PCI DSS顧客責任マトリックス
本稿では、Genesys CloudプラットフォームをPCI準拠の方法で使用するために、PCI DSS(Payment Card Industry Data Security Standard)の要件をどのように満たす必要があるかについて説明します。 要件 12.8.5 に従い、この記事では、顧客、Genesys Cloud、または双方が各 PCI DSS 要件を満たす責任を持つ場所を示します。 以下の拡張可能なマトリックスに示されている責任は、顧客がすでに持っている既存のPCI DSS要件を自分のシステムや手法に適用する代わりにも置き換えもしません。*
* 例えば、以下の拡張可能なマトリックスでは、セクション5が悪意のあるソフトウェアからすべてのシステムとネットワークを保護する責任を取り上げています。 本マトリックスのこのセクションは、Genesysクラウド制御システムに適用されます。 セクション5.2.1に示すように、Genesys Cloudは、Genesys Cloudが管理するシステムにウイルス対策ソフトウェアを導入する責任を負います。 お客様は、Genesys Cloud制御システム上にウイルス対策ソフトウェアを導入する追加の責任を一切負いません。 ただし、顧客には、顧客の管理よりもシステムにウイルス対策ソフトウェアを展開する責任があります。
ジェネシスのクラウドプラットフォームは、PCI DSS基準のバージョン4.0を使用して、レベル1のサービスプロバイダーとしてPCI DSSのアセスメントを達成しました。 コンプライアンス証明書は、機密保持契約に基づいてお客様に提供されます。 クレジットカード情報の処理、送信、または保存に使用できるのは、コンプライアンスに関するレポートにPCI認定として記載されているGenesysCloudの機能のみです。 特定のGenesys Cloud機能にのみ適用されるPCI DSS要件は、責任マトリックスに記載されています。 顧客がその特定のGenesys Cloud機能を使用しない場合、これらの要件は適用されません。
以下のマトリックスは、ネイティブのGenesys Cloud機能を使用しているお客様に適用されます。 顧客は、サード使用している場合は相手などからのアプリケーションなどの製品を、 AppFoundry または使用する技術 独自のテクノロジーサービスモデルを導入する、顧客およびサード相手 サービス プロバイダー追加の共有責任を有することができます。 これらの責任は、顧客とサードの間で共有されている相手 サービス プロバイダー 。 顧客は、サードに確認する必要があり相手 サービス プロバイダー PCI DSSへの準拠と共同責任について。 この状況では、Genesys CloudはPCI DSSの追加の責任を共有しません。
詳細については、 PCI DSSコンプライアンス。
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
1.1 ネットワークセキュリティ管理策の導入と維持のためのプロセスと仕組みが定義され、理解されている。 | X | ||||
1.1.1 要件 1 で特定されたすべてのセキュリティポリシーと運用手順を実施する: 文書化されている、最新の状態に保たれている、使用中である、すべての関係者に周知されている。 | X | ||||
1.1.2 要件1の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
1.2 ネットワーク・セキュリティ管理(NSC)が設定され、維持されている。 | X | ||||
1.2.1 NSCルールセットの設定基準は以下の通り: 定義し、実施し、維持する。 | X | ||||
1.2.2 ネットワーク接続及び NSC の設定に対するすべての変更は、要件 6.5.1 に定める変更管理プロ セスに従って承認され、管理される。 | X | ||||
1.2.3 無線ネットワークを含む、CDEと他のネットワーク間のすべての接続を示す正確なネットワーク図が維持される。 | X | ||||
1.2.4 以下を満たす正確なデータフロー図が整備されていること: システムやネットワークを横断するすべてのアカウントデータの流れを表示します。 環境の変化に応じて随時更新。 | X | ||||
1.2.5 許可されるすべてのサービス、プロトコル、ポートは特定され、承認され、ビジネス上の必要性が定義されている。 | X | ||||
1.2.6 使用中のすべてのサービス、プロトコル、ポートで、安全でないと考えられるものについては、リスクを軽減するようなセキュリティ機能が定義され、実装されている。 | X | この環境では、安全でないサービスのプロトコルやポートは許可されていない。 | |||
1.2.7 NSCの構成は、少なくとも半年に一度は見直され、適切かつ効果的であることが確認される。 | X | ||||
1.2.8 NSCの設定ファイルは以下の通り: 不正アクセスから保護され、アクティブなネットワーク構成との一貫性が保たれる。 | X | ||||
1.3 カード会員データ環境への、およびカード会員データ環境からのネットワークアクセ スは制限されます。 | X | ||||
1.3.1 CDEへのインバウンド・トラフィックは以下のように制限されている: 必要なトラフィックだけに その他のトラフィックはすべて拒否される。 | X | ||||
1.3.2 CDEからのアウトバウンド・トラフィックは以下のように制限される: 必要なトラフィックだけに その他のトラフィックはすべて拒否される。 | X | ||||
1.3.3 NSCは、ワイヤレスネットワークがCDEであるかどうかにかかわらず、すべてのワイヤレスネットワークとCDEの間にインストールされる:
|
X | この環境では、ワイヤレス技術の使用は禁止されている。 | |||
1.4 信頼できるネットワークと信頼できないネットワーク間のネットワーク接続は制御される。 | X | ||||
1.4.1 NSCは信頼されたネットワークと信頼されていないネットワークの間で実装される。 | X | ||||
1.4.2 信頼できないネットワークから信頼できるネットワークへのインバウンド・トラフィックは、次のように制限されている:
|
X | ||||
1.4.3 スプーフィング対策は、信頼されたネットワークに入る偽造されたソースIPアドレスを検出し、ブロックするために実装される。 | X | ||||
1.4.4 カード会員データを保存するシステムコンポーネントは、信頼できないネットワークから直接アクセス できない。 | X | Genesys はカード会員データを採点しない。 | |||
1.4.5 内部IPアドレスおよびルーティング情報の開示は、許可された関係者のみに限定されます。 | X | ||||
1.5 信頼されていないネットワークとCDEの両方に接続できるコンピューティングデバイスによるCDEへのリスクは軽減される。 | X | ||||
1.5.1 セキュリティ管理は、以下のように、信頼されていないネットワーク(インターネットを含む)と CDE の両方に接続する、会社所有および従業員所有のデバイスを含むあらゆるコンピューティングデバイスに実装されます:
|
X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
2.1 すべてのシステム構成要素に安全な設定を適用するためのプロセスと仕組みが定義され、理解されている。 | X | ||||
2.1.1 要件 2 で特定されたすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | ||||
2.1.2 要件2の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
2.2 システムコンポーネントは安全に設定・管理される。 | X | ||||
2.2.1 コンフィギュレーション・スタンダードを開発し、実施し、維持する:
|
X | ||||
