセンタヌなどの斜蚭ぞの蚪問者の行動の物理的監査蚌跡を保持する。\n蚪問者の名前、所属䌚瀟、物理アクセスを承認したオンサむト芁員をログに蚘録する。\n法埋によっお別途定められおいない限り、このログを少なくずも3カ月間保管する。:
- 9.4.4.a カヌド䌚員デヌタが保存たたは䌝送されるコンピュヌタルヌムやデヌタセンタヌだけでなく、斜蚭ぞの物理アクセスの蚘録にも蚪問者ログが䜿甚されおいるこずを確認する。
- 9.4.4.b ログに以䞋が含たれおいるこずを確認する。\n• 蚪問者名\n• 所属䌚瀟\n• 物理アクセスを承認したオンサむト担圓者
- 9.4.4.c ログが 3 カ月以䞊保持されるこずを確認する。
- 9.5 すべおの媒䜓を物理的にセキュリティ保護する。:
- 9.5 カヌド䌚員デヌタを保護する手順に、すべおの媒䜓コンピュヌタ、リムヌバブル電子媒䜓、玙の受領曞、玙のレポヌト、FAX を含むがこれらに限定されないのセキュリティを物理的に保護するための管理が含たれおいるこずを確認する。
- 9.5.1 バックアップの入った媒䜓を安党な堎所に保管する代替たたはバックアップサむト、商甚ストレヌゞ斜蚭などのオフサむト斜蚭が望たしい。保管堎所のセキュリティを少なくずも幎に䞀床確認する:
- 9.5.1.a 保管堎所の物理的なセキュリティを芳察しお、バックアップメディアの保管が安党であるこずを確認する。
- 9.5.1.b 保管堎所のセキュリティを少なくずも幎に䞀床レビュヌしおいるこずを確認する。
- 9.6 次の項目を含め、あらゆるタむプの媒䜓を内郚たたは倖郚に配垃する際の厳栌な管理を維持する。:
- 9.6 媒䜓の配垃を管理するためのポリシヌが存圚し、そのポリシヌが、個人に配垃されるものを含め、すべおの配垃媒䜓に察応しおいるこずを確認する。
- 9.6.1 デヌタの機密性を識別できるように、媒䜓を分類する。:
- 9.6.1 デヌタの感床を決定するこずができるように、すべおの媒䜓が分類されおいるこずを確認する。
- 9.6.2 安党な配達業者たたは正確に远跡するこずができるその他の方法によっお媒䜓を送付する。:
- 9.6.2.a 担圓者をむンタビュヌし、蚘録を調べお、斜蚭の倖郚に送付されるすべおの媒䜓がログに蚘録され、安党な配達業者たたは远跡可胜なその他の配送方法によっお送付されるこずを確認する。
- 9.6.2.b すべおの媒䜓の数日分のオフサむト远跡ログの最新サンプルを遞択し、远跡の詳现がログに蚘録されおいるこずを確認する。
- 9.6.3 安党な゚リアから移動されるすべおの媒䜓を管理者が承認しおいるこずを確認する\n媒䜓が個人に配垃される堎合を含む。:
- 9.6.3 すべおの媒䜓の数日分のオフサむト远跡ログの最新サンプルを遞択する。ログを調べ、責任者をむンタビュヌするこずで、媒䜓が安党な゚リアから移動される媒䜓が個人に配達される堎合を含むたびに適切な管理者の承認が埗られおいるこずを確認する。
- 9.7 媒䜓の保管およびアクセスに぀いお、厳密な管理を維持する。:
- 9.7 すべおの媒䜓の保管ず維持を管理するためのポリシヌを入手しお調べ、ポリシヌで定期的な媒䜓の圚庫調査が芁求されおいるこずを確認する
- 9.7.1 すべおの媒䜓の圚庫ログを保持し、少なくずも幎に䞀床、媒䜓の圚庫調査を実斜する:
- 9.7.1 媒䜓の圚庫ログを調べお、媒䜓の圚庫調査が少なくずも幎に䞀床行われおいるこずを確認する。
- 9.8 次のように、ビゞネスたたは法埋䞊䞍芁になった媒䜓を砎棄する。:
- 9.8 定期的な媒䜓砎棄ポリシヌを調べお、すべおの媒䜓が察象になっおおり、以䞋の芁件が定矩されおいるこずを確認する。\n• ハヌドコピヌ資料は再珟できないこずの合理的な保蚌が埗られるように、クロスカット裁断、焌华、たたはパルプ化する必芁がある。\n• 砎棄する資料を保管する容噚は安党でなければならない。\n• 電子媒䜓䞊のカヌド䌚員デヌタが、安党な削陀に関しお業界が承認した暙準に埓った安党なワむププログラムによっお、たたはそれ以倖の堎合は媒䜓の物理的な砎壊によっお、回埩䞍胜になっおいる必芁がある。
- 9.8.1 カヌド䌚員デヌタを再珟できないよう、ハヌドコピヌ資料を裁断、焌华、たたはパルプ化する。砎棄する資料を保管する容噚を安党に保護する。:
- 9.8.1.a 担圓者をむンタビュヌし、手順を調べお、ハヌドコピヌの資料が再珟できないこずの合理的な保蚌が埗られるように、クロスカット裁断、焌华、たたはパルプ化されおいるこずを確認する。
- 9.8.1.b 砎棄される情報を含む資料の保管に䜿甚されるコンテナを調べお、コンテナが安党に保護されおいるこずを確認する。
- 9.8.2 カヌド䌚員デヌタを再珟できないよう、電子媒䜓䞊のカヌド䌚員デヌタを回埩䞍胜にする。:
- 9.8.2 電子媒䜓䞊のカヌド䌚員デヌタが、安党な削陀に関しお業界が承認した暙準に埓った安党なワむププログラムによっお、たたはそれ以倖の堎合は媒䜓の物理的な砎壊によっお、回埩䞍胜になっおいるこずを確認する。
- 9.9 カヌドの物理的な読み取りによっおペむメントカヌドデヌタを取り蟌む装眮を改ざんや䞍正眮換から保護する。\n泚 これには、カヌドカヌドのスワむプやディップによるトランザクションに䜿甚されるカヌド読み取り装眮も含たれる。この芁件は、コンピュヌタのキヌボヌドや POS のキヌパッドのような手動キヌ入力コンポヌネントには適甚されない。\n泚 この芁件は、2015 幎 6 月 30 日たではベストプラクティスずみなされ、それ以降は芁件になる。:
- 9.9 文曞化されたポリシヌず手順を調べ、以䞋が含たれおいるこずを確認する。\n• デバむスのリストの管理\n• デバむスを定期的に怜査しお改ざんや䞍正眮換がないか調べる\n• 関係者にトレヌニングを受けさせお、怪しい行動を識別し、デバむスの改ざんや䞍正眮換を報告できるようにする
- 9.9.1 装眮のリストを保持する。リストには以䞋を含める必芁がある。\n• 装眮のメヌカヌず型匏\n• 装眮の堎所装眮が蚭眮されおいる店舗の䜏所など\n• 装眮の連番や他の䞀意識別方法:
- 9.9.1.a 装眮のリストを芋お、以䞋が含たれおいるこずを確認する。\n• 装眮のメヌカヌず型匏\n• 装眮の堎所装眮が蚭眮されおいる店舗の䜏所など\n• 装眮の連番や他の䞀意識別方法
- 9.9.1.b リストから装眮のサンプルを遞択しお、装眮の堎所を芳察し、リストが正確で最新のものであるこずを確認する。
- 9.9.1.c 担圓者をむンタビュヌするこずで、装眮が远加、移動、廃棄された堎合に装眮のリストが曎新されるこずを確認する。
- 9.9.2 定期的に装眮の衚面を怜査しお改ざんカヌドスキマヌの取り付けなどや䞍正眮換連番など装眮の特性を調べお停の装眮に差し替えられおいないこずを確認するを怜出する。\n泚 装眮が改ざんされたり䞍正眮換されたりする兆候の䟋ずしおは、予期しおいない付着物やケヌブルが装眮に差し蟌たれおいる、セキュリティラベルが無くなっおいたり、倉曎されおいる、ケヌスが壊れおいたり色が倉わっおいる、あるいは連番その他の倖郚マヌキングが倉曎されおいるなどがある:
- 9.9.2.a 文曞化された手順を調べお、プロセスに以䞋が含たれるように定矩されおいるこずを確認する。\n• 装眮を怜査する手順\n• 怜査の頻床
- 9.9.2.b 責任者をむンタビュヌし、怜査プロセスを芳察しお、以䞋を確認する。\n• 関係者が装眮を怜査する手順を知っおいる\n• すべおの装眮が改ざんや䞍正眮換の圢跡がないこずを定期的に怜査されおいる
- 9.9.3 関係者が装眮の改ざんや䞍正眮換の詊みを認識できるようにトレヌニングを実斜する。トレヌニングには以䞋を含める必芁がる。\n・保守芁員を名乗っおいる者に装眮ぞのアクセスを蚱可する前に、身元を確認する。\n• 怜蚌なしで装眮を蚭眮、亀換、返品しない。\n• 装眮の呚蟺での怪しい行動知らない人が装眮のプラグを抜いたり装眮を開けたりするに泚意する\n• 怪しい行動や装眮が改ざんや䞍正眮換された圢跡がある堎合には適切な関係者マネヌゞャヌやセキュリティ芁員などに報告する:
- 9.9.3.a 販売堎所の関係者甚トレヌニング材料を調べお、以䞋のトレヌニングが含たれおいるこずを確認する。\n・保守芁員を名乗っおいる者に装眮ぞの倉曎、トラブルシュヌティングのためのアクセスを蚱可する前に、身元を確認する。\n• 怜蚌なしで装眮を蚭眮、亀換、返品しない\n• 装眮の呚蟺での怪しい行動知らない人が装眮のプラグを抜いたり装眮を開けたりするに泚意する\n• すべおの怪しい行動を適切な関係者マネヌゞャヌやセキュリティ芁員などに報告する\n• 怪しい行動や装眮が改ざんや䞍正眮換された圢跡がある堎合には適切な関係者マネヌゞャヌやセキュリティ芁員などに報告する
- 9.9.3.b 販売堎所の関係者のサンプルをむンタビュヌするこずで、圌らがトレヌニングを受けおおり、以䞋の手順を知っおいるこずを確認したす。\n・保守芁員を名乗っおいる者に POS 装眮ぞの倉曎、トラブルシュヌティングのためのアクセスを蚱可する前に、身元を確認する。\n• 怜蚌なしで装眮を蚭眮、亀換、返品しない\n• POS 装眮の呚蟺での怪しい行動知らない人が装眮のプラグを抜いたり装眮を開けたりするに泚意する\n• 怪しい行動や POS 装眮が改ざんや䞍正眮換された圢跡がある堎合には適切な関係者マネヌゞャヌやセキュリティ芁員などに報告する
- 9.10 カヌド䌚員デヌタぞのアクセスを制限するためのセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 9.10 文曞を調べ、担圓者をむンタビュヌするこずで、カヌド䌚員デヌタぞのアクセスを制限するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知らされおいる
- 芁件10ネットワヌクリ゜ヌスおよびカヌド䌚員デヌタぞのすべおのアクセスを远跡および監芖する:
- 10.1 システムコンポヌネントぞのすべおのアクセスを各ナヌザにリンクする監査蚌跡を確立する:
- 10.1 システム管理者の芳察ずむンタビュヌを通じお、\n• システムコンポヌネントに察する監査蚌跡が有効になっおいおアクティブであるこずを確する\n• システムコンポヌネントぞのアクセスを各ナヌザにリンクする
- 10.2 次のむベントを再珟するために、すべおのシステムコンポヌネントの自動監査蚌跡を実装する。:
- 10.2 責任者のむンタビュヌ、監査ログの調査、および監査ログ蚭定の調査を通じお、以䞋を実行する。
- 10.2.1 カヌド䌚員デヌタぞのすべおの個人アクセス:
- 10.2.1 カヌド䌚員デヌタぞのすべおのアクセスがログに蚘録されるこずを確認する。
- 10.2.2 ルヌト暩限たたは管理暩限を持぀個人によっお行われたすべおのアクション:
- 10.2.2 ルヌトたたは管理者暩限を持぀個人によっお実斜されたすべおのアクションが蚘録されおいるこずを確認する。
- 10.2.3 すべおの監査蚌跡ぞのアクセス:
- 10.2.3 すべおの監査蚌跡ぞのアクセスがログ蚘録されるこずを確認する。
- 10.2.4 無効な論理アクセス詊行:
- 10.2.4 無効な論理アクセス詊行が蚘録されおいるこずを確認する。
- 10.2 5 識別ず認蚌メカニズムの䜿甚および倉曎新しいアカりントの䜜成、特暩の䞊昇を含むがこれらに限定されない、およびルヌトたたは管理者暩限を持぀アカりントの倉曎、远加、削陀のすべお:
- 10.2.5.a 識別および認蚌メカニズムの䜿甚がログに蚘録されるこずを確認する。
- 10.2.5.b 特暩の䞊昇がすべおログに蚘録されるこずを確認する
- 10.2.5.c ルヌトたたは管理者暩限を持぀アカりントの倉曎、远加、たたは削陀がすべおログに蚘録されおいるこずを確認する
- 10.2.6 監査ログの初期化、停止、䞀時停止:
- 10.2.6 以䞋がログに蚘録されおいるこずを確認する。\n• 監査ログの初期化\n• 監査ログの停止ず䞀時停止
- 10.2.7 システムレベルオブゞェクトの䜜成および削陀:
- 10.2.7 システムレベルオブゞェクトの䜜成および削陀がログ蚘録されるこずを確認する。
- 10.3 むベントごずに、すべおのシステムコンポヌネントに぀いお少なくずも以䞋の監査蚌跡゚ントリを蚘録する。:
- 10.3 むンタビュヌず芳察を通じお、監査可胜なむベント(10.2に蚘茉)ごずに、以䞋を実行する。
- 10.3.1 ナヌザ識別:
- 10.3.1 ナヌザ識別がログ゚ントリに含たれるこずを確認する。
- 10.3.2 むベントの皮類:
- 10.3.2 ログ゚ントリにむベントの皮類が含たれおいるこずを確する
- 10.3.3 日付ず時刻:
- 10.3.3 ログ゚ントリに日付ず時刻が含たれおいるこずを確認する。
- 10.3.4 成功たたは倱敗を瀺す情報:
- 10.3.4 ログ゚ントリに成功たたは倱敗を瀺す情報が含たれるこずを確認する。
- 10.3.5 むベントの発生元:
- 10.3.5 ログ゚ントリにむベントの発生元が含たれおいるこずを確認する。
- 10.3.6 圱響を受けるデヌタ、システムコンポヌネント、たたはリ゜ヌスのIDたたは名前:
- 10.3.6 圱響を受けるデヌタ、システムコンポヌネント、たたはリ゜ヌスのIDたたは名前がログ゚ントリに含たれるこずを確認する。
- 10.4 時刻同期技術を䜿甚しおすべおの重芁なシステムクロックおよび時間を同期し、時間を取埗、配垃、保存するために以䞋の芁件が実斜されおいるこずを確認する。\n泚 ネットワヌクタむムプロトコルNTPは、時刻同期技術の䞀䟋である。:
- 10.4 構成基準ずプロセスを調べるこずで、時刻同期技術が実装され、PCI DSS の芁件 6.1 ず 6.2 に埓っお最新状態に保たれおいるこずを確認する。
- 10.4.1 重芁なシステムが正確で䞀貫性のある時刻を持っおいる。:
- 10.4.1.a 組織内で正しい時刻を取埗、配垃、保存するプロセスを調べお、以䞋を確認する。\n• 指定した䞭倮タむムサヌバが、倖郚゜ヌスから時刻信号を受信し、倖郚゜ヌスからの時刻信号は囜際原子時たたは UTC に基づいおいる。\n• 耇数のタむムサヌバがある堎合、それらのタむムサヌバが正確な時刻を保぀ためにお互いに通信する。\n• システムは時刻情報を指定した䞭倮タむムサヌバからのみ受信する。
- 10.4.1.b システムコンポヌネントのサンプルに察しお、時刻関係のシステムパラメヌタ蚭定を芳察しお、以䞋を確認する。\n• 指定した䞭倮タむムサヌバが、倖郚゜ヌスから時刻信号を受信し、倖郚゜ヌスからの時刻信号は囜際原子時たたは UTC に基づいおいる\n• 耇数のタむムサヌバが指定されおいる堎合、指定した䞭倮タむムサヌバが正確な時刻を保぀ためにお互いに通信する\n• システムは時刻情報を指定した䞭倮タむムサヌバからのみ受信する
- 10.4.2 時刻デヌタが保護されおいる。:
- 10.4.2.a システム構成および時刻同期蚭定を調べお、時刻デヌタぞのアクセスは、業務䞊時刻デヌタにアクセスする必芁のある担圓者のみに制限されおいるこずを確認する。
- 10.4.2.b システム構成および時刻同期蚭定ずプロセスを調べお、重芁なシステムの時刻蚭定ぞの倉曎が、ログ蚘録、監芖、およびレビュヌされおいるこずを確認する。
- 10.4.3 時刻蚭定は、業界で認知されおいる時刻゜ヌスから受信されおいる。:
- 10.4.3 システム構成を調べお、タむムサヌバが悪意のある個人が時蚈を倉曎するのを防ぐために業界で認知されおいる特定の倖郚゜ヌスから時刻曎新を受け付けるこずを確認する。内郚タむムサヌバの䞍正䜿甚を防ぐためにこれらの曎新を察称キヌで暗号化し、時刻曎新が提䟛されるクラむアントマシンの IP アドレスを指定するアクセス制埡リストを䜜成するこずもできる。
- 10.5 倉曎できないよう、監査蚌跡をセキュリティで保護する。:
- 10.5 システム管理者をむンタビュヌし、システム構成ずアクセス暩限を調べお、次のように、監査蚌跡が倉曎できないようにセキュリティで保護されおいるこずを確認する。
- 10.5.1 監査蚌跡の衚瀺を、業務䞊の必芁がある人物のみに制限する。:
- 10.5.1 業務䞊の必芁がある個人のみが監査蚌跡ファむルを衚瀺できるこずを確認する。
- 10.5.2 監査蚌跡ファむルを䞍正な倉曎から保護する。:
- 10.5.2 アクセス制埡メカニズム、物理的な分離、ネットワヌクの分離などによっお、珟圚の監査蚌跡ファむルが䞍正な倉曎から保護されおいるこずを確認する。
- 10.5.3 監査蚌跡ファむルを、倉曎が困難な䞀元管理ログサヌバたたは媒䜓に即座にバックアップする。:
- 10.5.3 珟圚の監査蚌跡ファむルが倉曎が困難な䞀元管理ログサヌバたたは媒䜓に即座にバックアップされるこずを確認する。
- 10.5.4 倖郚に公開されおいるテクノロゞのログを、安党な䞀元管理の内郚ログサヌバたたは媒䜓デバむス䞊に曞き蟌む。:
- 10.5.4 倖郚に公開されおいるテクノロゞワむダレス、ファむアりォヌル、DNS、メヌルなどのログが安党な䞀元管理される内郚ログサヌバたたは媒䜓に曞き蟌たれるこずを確認する。
- 10.5.5 ログに察しおファむル敎合性監芖たたは倉曎怜出゜フトりェアを䜿甚しお、既存のログデヌタを倉曎するず譊告が生成されるようにする(ただし、新しいデヌタを远加する堎合は譊告を発生させない)。:
- 10.5.5 システム蚭定、監芖察象ファむル、および監芖䜜業からの結果を調査しお、ログに察しおファむル敎合性監芖たたは倉曎怜出゜フトりェアが䜿甚されおいるこずを確認する。
- 10.6 すべおのシステムコンポヌネントのログずセキュリティむベントを調べ、異垞や怪しい掻動を特定する。\n 泚 この芁件に準拠するために、ログの収集、解析、および譊告ツヌルを䜿甚するこずができたす。:
- 10.6 以䞋のこずを実行したす
- 10.6.1 毎日䞀床以䞊以䞋をレビュヌす\n• すべおのセキュリティむベン\n• CHD や SAD を保存、凊理、たたは送信する、たたは CHD や SAD のセキュリティに圱響を及がす可胜性のあるすべおのシステムコンポヌネントのログ\n• すべおの重芁なシステムコンポヌネントのログ\n• すべおのサヌバずセキュリティ機胜を実行するシステムコンポヌネントファむアりォヌル、䟵入怜出システム/䟵入防止システムIDS/IPS、認蚌サヌバ、電子商取匕リダむレクションサヌバなどのログ:
- 10.6.1.a セキュリティポリシヌず手順を調べお、手動たたはログツヌルを甚いお、以䞋を少なくずも毎日䞀床レビュヌする手順が定矩されおいるこずを確認する。\n• すべおのセキュリティむベン\n• CHD や SAD を保存、凊理、たたは送信する、たたは CHD やSAD のセキュリティに圱響を及がす可胜性のあるすべおのシステムコンポヌネントのログ\n• すべおの重芁なシステムコンポヌネントのログ\n• すべおのサヌバずセキュリティ機胜を実行するシステムコンポヌネントファむアりォヌル、䟵入怜出システム/䟵入防止システムIDS/IPS、認蚌サヌバ、電子商取匕リダむレクションサヌバなどのログ
- 10.6.1.b プロセスを芳察し、担圓者をむンタュヌするこずで、以䞋が少なくずも毎日䞀床レビュヌされおいるこずを確認する。\n• すべおのセキュリティむベント\n• CHD や SAD を保存、凊理、たたは送信する、たたは CHD やSAD のセキュリティに圱響を及がす可胜性のあるすべおのシステムコンポヌネントのログ\n• すべおの重芁なシステムコンポヌネントのログ\n• すべおのサヌバずセキュリティ機胜を実行するシステムコンポヌネントファむアりォヌル、䟵入怜出システム/䟵入防止システムIDS/IPS、認蚌サヌバ、電子商取匕リダむレクションサヌバなどのログ
- 10.6.2 組織のポリシヌ、および幎間リスク評䟡によっお決定されたリスク管理戊略に基づいお他のシステムコンポヌネントすべおのログを定期的にレビュヌする:
- 10.6.2.a セキュリティポリシヌず手順を調べお、組織のポリシヌずリスク管理戊略に基づき定期的に、手動たたはログツヌルを甚いお、他のすべおのシステムコンポヌネントをレビュヌする手順が定矩されおいるこずを確認する。
- 10.6.2.b 組織のリスク評䟡文曞を調べ、担圓者をむンタビュヌしお、レビュヌが組織のポリシヌずリスク管理戊略に埓っお実斜されおいるこずを確認する。
- 10.6.3 レビュヌプロセスで特定された䟋倖ず異垞をフォロヌアップする。:
- 10.6.3.a セキュリティポリシヌず手順を調べお、レビュヌプロセスで特定された䟋倖ず異垞をフォロヌアップする手順が定矩されおいるこずを確認する。
- 10.6.3.b プロセスを芳察し、担圓者をむンタビュヌするこずで、䟋倖ず異垞のフォロヌアップが実斜されおいるこずを確認する。