2.2.2 ベンダーのデフォルトアカウントは以下のように管理される:
|
X | ||||
2.2.3 異なるセキュリティ・レベルを必要とする主要機能は、以下のように管理される:
|
X | ||||
2.2.4 必要なサービス、プロトコル、デーモン、機能のみが有効化され、不要な機能はすべて削除または無効化される。 | X | ||||
2.2.5 安全でないサービス、プロトコル、デーモンが存在する場合:
|
X | ||||
2.2.6 システムのセキュリティ・パラメーターは、悪用を防ぐために設定される。 | X | ||||
2.2.7 コンソール以外の管理者アクセスはすべて、強力な暗号を使用して暗号化されます。 | X | ||||
2.3 ワイヤレス環境は安全に設定され、管理される。 | X | ||||
2.3.1 CDEに接続された、またはアカウントデータを送信する無線環境については、すべての無線ベンダーのデフォルトがインストール時に変更されるか、または以下を含むがこれに限定されない安全であることが確認される:
|
X | この環境では、ワイヤレス技術の使用は禁止されている。 | |||
2.3.2 CDEに接続されている、またはアカウントデータを送信しているワイヤレス環境では、ワイヤレス暗号化キーは以下のように変更されます:
|
X | この環境では、ワイヤレス技術の使用は禁止されている。 |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
3.1 保存されたアカウントデータを保護するためのプロセスと仕組みが定義され、理解されている。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.1.1 要件 3 で特定されたすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | X | |||
3.1.2 要件3の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | X | |||
3.2 アカウントデータの保存は最小限に抑えられています。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.2.1 アカウントデータの保管は、少なくとも以下を含む、データ保持および廃棄に関する方針、手 続き、およびプロセスの実施を通じて最小限に保たれる:
|
X | Genesys Cloudはアカウントデータを保存しません。 | |||
3.3 機密認証データ(SAD)は、認証後は保存されない。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.3.1 SADは、暗号化されていても、認証後は保持されない。 受信したすべての機密認証データは、認証プロセスが完了した時点で復元不可能になる。 | X | Genesys はカード会員データを保存しません。 | |||
3.3.1.1 オーソライズプロセスが完了しても、トラックの全内容は保持されない。 | X | Genesys はカード会員データを保存しません。 | |||
3.3.1.2 カード認証コードは、認証プロセスの完了時には保持されない。 | X | Genesys はカード会員データを保存しません。 | |||
3.3.1.3 個人識別番号(PIN)およびPINブロックは、オーソリゼーション・プロセスの完了時には保持されない。 | X | Genesys はカード会員データを保存しません。 | |||
3.3.2 承認完了前に電子的に保存されるSADは、強力な暗号技術を用いて暗号化される。 | X | Genesys はカード会員データを保存しません。 | |||
3.3.3 発行者および発行サービスをサポートし、機密性の高い認証データを保管する企業に対する追加要件: センシティブな認証データの保存は、すべてそうである:
|
X | ジェネシスは発行体ではありません。 | |||
3.4 フルPANの表示へのアクセスやPANのコピーは制限されている。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.4.1 PANは表示時にマスクされ(BINと下4桁が表示される最大桁数)、正当な業務上の必要性のある担当者のみがPANのBINと下4桁以上の数字を見ることができるようになっている。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.4.2 リモートアクセス技術を使用する場合は、文書化された明示的な権限と、正当かつ定義された業務上の必要性がある者を除き、技術的な管理により、すべての人員のPANのコピーおよび/または移動を防止する。 | X | Genesys はカード会員データを保存しません。 | |||
3.5 プライマリー・アカウント・ナンバー(PAN)はどこに保管されていても安全である。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.5.1 PANは、以下のいずれかの方法を用いることで、どこに保存されていても読めなくなる:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.5.1.1 PANを読み取り不可能にするために使用されるハッシュ(要件3.5.1の最初の箇条書きによる)は、要件3.6および3.7に従った関連する鍵管理プロセスおよび手順とともに、PAN全体の鍵付き暗号ハッシュである。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.5.1.2 ディスクレベルまたはパーティションレベルの暗号化(ファイルレベル、カラムレベル、フィールドレベルのデータベース暗号化ではなく)を使用してPANを読み取り不可能にする場合は、以下のようにのみ実装されます: リムーバブル電子メディア上 OR リムーバブルでない電子メディアに使用される場合、PAN は要件 3.5.1 を満たす別のメカニズムによっても読み取り不可能にされる。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.5.1.3 PANを読めなくするために(ファイル、列、フィールドレベルのデータベース暗号化ではなく)ディスクレベルまたはパーティションレベルの暗号化が使用される場合、それは以下のように管理される:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.6 保存されたアカウントデータを保護するために使用される暗号鍵は保護されている。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.6.1 保存されたアカウント・データを保護するために使用される暗号鍵を、開示や悪用から保護するため の手順が定義され、実施されている:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.6.1.1 サービスプロバイダーのみの追加要件: 暗号アーキテクチャの文書化された記述が維持される:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.6.1.2 保存されたアカウント・データの暗号化/復号化に使用される秘密鍵および秘密鍵は、常に以下の 形態のいずれか(または複数)で保存される:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.6.1.3 平文の暗号鍵コンポーネントへのアクセスは、必要最小限の管理者に制限される。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.6.1.4 暗号鍵はできるだけ少ない場所に保管する。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7 保存されたアカウント・データを保護するために暗号が使用される場合、鍵のライフサイクルの すべての側面をカバーする鍵管理プロセスおよび手順が定義され、実施される。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.1 鍵管理方針および手順は、保存されたアカウント・データを保護するために使用される強力な暗号鍵の生成を含むように実施される。 |
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.2 鍵管理方針および手順は、保存された口座データを保護するために使用される暗号鍵の安全な配布を含むように実施される。 |
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.3 鍵管理ポリシーおよび手順は、保管されたアカウント・データを保護するために使用される暗号鍵の安全な保管を含めて実施される。 |
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.4 鍵管理ポリシーおよび手順は、関連するアプリケーション・ベンダーまたは鍵所有者によって定 義され、以下を含む業界のベスト・プラクティスおよびガイドラインに基づき、暗号期間の終了した 鍵の暗号鍵変更のために実施される:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.5 鍵管理方針手続きは、保存されたアカウント・データを保護するために使用される鍵の廃棄、 交換、または破壊を含め、必要とみなされる場合に実施される:
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.6 手作業による平文の暗号鍵管理業務が人員によって行われる場合、鍵管理ポリシーと手順が実施され、これには、スプリット・ナレッジとデュアル・コントロールを使用してこれらの業務を管理することが含まれる。 |
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.7 鍵管理ポリシーおよび手順は、暗号鍵の不正なすり替え防止を含めて実施される。 |
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.8 鍵管理ポリシーおよび手続は、暗号鍵管理者が鍵管理者としての責任を理解し受諾しているこ とを(書面または電子的に)正式に承認することを含むように実施される。 |
X | Genesysクラウド はカード会員データを保存しません。 | |||
3.7.9 サービスプロバイダーのみの追加要件: サービス・プロバイダーがアカウント・データの伝送または保管のために暗号鍵を顧客と 共有する場合、かかる鍵の安全な伝送、保管、更新に関するガイダンスを文書化し、サービス・プ ロバイダーの顧客に配布する。 |
X | Genesysクラウド はカード会員データを保存しません。 |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
4.1 オープンで公開されたネットワークを介した伝送中に、強力な暗号化技術を使用してカード会員 データを保護するためのプロセスおよびメカニズムが定義され、文書化されている。 |
X | ||||
4.1.1 要件 4 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | ||||
4.1.2 要件4の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
4.2 PANは送信中に強力な暗号で保護される。 |
X | ||||
4.2.1 強力な暗号とセキュリティ・プロトコルを以下のように実装し、オープンでパブリックなネットワーク上でのPAN送信を保護する:
|
X | ||||
4.2.1.1 送信中の PAN を保護するために使用される、エンティティの信頼された鍵および証明書のインベントリが保持される。 | X | ||||
4.2.1.2 PANを送信する、またはCDEに接続するワイヤレスネットワークは、認証と送信に強力な暗号を実装する業界ベストプラクティスを使用します。 | X | ワイヤレス技術は環境にない。 | |||
4.2.2 PANは、エンドユーザーのメッセージング技術で送信されるときは常に、強力な暗号技術で保護される。 | X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
5.1 悪意のあるソフトウェアからすべてのシステムとネットワークを保護するためのプロセスと仕組みが定義され、理解されている。 | X | ||||
5.1.1 要件 5 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | ||||
5.1.2 要件5の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
5.2 悪意のあるソフトウェア(マルウェア)を防止、または検出し、対処する。 |
X | ||||
5.2.1 要件5.2.3に従った定期的な評価で特定されたシステムコンポーネントがマルウェアによるリスクにさらされていないと結論づけられたものを除き、すべてのシステムコンポーネントにマルウェア対策ソリューションが導入されている。 | X | ||||
5.2.2 導入されているマルウェア対策ソリューション:
|
X | ||||
5.2.3 マルウェアのリスクがないシステム・コンポーネントは、以下を含む定期的な評価を行う:
|
X | ||||
5.2.3.1 マルウェアのリスクがないと特定されたシステムコンポーネントの定期的な評価の頻度は、エンティティの対象リスク分析で定義され、要件12.3.1に規定されるすべての要素に従って実施される。 | X | ||||
5.3 マルウェア対策の仕組みとプロセスが有効であり、維持され、監視されている。 | X | ||||
5.3.1 マルウェア対策ソリューションは、自動アップデートにより常に最新の状態に保たれています。 | X | ||||
5.3.2 マルウェア対策ソリューション:
または
|
X | ||||
5.3.2.1 要件5.3.2を満たすために定期的なマルウェアスキャンを実施する場合、スキャンの頻度は、要件12.3.1に規定されるすべての要素に従って実施されるエンティティの標的リスク分析で定義される。 | X | ||||
5.3.3 リムーバブル電子メディアの場合、マルウェア対策ソリューション(複数可): メディアが挿入、接続、または論理的にマウントされたときに自動スキャンを実行する、またはメディアが挿入、接続、または論理的にマウントされたときに、システムまたはプロセスの継続的な動作分析を実行する。 | X | ||||
5.3.4 マルウェア対策ソリューションの監査ログが有効化され、要件 10.5.1 に従って保持される。 | X | ||||
5.3.5 マルウェア対策の仕組みは、特に文書化され、期間限定で管理者がケースバイケースで許可した場合を除き、ユーザーが無効にしたり変更したりすることはできません。 | X | ||||
5.4 アンチフィッシング・メカニズムは、フィッシング攻撃からユーザーを守る。 | X | ||||
5.4.1 フィッシング攻撃を検知し、従業員を保護するためのプロセスと自動化されたメカニズムが整備されている。 | X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
6.1 セキュアなシステムとソフトウェアを開発し、維持するためのプロセスと仕組みが定義され、理解されている。 | X | ||||
6.1.1 要件 6 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 |
X | ||||
6.1.2 要件6の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
6.2 オーダーメイドのカスタム・ソフトウェアを安全に開発。 | X | ||||