- 10.7 監査蚌跡の履歎を少なくずも1幎間保持する。少なくずも3カ月はすぐに分析できる状態にしおおく(オンラむン、アヌカむブ、バックアップから埩元可胜など)。:
- 10.7.a セキュリティポリシヌず手順を調べ、以䞋が定矩されおいるこずを確認する。\n• 監査ログ保存ポリシヌ\n• 監査ログを少なくずも 1 幎間保持し、最䜎 3 カ月はすぐに䜿甚できる状態にしおおくための手順。
- 10.7.b 担圓者をむンタビュヌし、監査ログを調べるこずで、監査ログが少なくずも1幎間利甚可胜であるこずを確認する。
- 10.7.c 担圓者をむンタビュヌし、プロセスを芳察するこずで、解析甚に、少なくずも過去3カ月分のログが即座に埩元できるこずを確認する
- 10.8 ネットワヌクリ゜ヌスずカヌド䌚員デヌタぞのすべおのアクセスを監芖するためのセキュリティポリシヌず操䜜手順が文曞化され、䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 10.8 文曞を調べ、担圓者をむンタビュヌするこずで、ネットワヌクリ゜ヌスずカヌド䌚員デヌタぞのすべおのアクセスを監芖するためのセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知られおいる
- 芁件11セキュリティシステムおよびプロセスを定期的にテストする:
- 11.1 四半期ごずにワむダレスアクセスポむントの存圚をテストし802.11、すべおの承認されおいるワむダレスアクセスポむントず承認されおいないワむダレスアクセスポむントを怜出し識別するプロセスを実斜する\n 泚 プロセスで䜿甚される方法には、ワむダレスネットワヌクのスキャン、システムコンポヌネントおよびむンフラストラクチャの論理的/物理的な怜査、ネットワヌクアクセス制埡NAC、無線 IDS/IPS が含たれるがこれらに限定されるわけではない。\nいずれの方法を䜿甚する堎合も、承認されおるデバむスず承認されおいないデバむスを䞡方怜出および識別できる機胜を十分に備えおいる必芁がある。:
- 11.1.a ポリシヌず手順を調べ、四半期ごずに承認されおいるワむダレスアクセスポむントず承認されおいないワむダレスアクセスポむントを䞡方怜出し識別するプロセスが定矩されおいるこずを確認する。
- 11.1.b 方法が、少なくずも以䞋を含むすべおの䞍正なワむダレスアクセスポむントを怜出しお識別するのに十分であるこずを確認する。\n・ システムコンポヌネントに挿入された WLAN カヌド\n・ ワむダレスアクセスポむントを䜜成するためにシステムコンポヌネントにUSB などで接続したポヌタブルやモバむルデバむス\n・ネットワヌクポヌトたたはネットワヌクデバむスに接続されたワむダレスデバむス
- 11.1.c 最近のワむダレススキャンの出力を調べお、以䞋を確認する。\n• 承認されおいるワむダレスアクセスポむントず承認されおいないワむダレスアクセスポむントが識別される\n• すべおのシステムコンポヌネントおよび斜蚭に察し、このスキャンが少なくずも四半期ごずに実斜されおいる
- 11.1.d 自動監芖ワむダレス IDS/IPS や NAC などが䜿甚されおいる堎合は、担圓者に通知するための譊告が生成されるように構成されおいるこずを確認する。
- 11.1.1 文曞化されおいる業務䞊の理由を含め、承認されおいるワむダレスアクセスポむントのむンベントリを維持する。:
- 11.1.1 文曞化されおいる蚘録を調べお、承認されおいるワむダレスアクセスポむントのむンベントリが維持されおおり、すべおの承認されおいるワむダレスアクセスポむントに察しお業務䞊の理由が文曞化されおいるこずを確認す
- 11.1.2 䞍正なワむダレスデバむスが怜出された堎合のむンシデント察応蚈画を実装する。:
- 11.1.2.a 組織のむンシデント蚈画を調べお芁件 12.9、承認されおいないワむダレスアクセスポむントが怜出された堎合に、その応答を定矩し、芁求しおいるこずを確認する。null
- 11.1.2.b 責任者をむンタビュヌし、最近のワむダレススキャンず関連応答を調べお、承認されおいないワむダレスアクセスポむントが芋぀かった堎合に察凊されおいるこずを確認する。
- 11.2 内郚ず倖郚ネットワヌクの脆匱性スキャンを少なくずも四半期に䞀床およびネットワヌクでの倧幅な倉曎新しいシステムコンポヌネントのむンストヌル、ネットワヌクトポロゞの倉曎、ファむアりォヌル芏則の倉曎、補品アップグレヌドなど埌に実行する。\n泚 四半期ごずのスキャンプロセスの耇数のスキャンレポヌトをたずめお、すべおのシステムがスキャンされ、すべおの脆匱性に察凊されたこずを瀺すこずができる。未修正の脆匱性が察凊䞭であるこずを確認するために、远加の文曞が芁求される堎合がある。\n初期の PCI DSS 準拠では、評䟡者が 1最新のスキャン結果が合栌スキャンであったこず、2事業䜓で四半期に䞀床のスキャンを芁求するポリシヌず手順が文曞化されおいるこず、および 3スキャン結果で刀明した脆匱性が再スキャンにおいお瀺されおいるずおりに修正されたこずを確認した堎合、初回のPCI DSS 準拠のために、四半期に䞀床のスキャンに 4 回合栌するこずは芁求されない。\n初回 PCI DSS レビュヌ以降は毎幎、四半期ごずのスキャンに 4 回合栌しなければならない。:
- 11.2 スキャンレポヌトず関連文曞を調べお、内郚および倖郚脆匱性スキャンが、次のように実行されおいるこずを確認する。
- 11.2.1 すべおの「高リスク」脆匱性芁件6.1 で識別が解決されるたで、必芁に応じお四半期ごずの内郚脆匱性スキャンを繰り返す。スキャンは有資栌者が実斜する必芁がある。:
- 11.2.1.a スキャンレポヌトをレビュヌし、四半期ごずの内郚スキャンが過去 12 カ月間で 4 回行われたこずを確認する。
- 11.2.1.b スキャンレポヌトをレビュヌし、スキャンプロセスで再スキャンを行ったこず、たたは PCI DSS 芁件 6.1 で定矩されたすべおの「高リスク」の脆匱性が解決されるたで再スキャンを行ったこずを確認する。
- 11.2.1.c 担圓者をむンタビュヌするこずで、スキャンが内郚リ゜ヌスたたは資栌のある倖郚の第䞉者によっお行われたこず、該圓する堎合は、テスタヌの組織の独立性QSA や ASV である必芁はないが存圚するこずを確認する。
- 11.2.2 四半期に䞀床の倖郚の脆匱性スキャンは、PCIPayment Card Industryセキュリティ基準審議䌚PCI SSCによっお資栌を䞎えられた認定スキャニングベンダASVによっお実行される必芁がある。スキャンに合栌するたで、必芁に応じお再スキャンする。\n泚 四半期に䞀床の倖郚の脆匱性スキャンは、PCIPayment Card Industryセキュリティ基準審議PCI SSCによっお資栌を䞎えられた認定スキャニングベンダASVによっお実行される必芁がある。\nスキャンにおける顧客の責任、スキャンの準備などに぀いおは、PCI SSC Web サむトで公開されおいる『ASV プログラムガむド』を参照しおください。:
- 11.2.2.a 四半期ごずに行われた最新の 4 回の内郚スキャンからの結果をレビュヌし、過去 12 カ月間で四半期ごずのスキャンが 4回行われたこずを確認する。
- 11.2.2.b 四半期ごずの各スキャンの結果をレビュヌし、『ASV プログラムガむド』の芁件たずえば、CVSS による 4.0 以䞊のレヌトの脆匱性がなく、自動゚ラヌがないを満たすこずを確認する。
- 11.2.2.c スキャンレポヌトをレビュヌし、PCI SSC認定スキャニングベンダASVがスキャンを完了したこずを確認する。
- 11.2.3 最初の倉曎があった埌の内郚ず倖郚脆匱性スキャンを必芁に応じお繰り返す。\nスキャンは有資栌者が実斜する必芁がある。:
- 11.2.3.a 倉曎管理文曞ずスキャンレポヌトを調べお盞関させ、倧幅な倉曎の察象ずなるシステムコンポヌネントがスキャンされたこずを確認する。
- 11.2.3.b スキャンレポヌトをレビュヌし、スキャンプロセスに、以䞋の芁件を満たすたで再スキャンを実行するこずが含たれおいるこずを確認する。\n・ 倖郚スキャンの堎合、CVSS スコアで 4.0 以䞊の脆匱性がないこず。\n・ 内郚スキャンの堎合、合栌結果が取埗されるこず、たたはPCI DSS 芁件 6.1 で定矩されたすべおの「高リスク」脆匱性が解消されるこず。
- 11.2.3.c スキャンが資栌のある内郚リ゜ヌスたたは資栌のある倖郚の第䞉者によっお行われたこず、該圓する堎合は、テスタヌの組織の独立性 QSA や ASV である必芁はないが存圚するこずを確認する。
- 11.3 少なくずも以䞋を含むペネトレヌションテスト方法を開発し、実装する。\n• 業界承認のペネトレヌションテスト方法NISTSP800-115 などに基づいおいる\n• CDE 境界ず重芁システム党䜓を察象ずした察応を含める\n• ネットワヌクの内郚ず倖郚からの䟵入テスト\n• セグメンテヌションず範囲枛少制埡の有効性テストを含める\n• アプリケヌション局のペネトレヌションテストは、少なくずも芁件 6.5 に蚘茉されおいる脆匱性を含める必芁がある\n• ネットワヌク局のペネトレヌションテストには、ネットワヌク機胜ずオペレヌティングシステムをサポヌトするコンポヌネントを含める必芁がある\n• 過去 12 カ月にあった脅嚁ず脆匱性のレビュヌず考慮を含める\nペネトレヌションテスト結果ず修正実斜結果の保持を指定する\n泚 芁件 11.3 ぞのこの曎新は、2015 幎 6 月30 日たではベストプラクティスずみなされ、それ以降は芁件になる。ペネトレヌションテストの PCI DSS v2.0 芁件は、v3.0 で曎新されるたで順守する必芁がある。:
- 11.3 ペネトレヌションテスト方法を調べ、責任者をむンタビュヌするこずで、この方法が実装されおおり少なくずも以䞋を含むこずを確認する。\n• 業界承認のペネトレヌションテスト方法に基づいおいる\n• CDE 境界ず重芁システム党䜓を察象ずした察応\n• ネットワヌクの内郚ず倖郚からの䟵入テスト\n• セグメンテヌションず範囲枛少制埡の有効性テスト\n• アプリケヌション局のペネトレヌションテストは、少なくずも芁件 6.5 に蚘茉されおいる脆匱性を含める必芁がある\n• ネットワヌク局のペネトレヌションテストには、ネットワヌク機胜ずオペレヌティングシステムをサポヌトするコンポヌネントを含める必芁がある\n• 過去 12 カ月にあった脅嚁ず脆匱性のレビュヌず考慮\n• ペネトレヌションテスト結果ず修正実斜結果の保持を指定する
- 11.3.1 倖郚のペネトレヌションテストを少なくずも幎に䞀床および倧幅なむンフラストラクチャたたはアプリケヌションのアップグレヌドや倉曎オペレヌティングシステムのアップグレヌド、環境ぞのサブネットワヌクの远加、環境ぞの Web サヌバの远加など埌に実行する。:
- 11.3.1.a 最新の倖郚ペネトレヌションテストの察象範囲ず結果を調べお、ペネトレヌションテストが以䞋を満たしおいるこずを確認する。\n• 定矩された方法に埓っおいる\n• 少なくずも幎に䞀床実斜する\n• 環境に察しお重倧な倉曎が行われた埌実斜する
- 11.3.1.b テストが認定された内郚リ゜ヌスたたは認定された倖郚の第䞉者によっお実行されたこず、および該圓する堎合はテスタヌが組織的に独立した立堎であるこずQSA たたは ASV である必芁はないを確認する。
- 11.3.2 内郚ペネトレヌションテストを少なくずも幎に䞀床および倧幅なむンフラストラクチャたたはアプリケヌションのアップグレヌドや倉曎オペレヌティングシステムのアップグレヌド、環境ぞのサブネットワヌクの远加、環境ぞの Web サヌバの远加など埌に実行する。:
- 11.3.2.a 最新の内郚ペネトレヌションテストの結果を調べお、ペネトレヌションテストが少なくずも幎に䞀床および環境ぞの倧幅な倉曎埌に実行されおいるこずを確認する。\n• 定矩された方法に埓っおいる\n• 少なくずも幎に䞀床実斜する\n• 環境に察しお重倧な倉曎が行われた埌に実斜する
- 11.3.2.b テストが認定された内郚リ゜ヌスたたは認定された倖郚の第䞉者によっお実行されたこず、および該圓する堎合はテスタヌが組織的に独立した立堎であるこずQSA たたは ASV である必芁はないを確認する。
- 11.3.3 ペネトレヌションテストで怜出された悪甚可胜な脆匱性が修正され、テストが繰り返されお修正が確認される。:
- 11.3.3 ペネトレヌションテスト結果を調べお、既知の悪甚可胜な脆匱性が修正され、テストが繰り返されお脆匱性が修正されたこずを確認する。
- 11.3.4 セグメンテヌションを甚いお CDE を他のネットワヌクから分離した堎合、少なくずも幎に䞀床ずセグメンテヌションの制埡/方法が倉曎された埌にペネトレヌションテストを行っお、セグメンテヌション方法が運甚可胜で効果的であり、適甚範囲内のシステムから適甚範囲倖のシステムをすべお分離するこずを確認する:
- 11.3.4.a セグメンテヌション制埡を調べ、ペネトレヌションテスト方法をレビュヌしお、ペネトレヌションテスト手順ですべおのセグメンテヌション方法をテストし、ペネトレヌションテストを行っお、セグメンテヌション方法が運甚可胜で効果的であり、適甚範囲内のシステムから適甚範囲倖のシステムをすべお分離するこずを確認する。
- 11.3.4.b 最新のペネトレヌションテストからの結果を調べお、セグメンテヌション制埡を確認するペネトレヌションテストが以䞋を満たしおいるこずを確認する。\n• 少なくずも幎 1 回およびセグメンテヌション制埡/方法に䜕らかの倉曎を加えた埌に実斜される\n• 䜿甚されおいるすべおのセグメンテヌション制埡/方法を察象ずする\n• セグメンテヌション方法が運甚可胜で効果的であり、察象範囲内システムから察象範囲倖システムを分離する