6.2.1 オーダーメイドのカスタム・ソフトウェアは、以下のように安全に開発される:
|
X | ||||
6.2.2 オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:
|
X | ||||
6.2.3 オーダーメイドおよびカスタム・ソフトウェアは、本番稼動前または顧客にリリースされる前に、潜在的なコーディングの脆弱性を特定し修正するために、以下のようにレビューされる:
|
X | ||||
6.2.3.1 オーダーメイドのカスタム・ソフトウェアについて、本番環境へのリリース前に手作業によるコード・レビューが実施される場合、コードの変更が行われる:
|
X | ||||
6.2.4 ソフトウェア工学の技術やその他の方法は、オーダーメイドのソフトウェアやカスタムソフトウェアにおける一般的なソフトウェア攻撃や関連する脆弱性を防止または軽減するために定義され、ソフトウェア開発担当者によって使用されている:
|
X | ||||
6.3 セキュリティの脆弱性を特定し、対処する。 | X | ||||
6.3.1 セキュリティの脆弱性は以下のように特定され、管理される:
|
X | ||||
6.3.2 特注・カスタムソフトウェア、および特注・カスタムソフトウェアに組み込まれたサードパーティソフトウェアコンポーネントのインベントリは、脆弱性およびパッチ管理を容易にするために維持される。 | X | ||||
6.3.3 すべてのシステム・コンポーネントは、以下のように適用可能なセキュリティ・パッチ/アップデートをインストールすることで、既知の脆弱性から保護されている:
|
X | ||||
6.4 一般向けのウェブアプリケーションは攻撃から保護されている。 | X | ||||
6.4.1 公衆向けのウェブ・アプリケーションについては、新たな脅威と脆弱性に継続的に対処し、これらのアプリケーショ ンは以下のように既知の攻撃から保護される:
または
|
X | ||||
6.4.2 公衆向けのウェブアプリケーションについては、少なくとも以下のような、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入する:
|
X | ||||
6.4.3 消費者のブラウザにロードされ実行されるすべての支払いページスクリプトは、以下のように管理される:
|
X | Genesysは支払いページのスクリプトを使用しません。 | |||
6.5 すべてのシステムコンポーネントの変更は安全に管理されます。 | X | ||||
6.5.1 本番環境におけるすべてのシステム・コンポーネントの変更は、以下を含む確立された手順に従って行われる:
|
X | ||||
6.5.2 重要な変更が完了すると、該当するすべての PCI DSS 要件がすべての新規または変更されたシステムおよびネットワークに適用されていることが確認され、該当する文書が更新されます。 | X | ||||
6.5.3 プリプロダクション環境はプロダクション環境から分離され、その分離はアクセス制御によって強制される。 | X | ||||
6.5.4 本番環境とプリプロダクション環境では、役割と機能が分離され、レビューされ承認された変更のみがデプロイされるような説明責任が提供される。 | X | ||||
6.5.5 ライブ PAN は、それらの環境が CDE に含まれ、適用されるすべての PCI DSS 要件に従って保護されている場合を除き、本番前の環境では使用されません。 | X | ||||
6.5.6 テストデータとテストアカウントは、システムが本番稼動する前にシステムコンポーネントから削除される。 | X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
7.1 業務上知る必要のあるシステムコンポーネントおよびカード会員データへのアクセスを制 限するためのプロセスおよび仕組みが定義され、理解されている。 | X | X | |||
7.1.1 要件 7 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 |
X | X | |||
7.1.2 要件7の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | X | |||
7.2 システムコンポーネントやデータへのアクセスは適切に定義され、割り当てられている。 |
X | X | |||
7.2.1 アクセス制御モデルが定義され、以下のようにアクセスを許可することが含まれる:
|
X | X | |||
7.2.2 アクセス権は、特権ユーザーを含むユーザーに、以下に基づいて割り当てられる:
|
X | X | |||
7.2.3 必要な特権は、権限を与えられた担当者によって承認される。 | X | X | |||
7.2.4 サードパーティ/ベンダーのアカウントを含む、すべてのユーザーアカウントおよび関連するアクセス権限は、以下のように審査される: 少なくとも6ヶ月に1回。
|
X | X | |||
7.2.5 すべてのアプリケーションとシステムアカウント、および関連するアクセス権限は、以下のように割り当てられ、管理される:
|
X | X | |||
7.2.5.1 アプリケーションおよびシステムアカウントによるすべてのアクセス、および関連するアクセス権限は、以下のように審査される:
|
X | X | |||
7.2.6 保存されたカード会員データのクエリリポジトリへのすべてのユーザーアクセスは、以下のように 制限されます:
|
X | Genesys はカード会員データを保存しません。 | |||
7.3 システム・コンポーネントやデータへのアクセスは、アクセス・コントロール・システムによって管理される。 |
X | X | |||
7.3.1 ユーザーの知る必要性に基づいてアクセスを制限し、すべてのシステム・コンポーネントをカバーするアクセス制御システム(複数可)が導入されている。 |
X | X | |||
7.3.2 アクセス制御システムは、職務分類と機能に基づいて、個人、アプリケーション、およびシステムに割り当てられたアクセス許可を実施するように構成される。 |
X | X | |||
7.3.3 アクセス制御システムは、デフォルトで "deny all "に設定されている。 |
X | X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
8.1 ユーザーを特定し、システム・コンポーネントへのアクセスを認証するためのプロセスと仕組みが定義され、理解されている。 | X | X | |||
8.1.1 要件 8 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | X | |||
8.1.2 要件8の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | X | |||
8.2 ユーザーと管理者のユーザー識別と関連アカウントは、アカウントのライフサイクルを通じて厳密に管理される。 | X | X | |||
8.2.1 システムコンポーネントまたはカード会員データへのアクセスが許可される前に、すべ てのユーザーに一意の ID が割り当てられる。 | X | X | |||
8.2.2 グループ、共有、または汎用アカウント、あるいはその他の共有認証資格情報は、例外的に必要な場合にのみ使用され、以下のように管理される:
|
X | X | |||
8.2.3 サービスプロバイダーのみの追加要件: 顧客構内にリモート・アクセスするサービス・プロバイダは、顧客構内ごとに固有の 認証要素を使用する。 |
X | X | |||
8.2.4 ユーザID、認証要素、およびその他の識別子オブジェクトの追加、削除、および変更は、以下のように管理される:
|
X | X | |||
8.2.5 終了したユーザーのアクセスは直ちに取り消される。 | X | X | |||