- 11.4䟵入怜知システムや䟵入防止手法を䜿甚しお、ネットワヌクぞの䟵入を怜知および/たたは防止する。カヌド䌚員デヌタ環境ずの境界およびカヌド䌚員デヌタ環境内の重芁なポむントを通過するすべおのトラフィックを監芖し、䟵害の疑いがある堎合は担圓者に譊告する。\nすべおの䟵入怜知および防止゚ンゞン、ベヌスラむン、シグネチャを最新状態に保぀。:
- 11.4.a システム構成ずネットワヌク図を調べお、䟵入怜知システムや䟵入防止などの手法が䜿甚されおいお、すべおのトラフィックが監芖されおいるこずを確認する。\n• カヌド䌚員デヌタ環境の境界で\n• カヌド䌚員デヌタ環境内の重芁なポむントで
- 11.4.b システム構成を調べ、責任者をむンタビュヌするこずで、䟵入怜知や䟵入防止が䟵害の疑いを担圓者に譊告するこずを確認する。
- 11.4.c 䟵入怜知や䟵入防止手法の構成ずベンダ文曞を調べお、䟵入怜知や䟵入防止手法デバむスが最適な保護を実珟するためのベンダの指瀺に埓っお構成、保守、曎新されおいるこずを確認する。
- 11.5 倉曎怜出メカニズムファむル敎合性監芖ツヌルなどを導入しお重芁なシステムファむル、構成ファむル、たたはコンテンツファむルの䞍正な倉曎を担圓者に譊告し、重芁なファむルの比范を少なくずも週に䞀床実行するように゜フトりェアを構成する。\n泚倉曎怜出目的で、重芁なファむルずは通垞、定期的に倉曎されないが、その倉曎がシステムの䟵害や䟵害のリスクを瀺す可胜性があるファむルを瀺す。ファむル敎合性監芖補品などの倉曎怜出メカニズムでは通垞、関連オペレヌティングシステム甚の重芁なファむルがあらかじめ構成されおいる。カスタムアプリケヌション甚のファむルなど、その他の重芁なファむルは、事業䜓぀たり、加盟店たたはサヌビスプロバむダによる評䟡および定矩が必芁である。:
- 11.5.a システム蚭定ず監芖されたファむルを芳察し、監芖掻動の結果をレビュヌするこずで、カヌド䌚員デヌタ環境で、倉曎怜出メカニズムが䜿甚されおいるこずを確認する。\n監芖する必芁があるファむルの䟋:\n・ システム実行可胜ファむル\n・ アプリケヌション実行可胜ファむル\n・ 構成およびパラメヌタファむル\n・ 集䞭的に保存されおいる、履歎たたはアヌカむブされた、ログおよび監査ファむル\n・ 事業䜓が指定した远加の重芁ファむルリスク評䟡その他の方法で
- 11.5.b 重芁なファむルの䞍正な倉曎を担圓者に譊告し、重芁なファむルの比范を少なくずも週に 1 回実行するようにメカニズムが構成されおいるこずを確認する。
- 11.5.1 倉曎怜出゜リュヌションによっお生成された譊告に察応するプロセスを実装する。:
- 11.5.1 担圓者をむンタビュヌするこずで、すべおの譊告が調査され解決されたこずを確認する。
- 11.6 セキュリティ監芖ずテストに関するセキュリティポリシヌず操䜜手順が文曞化されお䜿甚されおおり、圱響を受ける関係者党員に知られおいるこずを確認する。:
- 11.6 文曞を調べ、担圓者をむンタビュヌするこずで、セキュリティ監芖ずテストに関するセキュリティポリシヌず操䜜手順が以䞋の芁件を満たしおいるこずを確認する。\n• 文曞化されおいる\n• 䜿甚されおいる\n• 圱響を受ける関係者党員に知られおいる
- 芁件12埓業員および掟遣瀟員向けの情報セキュリティポリシヌを敎備する:
- 12.1 セキュリティポリシヌを確立、公開、維持、普及させる:
- 12.1 情報セキュリティポリシヌを調べお、ポリシヌが公開され、すべおの関係者ベンダ、ビゞネスパヌトナヌを含むに普及されおいるこずを確認する。
- 12.1.1 少なくずも幎に䞀床レビュヌし、環境が倉曎された堎合にポリシヌを曎新する。:
- 12.1.1 情報セキュリティポリシヌを少なくずも幎に䞀床レビュヌし、ビゞネス目暙たたはリスク環境ぞの倉曎を反映するため、必芁に応じお曎新されおいるこずを確認する。
- 12.2 以䞋のリスク評䟡プロセスを実装する。\n• 少なくずも幎に䞀床ず環境に倧きな倉曎があった堎合買収、合䜵、移転などに実斜される\n• 重芁なアセット、脅嚁、脆匱性を識別する\n• 正匏なリスク評䟡に至る\nリスク評䟡方法の䟋ずしおは、OCTAVE、ISO 27005、および NIST SP800-30 が挙げられたすが、これらに限定されたせん。:
- 12.2.a 正匏なリスク評䟡で、脅嚁、脆匱性、結果を識別する、幎に䞀床のリスク評䟡プロセスが文曞化されおいるこずを確認する。
- 12.2.b リスク評䟡文曞をレビュヌし、リスク評䟡プロセスが少なくずも幎に䞀床ず倧きな倉曎があった堎合に実斜されおいるこずを確認する。
- 12.3 重芁なテクノロゞに関する䜿甚ポリシヌを䜜成しお、これらのテクノロゞの適切な䜿甚を定矩する\n泚 重芁なテクノロゞの䟋には、リモヌトアクセスおよびワむダレステクノロゞ、ノヌトパ゜コン、タブレット、リムヌバブル電子メディア、電子メヌルの䜿甚、むンタヌネットの䜿甚がありたすが、これらに限定されたせん\nこれらの䜿甚ポリシヌで以䞋を芁求するこずを確認する。
- 12.3 重芁なテクノロゞに関する䜿甚ポリシヌを調べ、責任者をむンタビュヌするこずで、ポリシヌが実装・順守されおいるこずを確認する。
- 12.3.1 暩限を持぀関係者による明瀺的な承認:
- 12.3.1 䜿甚ポリシヌが、テクノロゞを䜿甚するために、蚱可された圓事者からの明瀺的な承認を芁求しおいるこずを確認する。
- 12.3.2 テクノロゞの䜿甚に察する認蚌:
- 12.3.2 䜿甚ポリシヌが、すべおのテクノロゞの䜿甚に、ナヌザ ID ずパスワヌドたたはその他の認蚌項目トヌクンなどによる認蚌を芁求するプロセスを含んでいるこずを確認する。
- 12.3.3 このようなすべおのデバむスおよびアクセスできる担圓者のリスト:
- 12.3.3 䜿甚ポリシヌが、すべおのデバむスおよびデバむスの䜿甚を蚱可された担圓者のリストを定矩しおいるこずを確認する。
- 12.3.4 デバむスの所有者、連絡先情報、目的を正確にその堎で識別できる方法ラベル付け、コヌディング、デバむスのむンベントリ:
- 12.3.4 䜿甚ポリシヌがデバむスの所有者、連絡先情報、目的を正確にその堎で識別できる方法ラベル付け、コヌディング、デバむスのむンベントリを定矩するこずを確認する。
- 12.3.5 テクノロゞの蚱容される利甚法:
- 12.3.5 䜿甚ポリシヌが、テクノロゞの蚱容される利甚法を定矩しおいるこずを確認する。
- 12.3.6 テクノロゞの蚱容されるネットワヌク䞊の堎所:
- 12.3.6 䜿甚ポリシヌが、テクノロゞの蚱容されるネットワヌク䞊の堎所を定矩しおいるこずを確認する。
- 12.3.7 䌚瀟が承認した補品のリスト:
- 12.3.7 䜿甚ポリシヌが、䌚瀟が承認した補品のリストを含むこずを確認する。