8.2.6 非アクティブなユーザーアカウントは、90日以内に削除または無効化されます。 | X | X | |||
8.2.7 第三者がリモートアクセスによりシステムコンポーネントにアクセス、サポート、または保守するために使用するアカウントは、以下のように管理されます:
|
X | 第三者はCDEにアクセスできない。 | |||
8.2.8 ユーザー・セッションが 15 分以上アイドル状態の場合、端末またはセッションを再度アク ティブにするには、再認証が必要です。 | X | ||||
8.3 ユーザーと管理者のための強力な認証を確立し、管理する。 | X | ||||
8.3.1 ユーザーおよび管理者のシステム・コンポーネントへのすべてのユーザー・アクセスは、以下の認証要素の少なくとも1つによって認証される:
|
X | ||||
8.3.2 強力な暗号化技術を使用して、すべてのシステム・コンポーネントの送信中および保存中 に、すべての認証要素を読み取り不能にする。 | X | ||||
8.3.3 認証要素を変更する前に、ユーザーの身元が確認される。 | X | ||||
8.3.4 無効な認証の試行は、以下のように制限される:
|
X | ||||
8.3.5 要件8.3.1を満たす認証要素としてパスワード/パスフレーズが使用される場合、パスワード/パスフレーズは以下のように各ユーザに設定およびリセットされる:
|
X | ||||
8.3.6 要件8.3.1を満たす認証要素としてパスワード/パスフレーズを使用する場合、パスワード/パスフレーズは以下の最低複雑度レベルを満たすものとする:
|
X | ||||
8.3.7 個人は、過去4回使用したパスワード/パスフレーズと同じ新しいパスワード/パスフレーズを提出することはできません。 | X | ||||
8.3.8 認証の方針と手順は文書化され、以下を含む全ユーザーに周知される:
|
X | ||||
8.3.9 パスワード/パスフレーズが、ユーザーアクセスのための唯一の認証要素として使用される場合(すなわち、単一要素認証の実装)、以下のいずれかとなる:
|
X | パスワード/パスフレーズを唯一の認証要素として使用するのではなく、対象環境にアクセ スするためには、ユーザーは常に MFA を使用することが求められる。 | |||
8.3.10 サービスプロバイダーのみの追加要件: 顧客ユーザがカード会員データにアクセスするための唯一の認証要素としてパスワード/パスフ レーズが使用される場合(すなわち、単一要素認証の実装)、顧客ユーザには以下のようなガイダ ンスが提供されます:
|
X | パスワード/パスフレーズを唯一の認証要素として使用するのではなく、対象環境にアクセ スするためには、ユーザーは常に MFA を使用することが求められる。 | |||
8.3.10.1 サービスプロバイダーのみの追加要件: パスワード/パスフレーズが、顧客ユーザアクセスのための唯一の認証要素として使用される場合(すなわち、一要素認証の実装)、以下のいずれかに該当する:
|
X | パスワード/パスフレーズを唯一の認証要素として使用するのではなく、対象環境にアクセ スするためには、ユーザーは常に MFA を使用することが求められる。 | |||
8.3.11 物理的または論理的セキュリティ・トークン、スマート・カード、証明書などの認証 要素が使用される場合:
|
X | Genesys は、認証要素の一部としてセキュリティ・トークン、スマート・カード、証明書 を使用しない。 | |||
8.4 多要素認証(MFA)は、CDEへのアクセスを保護するために実装される。 |
X | ||||
8.4.1 MFA は、管理者アクセス権を持つ職員の CDE へのすべての非コンソールアクセスに導入されている。 |
X | ||||
8.4.2 MFAはCDEへのすべてのアクセスに導入されている。 |
X | ||||
8.4.3 MFA は、CDE にアクセスする可能性のある、または CDE に影響を与える可能性のある、事業体のネッ トワーク外から発信されるすべてのリモートネットワークアクセスに対して、以下のように実施される:
|
X | ||||
8.5 多要素認証(MFA)システムは、悪用を防ぐように設定されている。 |
X | ||||
8.5.1 MFAシステムは以下のように実装されている:
|
X | ||||
8.6 アプリケーションおよびシステムアカウントと関連する認証要素の使用は厳密に管理される。 |
X | 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。 |
|||
8.6.1 システムやアプリケーションで使用されるアカウントが対話型ログインに使用できる場合、それらは以下のように管理される:
|
X | 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。 | |||
8.6.2 対話型ログインに使用できるすべてのアプリケーションおよびシステムアカウントのパスワード/パスフレーズは、スクリプト、設定/プロパティファイル、または特注のカスタムソースコードにハードコードされていません。 |
X | 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。 | |||
8.6.3 すべてのアプリケーションおよびシステムアカウントのパスワード/パスフレーズは、以下のように悪用から保護されています:
|
X | 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。 |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
9.1 カード会員データへの物理的なアクセスを制限するためのプロセスおよび仕組みが定義され、 理解されている。 | X | Genesysオフィスは対象外です。 | |||
9.1.1 要件 9.で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 |
X | X | |||
9.1.2 要件9の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
9.2 物理的なアクセス管理は、カード会員データを含む施設およびシステムへの侵入を管理します。 |
X | ||||
9.2.1 CDE内のシステムへの物理的なアクセスを制限するために、適切な施設入館管理が実施されている。 | X | ||||
9.2.1.1 CDE内の機密エリアへの個々の物理的なアクセスは、以下のようにビデオカメラまたは物理的なアクセス制御メカニズム(またはその両方)で監視される:
|
X | ||||
9.2.2 施設内の一般にアクセス可能なネットワークジャックの使用を制限するために、物理的および/または論理的な管理が実施されている。 | X | ||||
9.2.3 施設内の無線アクセスポイント、ゲートウェイ、ネットワーキング/通信ハードウェア、通信回線への物理的なアクセスは制限されています。 | X | ||||
9.2.4 機密エリアのコンソールへのアクセスは、未使用時にはロックによって制限される。 | X | ||||
9.3 人員および訪問者の物理的アクセスは許可され、管理される。 |
X | ||||
9.3.1 以下を含む、CDE への職員の物理的アクセスを承認・管理するための手順が実施されている:
|
X | ||||
9.3.1.1 職員によるCDE内の機密エリアへの物理的アクセスは、以下のように管理される:
|
X | ||||
9.3.2 CDEへの訪問者のアクセスを承認・管理するための手順が実施されている:
|
X | ||||
9.3.3 来訪者バッジまたは身分証明書は、来訪者が施設を出る前、または有効期限が切れた時点で引き渡されるか、無効化されます。 | X | ||||
9.3.4 訪問者記録は、施設内および機密エリア内での訪問者の行動を物理的に記録するために使用される:
|
X | ||||
9.4 カード会員データを含むメディアは、安全に保管、アクセス、配布、破棄される。 | X | ||||
9.4.1 カード会員データのあるメディアはすべて物理的に保護される。 | X | ||||
9.4.1.1 カード会員データのオフラインメディアバックアップは、安全な場所に保管される。 | X | ||||
9.4.1.2 カード会員データが保存されているオフラインメディアのバックアップ場所のセキュリ ティは、少なくとも 12 カ月に 1 回見直されます。 | X | ||||
9.4.2 カード会員データのあるメディアはすべて、データの機密性に応じて分類されます。 | X | ||||
9.4.3 施設外に送付されるカード会員データのあるメディアは、以下のように保護されます:
|
X | ||||
9.4.4 管理者は、施設外に移動されるカード会員データを含むすべてのメディアを承認します(メディアが個 人に配布される場合も含む)。 |
X | ||||
9.4.5 カード会員データのあるすべての電子メディアのインベントリログが維持される。 |
X | ||||
9.4.5.1 カード会員データのある電子メディアのインベントリは、少なくとも 12 カ月に 1 回実施される。 |
X | ||||
9.4.6 カード会員データが含まれるハードコピー資料は、業務上または法的な理由で不要になった場合、以下のように破棄されます:
|
X | ||||
9.4.7 カード会員データが記録された電子メディアは、業務上または法律上の理由で不要になった場合、以下のいずれかを通じて破棄されます:
|
X | ||||
9.5 ポイント・オブ・インタラクション(POI)デバイスは、改ざんや不正な置き換えから保護されています。 | X | ||||
9.5.1 ペイメントカードフォームファクタとの直接的な物理的相互作用によってペイメントカードデータを取 得する POI デバイスは、以下を含め、改ざんや不正な置き換えから保護される:
|
X | ||||
9.5.1.1 POIデバイスの最新リストが維持されている:
|
X | ||||
9.5.1.2 POIデバイスの表面は定期的に検査され、改ざんや不正なすり替えが検出される。 | X | ||||
9.5.1.2.1 定期的なPOI装置検査の頻度および実施される検査の種類は、事業体の目標リスク分析に定 義され、要件12.3.1に規定されるすべての要素に従って実施される。 | X | ||||
9.5.1.3 POIデバイスの改ざんや交換の企てに注意するために、POI環境の担当者にトレーニングが提供される:
|
X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
10.1 システムコンポーネントおよびカード会員データへのすべてのアクセスを記録および監視す るためのプロセスおよび仕組みが定義され、文書化されている。 | X | ||||
10.1.1 要件 10 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | ||||
10.1.2 要件10の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | ||||
10.2 監査ログは、異常や不審な活動の検出、およびイベントのフォレンジック分析をサポートするために実装される。 | X | ||||
10.2.1 監査ログは、すべてのシステムコンポーネントおよびカード会員データに対して有効で、アクティブです。 | X | ||||
10.2.1.1 監査ログは、カード会員データへの各ユーザのアクセスをすべて記録します。 | X | ||||
10.2.1.2 監査ログは、アプリケーションまたはシステムアカウントの対話的な使用を含め、管理者アクセス権を持つ個人によるすべての行動を記録する。 | X | ||||
10.2.1.3 監査ログは、監査ログへのすべてのアクセスを捕捉する。 | X | ||||
10.2.1.4 監査ログは、すべての無効な論理アクセス試行を記録する。 | X | ||||
10.2.1.5 監査ログは、以下を含むがこれに限定されない、識別および認証クレデンシャルのすべての変更を記録する:
|
X | ||||
10.2.1.6 監査ログは以下を記録する: 新しい監査ログのすべての初期化、および既存の監査ログのすべての開始、停止、一時停止。 | X | ||||
10.2.1.7 監査ログは、システムレベルのオブジェクトのすべての作成と削除を記録する。 | X | ||||
10.2.2 監査ログは、監査可能なイベントごとに以下の詳細を記録する:
|
X | ||||
10.3 監査ログは、破壊や不正な変更から保護される。 | X | ||||
10.3.1 監査ログファイルへの読み取りアクセスは、職務上必要な者に限定される。 | X | ||||
10.3.2 監査ログファイルは、個人による改変を防ぐために保護されている。 | X | ||||
10.3.3 監査ログファイルは、外部向けテクノロジーのものも含め、安全な中央の内部ログサーバー、または変更が困難なその他のメディアに速やかにバックアップされる。 | X | ||||
10.3.4 ファイルの完全性監視または変更検出メカニズムは、アラートを発生させることなく既存のログデータが変更されないことを保証するために、監査ログに使用される。 | X | ||||
10.4 監査ログは、異常や疑わしい活動を特定するためにレビューされる。 | X | ||||
10.4.1 以下の監査ログは、少なくとも毎日1回レビューされる:
|
X | ||||
10.4.1.1 監査ログのレビューには、自動化されたメカニズムが使用される。 |
X | ||||
10.4.2 他のすべてのシステムコンポーネント(要件 10.4.1 に規定されていないもの)のログは、定期的にレビューされる。 | X | ||||
10.4.2.1 その他のすべてのシステムコンポーネント(要件10.4.1で定義されていない)に対する定期的なログレビューの頻度は、エンティティの対象リスク分析で定義され、要件12.3.1で規定されるすべての要素に従って実施される。 |
X | ||||
10.4.3 審査過程で確認された例外や異常には対処する。 | X | ||||
10.5 監査ログの履歴は保持され、分析に利用できる。 | X | ||||
10.5.1 監査ログの履歴を少なくとも12ヶ月間保持し、少なくとも直近の3ヶ月間はすぐに分析できるようにする。 | X | ||||
10.6 時間同期メカニズムは、すべてのシステムで一貫した時間設定をサポートする。 | X | ||||
10.6.1 10.6.1 システムの時計と時刻は、時刻同期技術を使用して同期される。 |
X | ||||
10.6.2 システムは、以下のように正確で一貫性のある時間に設定されている:
|
X | ||||
10.6.3 時刻同期の設定とデータは以下のように保護される:
|
X | ||||
10.7 重要なセキュリティ管理システムの障害を迅速に検知し、報告し、対応する。 | X | ||||
10.7.1 サービスプロバイダーのみの追加要件: 以下の重要なセキュリティ管理システムの故障を含め(ただし、これらに限定されない)、重要なセキュリティ管理システムの故障が速やかに検知され、警告され、対処される:
|
X | ||||
10.7.2 以下の重要なセキュリティ管理システムの故障を含め(ただし、これらに限定されない)、重要なセキュリティ管理システムの故障が速やかに検知され、警告され、対処される:
|
X | ||||
10.7.3 重要なセキュリティ管理システムの障害に迅速に対応する:
|
X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
11.1 システムとネットワークのセキュリ ティを定期的にテストするプロセスと仕組みが 定義され、理解されている | X | ||||
11.1.1 要件 11 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 | X | X | |||
11.1.2 要件11の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 | X | X | |||
11.2 無線アクセスポイントは特定され、監視され、無許可の無線アクセスポイントには対処される。 | X | X | |||
11.2.1 許可された無線アクセスポイントと許可されていない無線アクセスポイントは次のように管理される:
|
X | X | すべての物理的ロケーションはAWSによって管理されるため、AWSはこの管理に責任を負う。 AWSだ。 |
||
11.2.2 許可された無線アクセスポイントのインベントリが、文書化されたビジネス上の正当性を含めて維持されている。 | X | X | この環境では、ワイヤレス技術の使用は禁止されている。 | ||
11.3 外部および内部の脆弱性は定期的に特定され、優先順位が付けられ、対処される。 | X | X | |||
11.3.1 内部脆弱性スキャンは以下のように実施される: 少なくとも3ヶ月に1回。
|
X | X | |||
11.3.1.1 その他の該当するすべての脆弱性(要件 6.3.1 で定義されたエンティティの脆弱性リスクランクにより、高リスクまたはクリティカルとランク付けされていない脆弱性)は、以下のように管理される:
|
X | X | |||
11.3.1.2 内部脆弱性スキャンは、以下のように認証スキャンによって実行される:
|
X | X | |||
11.3.1.3 内部脆弱性スキャンは、重要な変更後に以下のように実施される:
|
X | X | |||
11.3.2 外部の脆弱性スキャンは以下のように実施される: 少なくとも3ヶ月に1回。
|
X | X | |||
11.3.2.1 外部からの脆弱性スキャンは、重要な変更後に以下のように実施される:
|
X | X | |||
11.4 外部および内部への侵入テストは定期的に実施され、悪用可能な脆弱性やセキュリティ上の弱点は修正される。 |
X | X | |||
11.4.1 侵入テストの方法論は、事業体によって定義され、文書化され、実施される:
|
X | X | |||
11.4.2 内部侵入テストを実施: 事業体の定義した方法論に従っ て、少なくとも 12 カ月に 1 回 インフラストラクチャまたはアプリケー ションの重要なアップグレードまたは変更後 適格な内部リソースまたは適格な外部 第三者によるもの 試験者の独立性が確保されている(QSA または ASV である必要はない)。 |
X | ||||
11.4.3 外部侵入テストを実施: 事業体の定義した方法論に従っ ていること 少なくとも 12 カ月に 1 回 インフラストラクチャまたはアプリケー ションの重要なアップグレードまたは変更後 有資格の内部リソースまたは有資格の外部 第三者によること テスターの独立性が確保されていること(QSA または ASV である必要はない)。 |
X | X | |||
11.4.4 侵入テスト中に発見された悪用可能な脆弱性やセキュリティ上の弱点は、以下のように修正される: 要件6.3.1に定義されている、セキュリティ上の問題によってもたらされるリスクに関するエンティティの評価に従っている。 侵入テストは修正を検証するために繰り返される。 |
X | X | |||
11.4.5 CDEを他のネットワークから隔離するためにセグメンテーションが使用されている場合、次のようにセグメンテーショ ン制御に対して侵入テストが実行される:
|
X | X | |||
11.4.6 サービスプロバイダーのみの追加要件:
|
X | X | |||
11.4.7 マルチテナント・サービス・プロバイダーのみの追加要件: マルチテナント型サービスプロバイダは、要件11.4.3および11.4.4に従って、外部侵入テストを顧客にサポートする。 |
X | マルチテナント型サービス・プロバイダーではない | |||
11.5 ネットワークへの侵入や予期せぬファイルの変更を検知し、対応する。 | X | ||||
11.5.1 侵入検知および/または侵入防止技術は、以下のようにネットワークへの侵入を検知および/または防止するために使用される:
|
X | ||||
11.5.1.1 サービスプロバイダーのみの追加要件: 侵入検知および/または侵入防止技術は、マルウェアの秘密通信チャネルを検知し、警告/防止し、対処する。 |
X | ||||
11.5.2 変更検出メカニズム(たとえば、ファイル整合性監視ツール)は、以下のように導入される:
|
X | ||||
11.6 決済ページの不正な変更を検出し、対応する。 | X | ジェネシスは、消費者のブラウザから決済ページを使用/受信することはありません。 | |||
11.6.1 変更・改ざん検知メカニズムは、以下のように展開される:
|
X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
12.1 企業の情報資産の保護を管理し、その方向性を示す包括的な情報セキュリティ方針が周知され、かつ最新のものである。 12.10 CDEに影響を及ぼす可能性のあるセキュリティインシデントの疑いおよび確認されたインシデントは、直ちに対応する。 | X | ||||
12.1.1 全体的な情報セキュリティ・ポリシーとは 設立。 出版された。 維持されている。 関係者全員、および関連ベンダーやビジネスパートナーに周知。 | X | ||||
12.1.2 情報セキュリティポリシーは 少なくとも12ヶ月に1回は見直す。 事業目標や環境リスクの変更を反映するため、必要に応じて更新する。 | X | ||||
12.1.3 セキュリティポリシーは、全職員に対する情報セキュリティの役割と責任を明確に定義し、全職員は情報セキュリティの責任を認識し、認識している。 | X | ||||
12.1.4 情報セキュリティの責任は、最高情報セキュリティ責任者(CIO)またはその他の情報セキュリティに精通した経営陣に正式に割り当てられる。 | X | ||||
12.2 エンドユーザーテクノロジーの利用ポリシーを定義し、実施する。 |
X | ||||
12.2.1 エンドユーザーテクノロジーの利用ポリシーを文書化し、実施する:
|
X | ||||
12.3 カード会員データ環境に対するリスクは、正式に特定、評価、および管理されます。 | X | ||||
12.3.1 実行頻度の柔軟性を提供する各 PCI DSS 要件(定期的に実行する要件など)は、文書化され、以下を含むターゲットリスク分析によってサポートされます:
|
X | ||||
12.3.2 カスタマイズされたアプローチを使用してエンティティが満たす PCI DSS 要件ごとに、対象となるリスク分析が実行されます:
|
X | ||||
12.3.3 使用されている暗号スイートとプロトコルは文書化され、少なくとも12カ月に1回、以下を含めて見直される:
|
X | ||||
12.3.4 使用されているハードウェアおよびソフトウェア技術は、少なくとも12カ月に1回、以下を含めて見直される:
|
X | ||||
12.4 PCI DSS準拠を管理。 | X | ||||
12.4.1 サービスプロバイダーのみの追加要件:
|
X | ||||
12.4.2 サービスプロバイダーのみの追加要件:
|
X | ||||
12.4.2.1 サービスプロバイダーのみの追加要件: 要件12.4.2に従って実施されたレビューは、以下を含むように文書化される:
|
X | ||||
12.5 PCI DSS の範囲が文書化され、検証されている。 | X | ||||
12.5.1 機能/用途の説明を含め、PCI DSS の適用範囲にあるシステムコンポーネントのインベントリが維持され、最新の状態に保たれている。 | X | ||||
12.5.2 PCI DSS の適用範囲は、少なくとも 12 カ月に 1 回、および適用範囲内の環境に重要な変更があった場合に、文書化され、エンティティによって確認されます。 最低限、スコープ検証には以下が含まれる:
|
X | ||||
12.5.2.1 サービスプロバイダーのみの追加要件:
|
X | ||||
12.5.3 サービスプロバイダーのみの追加要件: 組織構造の大幅な変更により、PCI DSS の範囲および管理策の適用可能性への影響が文書化された(内部的な)レビューが行われ、その結果が経営陣に通知される。 | X | ||||
12.6 セキュリティ意識教育は継続的な活動である。 | X | ||||
12.6.1 正式なセキュリティ意識向上プログラムを実施し、すべての要員にエンティティの情報セ キュリティポリシーと手順、およびカード会員データの保護における各自の役割を認識させる。 | X | ||||
12.6.2 セキュリティ意識向上プログラムは エンティティの CDE のセキュリティに影響を与える可能性のある新たな脅威および脆弱性、またはカード会員デー タの保護における各自の役割について担当者に提供される情報に対処するために、少なくとも 12 カ月に 1 回見直し、必要に応じて更新する。 | X | ||||
12.6.3 職員は、以下のとおり、セキュリティ意識向上トレーニングを受ける:
|
X | ||||
12.6.3.1 セキュリティ意識向上トレーニングには、CDEのセキュリティに影響を及ぼす可能性のある脅威や脆弱性を認識することが含まれますが、これらに限定されるものではありません: フィッシングとそれに関連する攻撃。 ソーシャル・エンジニアリング。 | X | ||||
12.6.3.2 セキュリティ意識向上トレーニングには、要件12.2.1に従ったエンドユーザーテクノロジーの許容される使用に関する意識が含まれる。 | X | ||||
12.7 内部脅威によるリスクを軽減するため、人員は選別される。 |
X | ||||
12.7.1 CDEにアクセスする可能性のある人材は、内部ソースからの攻撃リスクを最小化するため、雇用前に現地法の制約の範囲内でスクリーニングされる。 |
X | ||||
12.8 第三者サービスプロバイダー(TPSP)との関係に関連する情報資産へのリスクは管理されている。 | X | ||||
12.8.1 アカウント・データが共有される、またはアカウント・データのセキュリティに影響を及ぼす可能性のあるすべての第三者サービス・プロバイダー(TPSP)のリスト。 | X | ||||
12.8.2 TPSPとの書面による合意は以下の通り維持されている:
|
X | ||||
12.8.3 TPSPとの契約前の適切なデューディリジェンスを含む、TPSPとの契約に関する確立されたプロセスが実施されている。 | X | ||||
12.8.4 TPSP の PCI DSS 準拠状況を少なくとも 12 カ月に 1 回監視するプログラムを実施します。 | X | ||||
12.8.5 各 TPSP が管理する PCI DSS 要件、エンティティが管理する PCI DSS 要件、および TPSP とエンティティの間で共有される PCI DSS 要件に関する情報が保持されます。 | X | ||||
12.9 サードパーティサービスプロバイダ(TPSP)は、顧客のPCI DSS準拠をサポートします。 |
X | ||||
12.9.1 サービスプロバイダーのみの追加要件: TPSPは、TPSPが保有する、または顧客のために保管、処理、もしくは送信する口座データのセキュリ ティ、または顧客のCDEのセキュリティに影響を与える可能性のある範囲について、TPSPが責任を負 うことを顧客に対して書面で確認する。 |
X | ||||
12.9.2 サービスプロバイダーのみの追加要件: TPSP は、顧客の要求に応じて以下を提供することにより、要件 12.8.4 および 12.8.5 を満たすための顧客からの情報要求を支援する:
|
X | ||||
12.10 CDEに影響を及ぼす可能性のあるセキュリティインシデントの疑いや確認があった場合は、直ちに対応する。 | X | ||||
12.10.1 インシデント対応計画が存在し、セキュリティ・インシデントが疑われる、または確認された場合に発動できるようになっている。 この計画には以下が含まれるが、これらに限定されるものではない:
|
X | ||||
12.10.2 少なくとも 12 カ月に 1 回、セキュリティインシデント対応計画を策定する:
|
X | ||||
12.10.3 セキュリティ事故の疑いまたは確認に対応するため、特定の要員が24時間365日体制で待機するよう指定されている。 | X | ||||
12.10.4 セキュリティ・インシデントの疑いや確認に対応する担当者は、インシデント対応の責任について適切かつ定期的な訓練を受ける。 | X | ||||
12.10.4.1 インシデント対応要員の定期的な訓練の頻度は、エンティティの対象リスク分析で定義され、要件12.3.1に規定されるすべての要素に従って実施される。 |
X | ||||
12.10.5 セキュリティインシデント対応計画には、以下を含むがこれに限定されない、セキュリティ監視システムからのアラートの監視と対応が含まれる:
|
X | ||||
12.10.6 セキュリティ・インシデント対応計画は、学んだ教訓に基づき、また業界の発展を取り入れるために修正され、進化する。 | X | ||||
12.10.7 想定外の場所で保存されたPANが検出された場合に開始されるインシデント対応手順が定められており、これには以下が含まれる:
|
X |
PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
---|---|---|---|---|---|
A1.1 マルチテナント型サービスプロバイダーは、すべての顧客環境とデータを保護し、分離する。 | X | ||||
A1.1.1論理的分離は以下のように実施される: プロバイダーは、承認なしに顧客の環境にアクセスすることはできない。 顧客は承認なしにプロバイダーの環境にアクセスすることはできない。 |
X | ||||
A1.1.2各顧客が、自身のカード会員データおよび CDE にアクセスする権限のみを有するように、管理 が実施される。 |
X | ||||
A1.1.3各顧客は、その顧客に割り当てられたリソースにのみアクセスできるように管理される。 |
X | ||||
A1.1.4 顧客環境を分離するために使用される論理的分離制御の有効性は、ペネトレーションテストにより少なくとも 6 カ月に 1 回確認される。 |
X | ||||
A1.2 マルチテナント型サービスプロバイダーは、全顧客のロギングとインシデント対応を促進する。 | X | ||||
A1.2.1各顧客環境で、PCI DSS 要件 10 に一致する監査ログ機能が有効になっている: ログは、一般的なサードパーティ製アプリケーションで有効になっている。 ログはデフォルトでアクティブになっている。 ログは、所有者であるお客様のみが確認することができます。 ログの位置は、所有する顧客に明確に伝えられる。 ログデータおよび可用性は PCI DSS 要件 10 と一致する。 |
X | ||||
A1.2.2顧客のセキュリティインシデントが疑われる、又は確認された場合に、迅速なフォレンジック調査を支援及び/又は促進するためのプロセス又は仕組みが導入されている。 |
X | ||||
A1.2.3セキュリティインシデントや脆弱性の疑いや確証を報告し、対処するためのプロセスや仕組みが導入されている: 顧客は、セキュリティ・インシデントや脆弱性をプロバイダーに安全に報告することができる。 プロバイダは、要件 6.3.1.に従い、セキュリティインシデント及び脆弱性の疑い、又は確認されたインシデントに対処し、是正する。 | X |
日付 | リビジョン |
2023年11月15日 | PCI DSS 4.0 基準に関連しない責任を削除。 正確性を期すため、責任を再マッピング。 |
2023年10月18日 | PCI DSS 4.0基準に従い、責務を更新し、新たな責務を追加した。 |
2023年3月22日 | PCI DSS 4.0規格に基づく新たな責務を追加した。 |