- 12.3.8 非アクティブ状態が特定の期間続いた埌のリモヌトアクセステクノロゞのセッションの自動切断:
- 12.3.8.a 䜿甚ポリシヌが、非アクティブ状態が䞀定期間続いた埌のリモヌトアクセステクノロゞのセッションの自動切断を芁求しおいるこずを確認する。
- 12.3.8.b リモヌトアクセステクノロゞの構成を調べお、非アクティブ状態が䞀定期間続いた埌にリモヌトアクセステクノロゞのセッションが自動切断されるこずを確認する。
- 12.3.9 ベンダおよびビゞネスパヌトナヌには必芁ずする堎合にのみリモヌトアクセステクノロゞをアクティブ化し、䜿甚埌盎ちに非アクティブ化する:
- 12.3.9 䜿甚ポリシヌで、ベンダやビゞネスパヌトナヌが必芁ずする堎合にのみリモヌトアクセステクノロゞをアクティブ化し、䜿甚埌盎ちに非アクティブ化するこずが芁求されおいるこずを確認する。
- 12.3.10 リモヌトアクセステクノロゞ経由でカヌド䌚員デヌタにアクセスする担圓者に぀いおは、定矩されたビゞネスニヌズのために明瀺的に承認されおいない限り、ロヌカルハヌドドラむブおよびリムヌバブル電子メディアぞのカヌド䌚員デヌタのコピヌ、移動、保存を犁止する。 承認されたビゞネスニヌズがある堎合、䜿甚ポリシヌはデヌタが適甚される PCI DSS 芁件すべおに埓っお保護されるこずを芁求する必芁がある。:
- 12.3.10.a 䜿甚ポリシヌで、リモヌトアクセステクノロゞを介しおカヌド䌚員デヌタにアクセスする堎合、このようなデヌタをロヌカルハヌドドラむブやリムヌバブル電子媒䜓にコピヌ、移動、保存するこずは犁止されおいるこずを確認する。
- 12.3.10.b 適切な承認を持぀担圓者に぀いお、䜿甚ポリシヌが PCI DSS 芁件に埓っお、カヌド䌚員デヌタの保護を芁求しおいるこずを確認する。
- 12.4 セキュリティポリシヌず手順が、すべおの担圓者に関する情報セキュリティ責任を明確に定矩しおいるこずを確認する。:
- 12.4.a すべおの担圓者に぀いお、情報セキュリティを明確に定矩する情報セキュリティポリシヌを確認する。
- 12.4.b 責任者のサンプルをむンタビュヌしお、セキュリティポリシヌを理解しおいるこずを確認する。
- 12.5 個人たたはチヌムに以䞋の情報セキュリティ管理責任を割り圓おる。:
- 12.5 情報セキュリティポリシヌず手順を調べ、以䞋を確認する。\n• 情報セキュリティが最高セキュリティ責任者たたはマネヌゞメントのその他のセキュリティに詳しいメンバヌに正匏に割り圓おられおいる。\n• 以䞋の情報セキュリティ責任が明確か぀正匏に割り圓おられおいる
- 12.5.1 セキュリティポリシヌおよび手続きを確立、文曞化、配垃する。:
- 12.5.1 セキュリティポリシヌず手順を確立、文曞化、および配垃する責任が、正匏に割り圓おられおいるこずを確認する。
- 12.5.2 セキュリティの譊告や情報を監芖および分析し、適切な担圓者に配垃する。:
- 12.5.2 セキュリティの譊告を監芖および分析し、情報を適切な情報セキュリティおよび郚眲管理担圓者に配垃する責任が、正匏に割り圓おられおいるこずを確認する。
- 12.5.3 セキュリティむンシデントの察応および゚スカレヌション手順を確立、文曞化、配垃し、すべおの状況にタむムリヌか぀効率的に察凊するこずを確認する。:
- 12.5.3 セキュリティむンシデントの察応および゚スカレヌション手順を確立、文曞化、および配垃する責任が、正匏に割り圓おられおいるこずを確認する。
- 12.5.4 远加、削陀、倉曎を含め、ナヌザアカりントを管理する:
- 12.5.4 ナヌザアカりントの管理远加、削陀、倉曎の責任ず認蚌管理の責任が正匏に割り圓おられおいるこずを確認する。
- 12.5.5 すべおのデヌタぞのアクセスを監芖および管理する。:
- 12.5.5 すべおのデヌタぞのアクセスを監芖および管理する責任が正匏に割り圓おられおいるこずを確認する。
- 12.6 カヌド䌚員デヌタセキュリティの重芁性を党担圓者が認識できるように正匏なセキュリティ意識向䞊プログラムを実装する:
- 12.6.a 正匏なセキュリティ意識向䞊プログラムを調べお、このプログラムがカヌド䌚員デヌタセキュリティの重芁性を党担圓者に認識させるこずができるこずを確認する。
- 12.6.b セキュリティ意識向䞊プログラム手順ず文曞を調べお、以䞋を実斜する。
- 12.6.1 担圓者の教育を採甚時および少なくずも幎に䞀床行う。\n泚 方法は、担圓者の圹割ずカヌド䌚員デヌタぞのアクセスレベルに応じお異なる。:
- 12.6.1.a セキュリティ意識向䞊プログラムが、担圓者の意識向䞊ず教育を図るため、耇数の方法たずえば、ポスタヌ、手玙、メモ、Webベヌスのトレヌニング、䌚議、プロモヌションなどで提䟛されおいるこずを確認する。
- 12.6.1.b 担圓者が、採甚時および少なくずも幎に䞀床、セキュリティ意識向䞊トレヌニングに参加しおいるこずを確認する。
- 12.6.1.c 担圓者のサンプルをむンタビュヌするこずで、意識向䞊トレヌニングを完了しおおり、カヌド䌚員デヌタセキュリティの重芁さを認識しおいるこずを確認する。
- 12.6.2 担圓者は、少なくずも幎に䞀床セキュリティポリシヌおよび手順を読み、理解したこずを認める必芁がある。:
- 12.6.2 担圓者が、少なくずも幎に䞀床セキュリティポリシヌおよび手順を読み、理解したこずを曞面たたは電子的に認める必芁があるこずを、セキュリティ意識向䞊プログラムが芁求しおいるこずを確認する。
- 12.7 雇甚する前に、可胜性のある担圓者を遞別しお、内郚゜ヌスからの攻撃リスクを最小限に抑える。バックグラりンドチェックの䟋には、職歎、犯眪歎、信甚履歎、経歎照䌚がある。\n泚 このような可胜性のある担圓者を、トランザクションの実斜で䞀床に 1 ぀のカヌド番号にしかアクセスできないようなレゞ係など、特定の圹職に採甚する堎合は、この芁件は掚奚のみです。:
- 12.7 人事郚門の管理者に問い合わせお、カヌド䌚員デヌタたたはカヌド䌚員デヌタ環境にアクセスする可胜性のある担圓者に぀いおは、雇甚の前にバックグラりンドチェックが地域法の制玄内で実斜されるこずを確認する。
- 12.8 カヌド䌚員デヌタがサヌビスプロバむダず共有される堎合は、次の項目を含め、サヌビスプロバむダを管理するポリシヌず手順を維持および実装する。:
- 12.8 ポリシヌず手順の芳察ずレビュヌ、関連文曞のレビュヌを通しお、カヌド䌚員デヌタを共有するか、カヌド䌚員デヌタのセキュリティに圱響を及がす可胜性のあるサヌビスプロバむダたずえば、バックアップテヌプ保管斜蚭、Web ホスティング䌁業やセキュリティサヌビスプロバむダなどの管理察象サヌビスプロバむダ、たたは䞍正モデリング目的でデヌタを受信するサヌビスプロバむダなどを次のように管理するプロセスが実装されおいるこずを確認する。
- 12.8.1 サヌビスプロバむダのリストを維持する。:
- 12.8.1 サヌビスプロバむダのリストが維持されおいるこずを確認する。
- 12.8.2サヌビスプロバむダは、プロバむダが、顧客に代わっお所有、保存、凊理、送信するカヌド䌚員デヌタのセキュリティに぀いお、たたは顧客のカヌド䌚員デヌタのセキュリティに圱響を䞎える範囲に぀いお責任を持぀こずを認める内容の曞面による契玄曞を維持する。\n泚 同意の正確な蚀葉づかいは、提䟛されるサヌビスの詳现、各事業䜓に割り圓おられる責任など、2 ぀の事業䜓間の同意よっお異なりたす。同意の正確な蚀葉づかいに、この芁件で提䟛されおいるのず同じものを含める必芁はありたせん。:
- 12.8.2 曞面による契玄を調べお、サヌビスプロバむダが、顧客に代わっお所有、保存、凊理、送信するカヌド䌚員デヌタのセキュリティに぀いお、たたは顧客のカヌド䌚員デヌタのセキュリティに圱響を䞎える範囲に぀いお責任を持぀こずを認める内容の曞面による契玄曞を維持しおいるこずを確認する。
- 12.8.3 契玄前の適切なデュヌディリゞェンスを含め、サヌビスプロバむダずの契玄に関するプロセスが確立されおいる。:
- 12.8.3 サヌビスプロバむダずの契玄前の適切なデュヌディリゞェンスを含め、ポリシヌず手順が文曞化されお、実斜されおいるこずを確認する。
- 12.8.4 少なくずも幎に䞀床、サヌビスプロバむダのPCI DSS準拠ステヌタスを監芖するプログラムを維持する。:
- 12.8.4 事業䜓が、少なくずも幎に䞀床そのサヌビスプロバむダのPCI DSS準拠ステヌタスを監芖するためのプログラムを維持しおいるこずを確認する。
- 12.8.5 各サヌビスプロバむダに察し、どのPCI DSS 芁件がサヌビスプロバむダによっお管理され、どの PCI DSS が事業䜓によっお管理されるかに぀いおの情報を維持する。:
- 12.8.5 各サヌビスプロバむダに察し、どの PCI DSS 芁件がサヌビスプロバむダによっお管理され、どの PCI DSS が事業䜓によっお管理されるかに぀いおの情報を事業䜓が維持しおいるこずを確認する。
- 12.9 サヌビスプロバむダ甚の远加芁件:顧客に代わっお所有、保存、凊理、送信するカヌド䌚員デヌタのセキュリティに぀いお、たたは顧客のカヌド䌚員デヌタのセキュリティに圱響を䞎える範囲に぀いお責任を持぀こずを認める内容の曞面による契玄曞を維持する。\n泚 この芁件は、2015 幎 6 月 30 日たではベストプラクティスずみなされ、それ以降は芁件になる。\n泚 同意の正確な蚀葉づかいは、提䟛されるサヌビスの詳现、各事業䜓に割り圓おられる責任など、2 ぀の事業䜓間の同意よっお異なりたす。同意の正確な蚀葉づかいに、この芁件で提䟛されおいるのず同じものを含める必芁はありたせん。:
- 12.9.1 サヌビスプロバむダのポリシヌず手順をレビュヌし、曞面による契玄のテンプレヌトを読んで、サヌビスプロバむダが、顧客のカヌド䌚員デヌタや機密の認蚌デヌタを取り扱う、アクセスする、たたは他の方法で保存、凊理、送信するか、顧客のカヌド䌚員デヌタ環境を顧客に委蚗されお管理するずいう業務範囲においお該圓するすべおの PCI DSS 芁件を順守するずいう同意を曞面にお顧客に提瀺したこずを確認する。
- 12.10 むンシデント察応蚈画を実斜する。システム違反に盎ちに察応できるよう準備する。:
- 12.10 むンシデント察応蚈画ず関連手順を調べお、事業䜓がシステム違反に察しお以䞋を実斜するこずで即時察応する甚意があるこずを確認する。
- 12.10.1 システム違反が発生した堎合に実斜されるむンシデント察応蚈画を䜜成する。蚈画では、最䜎限、以䞋に察応する。\n・ペむメントブランドぞの通知を最䜎限含む、䟵害が発生した堎合の圹割、責任、および䌝達ず連絡に関する戊略\n・具䜓的なむンシデント察応手順\n・ビゞネスの埩旧および継続手順\n・デヌタバックアッププロセス\n・䟵害の報告に関する法的芁件の分析\n・すべおの重芁なシステムコンポヌネントを察象ずした察応\n・ペむメントブランドによるむンシデント察応手順の参照たたは包含:
- 12.10.1.a むンシデント察応蚈画に以䞋が含たれおいるこずを確認する。\n・ペむメントブランドぞの通知を最䜎限含む、䟵害が発生した堎合の圹割、責任、および䌝達に関する戊略\n・具䜓的なむンシデント察応手順\n・ビゞネスの埩旧および継続手順\n・デヌタバックアッププロセス\n・䟵害の報告に関する法的芁件の分析デヌタベヌスにカリフォルニア圚䜏者が含たれおいる䌁業に察し、実際の䟵害たたは䟵害の可胜性が発生した堎合に、圱響を受ける消費者ぞの通知を芁求するCalifornia Bill 1386 など\n・すべおの重芁なシステムコンポヌネントを察象ずした察応\n・ペむメントブランドによるむンシデント察応手順の参照たたは包含
- 12.10.1.b 担圓者をむンタビュヌし、以前に報告されたむンシデントや譊告をレビュヌしお、文曞化されたむンシデントレスポンス蚈画ず手順に埓っおいるこずを確認する。
- 12.10.2 少なくずも幎に䞀床、蚈画をテストする。:
- 12.10.2 少なくずも幎に䞀床、蚈画がテストされおいるこずを確認する。
- 12.10.3 譊告に 24 時間 365 日䜓制で察応できる担圓者を指定する。:
- 12.10.3 ポリシヌの芳察ずレビュヌ、および責任者のむンタビュヌを通じお、承認されおいない掻動、承認されおいないワむダレスアクセスポむントの怜出、重芁な IDS 譊告、重芁なシステムたたはコンテンツファむルの承認されおいない倉曎の痕跡がないかどうかを調査するために、むンシデント察応および監芖が 24 時間䜓制で行われおいるこずを確認する。
- 12.10.4 セキュリティ違反ぞの察応を担圓するスタッフに適切なトレヌニングを提䟛する。:
- 12.10.4 ポリシヌの芳察ずレビュヌ、および責任者のむンタビュヌを通じお、セキュリティ違反ぞの察応に責任を持぀スタッフが定期的にトレヌニングされおいるこずを確認する。
- 12.10.5 䟵入怜知、䟵入防止、ファむアりォヌル、ファむル敎合性監芖システムを含むがこれらに限定されない、セキュリティ監芖システムからの譊告を含める。:
- 12.10.5 ポリシヌの芳察ずレビュヌを通じお、承認されおいない無線アクセスポむントの怜出を含め、セキュリティ監芖システムからの譊告の監芖および察応がむンシデント察応蚈画に含たれおいるこずを確認する。
- 12.10.6 埗られた教蚓を螏たえおむンシデント察応蚈画を倉曎および改善し、業界の発展を組み蟌むプロセスを䜜成する。:
- 12.10.6 ポリシヌの芳察ずレビュヌ、および責任者のむンタビュヌを通じお、埗られた教蚓を螏たえおむンシデント察応蚈画を倉曎および改善し、業界の発展を組み蟌むプロセスがあるこずを確認する。
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment