本稿では、Genesys CloudプラットフォームをPCI準拠の方法で使用するために、PCI DSS(Payment Card Industry Data Security Standard)の要件をどのように満たす必要があるかについて説明します。 要件 12.8.5 に従い、この記事では、顧客、Genesys Cloud、または双方が各 PCI DSS 要件を満たす責任を持つ場所を示します。 以下の拡張可能なマトリックスに示されている責任は、顧客がすでに持っている既存のPCI DSS要件を自分のシステムや手法に適用する代わりにも置き換えもしません。*

* 例えば、以下の拡張可能なマトリックスでは、セクション5が悪意のあるソフトウェアからすべてのシステムとネットワークを保護する責任を取り上げています。 本マトリックスのこのセクションは、Genesysクラウド制御システムに適用されます。 セクション5.2.1に示すように、Genesys Cloudは、Genesys Cloudが管理するシステムにウイルス対策ソフトウェアを導入する責任を負います。 お客様は、Genesys Cloud制御システム上にウイルス対策ソフトウェアを導入する追加の責任を一切負いません。 ただし、顧客には、顧客の管理よりもシステムにウイルス対策ソフトウェアを展開する責任があります。

ジェネシスのクラウドプラットフォームは、PCI DSS基準のバージョン4.0を使用して、レベル1のサービスプロバイダーとしてPCI DSSのアセスメントを達成しました。 コンプライアンス証明書は、機密保持契約に基づいてお客様に提供されます。 クレジットカード情報の処理、送信、または保存に使用できるのは、コンプライアンスに関するレポートにPCI認定として記載されているGenesysCloudの機能のみです。 特定のGenesys Cloud機能にのみ適用されるPCI DSS要件は、責任マトリックスに記載されています。 顧客がその特定のGenesys Cloud機能を使用しない場合、これらの要件は適用されません。

以下のマトリックスは、ネイティブのGenesys Cloud機能を使用しているお客様に適用されます。 顧客は、サード使用している場合は相手などからのアプリケーションなどの製品を、 AppFoundry または使用する技術 独自のテクノロジーサービスモデルを導入する、顧客およびサード相手 サービス プロバイダー追加の共有責任を有することができます。 これらの責任は、顧客とサードの間で共有されている相手 サービス プロバイダー 。 顧客は、サードに確認する必要があり相手 サービス プロバイダー PCI DSSへの準拠と共同責任について。 この状況では、Genesys CloudはPCI DSSの追加の責任を共有しません。

詳細については、 PCI DSSコンプライアンス

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
1.1 ネットワークセキュリティ管理策の導入と維持のためのプロセスと仕組みが定義され、理解されている。 X
1.1.1 要件 1 で特定されたすべてのセキュリティポリシーと運用手順を実施する: 文書化されている、最新の状態に保たれている、使用中である、すべての関係者に周知されている。 X
1.1.2 要件1の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X
1.2 ネットワーク・セキュリティ管理(NSC)が設定され、維持されている。 X
1.2.1 NSCルールセットの設定基準は以下の通り: 定義し、実施し、維持する。 X
1.2.2 ネットワーク接続及び NSC の設定に対するすべての変更は、要件 6.5.1 に定める変更管理プロ セスに従って承認され、管理される。 X
1.2.3 無線ネットワークを含む、CDEと他のネットワーク間のすべての接続を示す正確なネットワーク図が維持される。 X
1.2.4 以下を満たす正確なデータフロー図が整備されていること: システムやネットワークを横断するすべてのアカウントデータの流れを表示します。 環境の変化に応じて随時更新。 X
1.2.5 許可されるすべてのサービス、プロトコル、ポートは特定され、承認され、ビジネス上の必要性が定義されている。 X
1.2.6 使用中のすべてのサービス、プロトコル、ポートで、安全でないと考えられるものについては、リスクを軽減するようなセキュリティ機能が定義され、実装されている。 X この環境では、安全でないサービスのプロトコルやポートは許可されていない。
1.2.7 NSCの構成は、少なくとも半年に一度は見直され、適切かつ効果的であることが確認される。 X
1.2.8 NSCの設定ファイルは以下の通り: 不正アクセスから保護され、アクティブなネットワーク構成との一貫性が保たれる。 X
1.3 カード会員データ環境への、およびカード会員データ環境からのネットワークアクセ スは制限されます。 X
1.3.1 CDEへのインバウンド・トラフィックは以下のように制限されている: 必要なトラフィックだけに その他のトラフィックはすべて拒否される。 X
1.3.2 CDEからのアウトバウンド・トラフィックは以下のように制限される: 必要なトラフィックだけに その他のトラフィックはすべて拒否される。 X

1.3.3 NSCは、ワイヤレスネットワークがCDEであるかどうかにかかわらず、すべてのワイヤレスネットワークとCDEの間にインストールされる:

  • ワイヤレスネットワークからCDEへのすべてのワイヤレストラフィックは、デフォルトで拒否されます。
  • 許可されたビジネス目的の無線トラフィックのみがCDEに許可されます。
X この環境では、ワイヤレス技術の使用は禁止されている。
1.4 信頼できるネットワークと信頼できないネットワーク間のネットワーク接続は制御される。 X
1.4.1 NSCは信頼されたネットワークと信頼されていないネットワークの間で実装される。 X

1.4.2 信頼できないネットワークから信頼できるネットワークへのインバウンド・トラフィックは、次のように制限されている:

  • 一般にアクセス可能なサービス、プロトコル、ポートを提供することが許可されているシステム・コンポーネントとの通信。
  • 信頼されたネットワーク内のシステムコンポーネントによって開始された通信に対するステートフルな応答。
  • それ以外のトラフィックは拒否される。
X
1.4.3 スプーフィング対策は、信頼されたネットワークに入る偽造されたソースIPアドレスを検出し、ブロックするために実装される。 X
1.4.4 カード会員データを保存するシステムコンポーネントは、信頼できないネットワークから直接アクセス できない。 X Genesys はカード会員データを採点しない。
1.4.5 内部IPアドレスおよびルーティング情報の開示は、許可された関係者のみに限定されます。 X
1.5 信頼されていないネットワークとCDEの両方に接続できるコンピューティングデバイスによるCDEへのリスクは軽減される。 X

1.5.1 セキュリティ管理は、以下のように、信頼されていないネットワーク(インターネットを含む)と CDE の両方に接続する、会社所有および従業員所有のデバイスを含むあらゆるコンピューティングデバイスに実装されます:

  • 企業のネットワークに脅威が侵入するのを防ぐために、特定のコンフィギュレーション設定が定義されている。
  • セキュリティ管理は積極的に行われている。
  • セキュリティ管理は、特別に文書化され、期間限定でケースバイケースで管理者によって許可されない限り、コンピューティングデバイスのユーザーが変更することはできません。
X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
2.1 すべてのシステム構成要素に安全な設定を適用するためのプロセスと仕組みが定義され、理解されている。 X
2.1.1 要件 2 で特定されたすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X
2.1.2 要件2の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X  
2.2 システムコンポーネントは安全に設定・管理される。 X

2.2.1 コンフィギュレーション・スタンダードを開発し、実施し、維持する:

  • すべてのシステムコンポーネントをカバーする。
  • すべての既知のセキュリティ脆弱性に対処する。
  • 業界で認められているシステムハードニング標準またはベンダーが推奨するハードニングと一致していること。
  • 要件6.3.1で定義されているように、新たな脆弱性の問題が特定された場合は更新すること。
  • 新システムが構成され、システム・コンポーネントが本番環境に接続される前、または接続された直後に、所定の状態にあることが検証された場合に適用される。
X

2.2.2 ベンダーのデフォルトアカウントは以下のように管理される:

  • ベンダーのデフォルトアカウントが使用される場合は、要件 8.3.6 に従ってデフォルトパスワードが変更される。
  • ベンダーのデフォルトアカウントが使用されない場合、そのアカウントは削除または無効化される。
X

2.2.3 異なるセキュリティ・レベルを必要とする主要機能は、以下のように管理される:

  • システムコンポーネントに1つのプライマリ機能しか存在しない。
  • 同じシステム・コンポーネント上に存在する、セキュリティ・レベルの異なるプライマリ機能を、互いに隔離する。
  • 同じシステム・コンポーネント上で、セキュリティ・レベルが異なるプライマリ機能は、すべて、最もセキュリティの必要性が高い機能が要求するレベルまで保護される。
X
2.2.4 必要なサービス、プロトコル、デーモン、機能のみが有効化され、不要な機能はすべて削除または無効化される。 X

2.2.5 安全でないサービス、プロトコル、デーモンが存在する場合:

  • ビジネス上の正当性が文書化されている。
  • 安全でないサービス、プロトコル、デーモンを使うリスクを減らすために、追加のセキュリティ機能が文書化され、実装されている。
X
2.2.6 システムのセキュリティ・パラメーターは、悪用を防ぐために設定される。 X
2.2.7 コンソール以外の管理者アクセスはすべて、強力な暗号を使用して暗号化されます。 X
2.3 ワイヤレス環境は安全に設定され、管理される。 X

2.3.1 CDEに接続された、またはアカウントデータを送信する無線環境については、すべての無線ベンダーのデフォルトがインストール時に変更されるか、または以下を含むがこれに限定されない安全であることが確認される:

  • デフォルトのワイヤレス暗号化キー。
  • 無線アクセスポイントのパスワード。
  • SNMPのデフォルト。
  • その他セキュリティ関連の無線ベンダーの不履行。
X この環境では、ワイヤレス技術の使用は禁止されている。

2.3.2 CDEに接続されている、またはアカウントデータを送信しているワイヤレス環境では、ワイヤレス暗号化キーは以下のように変更されます:

  • その鍵に関する知識を持つ人材が会社を去ったり、その知識が必要であった役割を離れたりした場合。
  • 鍵の漏洩が疑われる場合、あるいは漏洩が判明した場合は、いつでも鍵の漏洩を検知する。
X この環境では、ワイヤレス技術の使用は禁止されている。

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
3.1 保存されたアカウントデータを保護するためのプロセスと仕組みが定義され、理解されている。 X Genesysクラウド はカード会員データを保存しません。
3.1.1 要件 3 で特定されたすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X X  
3.1.2 要件3の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X X  
3.2 アカウントデータの保存は最小限に抑えられています。 X Genesysクラウド はカード会員データを保存しません。
3.2.1 アカウントデータの保管は、少なくとも以下を含む、データ保持および廃棄に関する方針、手 続き、およびプロセスの実施を通じて最小限に保たれる:
  • 保存されているアカウントデータのすべての場所をカバー。
  • 認証完了前に保存された機密認証データ(SAD)に対する補償。 この箇条は、2025 年 3 月 31 日までのベストプラクティスであり、それ以降は要件 3.2.1 の一部として要求され、PCI DSS 評価中に十分に考慮する必要があります。
  • データの保存量および保存期間を、法律、規制、および/またはビジネス要件に必要な範囲に制限すること。
  • 保存期間を定義し、文書化された業務上の正当な理由を含む、保存されたアカウントデータの具体的な保存要件。 保持ポリシーに従い、不要になったアカウントデータを安全に削除または復元不可能にするためのプロセス。
  • 少なくとも3ヶ月に1度、定められた保存期間を超えた保存アカウントデータが安全に削除されたこと、または復元不可能になったことを検証するプロセス。
X Genesys Cloudはアカウントデータを保存しません。
3.3 機密認証データ(SAD)は、認証後は保存されない。 X Genesysクラウド はカード会員データを保存しません。
3.3.1 SADは、暗号化されていても、認証後は保持されない。 受信したすべての機密認証データは、認証プロセスが完了した時点で復元不可能になる。 X Genesys はカード会員データを保存しません。
3.3.1.1 オーソライズプロセスが完了しても、トラックの全内容は保持されない。 X Genesys はカード会員データを保存しません。
3.3.1.2 カード認証コードは、認証プロセスの完了時には保持されない。 X Genesys はカード会員データを保存しません。
3.3.1.3 個人識別番号(PIN)およびPINブロックは、オーソリゼーション・プロセスの完了時には保持されない。 X Genesys はカード会員データを保存しません。
3.3.2 承認完了前に電子的に保存されるSADは、強力な暗号技術を用いて暗号化される。 X Genesys はカード会員データを保存しません。

3.3.3 発行者および発行サービスをサポートし、機密性の高い認証データを保管する企業に対する追加要件: センシティブな認証データの保存は、すべてそうである:

  • 正当な発行業務に必要であり、安全が確保されているものに限る。
  • 強力な暗号技術を用いて暗号化。
X ジェネシスは発行体ではありません。
3.4 フルPANの表示へのアクセスやPANのコピーは制限されている。 X Genesysクラウド はカード会員データを保存しません。
3.4.1 PANは表示時にマスクされ(BINと下4桁が表示される最大桁数)、正当な業務上の必要性のある担当者のみがPANのBINと下4桁以上の数字を見ることができるようになっている。 X Genesysクラウド はカード会員データを保存しません。
3.4.2 リモートアクセス技術を使用する場合は、文書化された明示的な権限と、正当かつ定義された業務上の必要性がある者を除き、技術的な管理により、すべての人員のPANのコピーおよび/または移動を防止する。 X Genesys はカード会員データを保存しません。
3.5 プライマリー・アカウント・ナンバー(PAN)はどこに保管されていても安全である。 X Genesysクラウド はカード会員データを保存しません。

3.5.1 PANは、以下のいずれかの方法を用いることで、どこに保存されていても読めなくなる:

  • PAN全体の強力な暗号に基づく一方向ハッシュ。
  • 切り捨て(ハッシュを使用してPANの切り捨てられたセグメントを置き換えることはできません)。
    • 同じPANのハッシュ化されたバージョンとトランケートされたバージョン、あるいは同じPANの異なるトランケートフォーマットが環境内に存在する場合、異なるバージョンを相関させて元のPANを再構築できないように、追加の制御が行われる。
  • インデックス・トークン。 強力な暗号技術と、それに関連する鍵管理プロセスおよび手順。
X Genesysクラウド はカード会員データを保存しません。
3.5.1.1 PANを読み取り不可能にするために使用されるハッシュ(要件3.5.1の最初の箇条書きによる)は、要件3.6および3.7に従った関連する鍵管理プロセスおよび手順とともに、PAN全体の鍵付き暗号ハッシュである。 X Genesysクラウド はカード会員データを保存しません。
3.5.1.2 ディスクレベルまたはパーティションレベルの暗号化(ファイルレベル、カラムレベル、フィールドレベルのデータベース暗号化ではなく)を使用してPANを読み取り不可能にする場合は、以下のようにのみ実装されます: リムーバブル電子メディア上 OR リムーバブルでない電子メディアに使用される場合、PAN は要件 3.5.1 を満たす別のメカニズムによっても読み取り不可能にされる。 X Genesysクラウド はカード会員データを保存しません。

3.5.1.3 PANを読めなくするために(ファイル、列、フィールドレベルのデータベース暗号化ではなく)ディスクレベルまたはパーティションレベルの暗号化が使用される場合、それは以下のように管理される:

  • 論理アクセスは、ネイティブ・オペレーティング・システムの認証やアクセス制御メカニズムとは別に、独立して管理される。
  • 復号鍵はユーザー・アカウントに関連付けられない。
  • 暗号化されていないデータへのアクセスを許可する認証要素(パスワード、パスフレーズ、または暗号鍵)は、安全に保管される。
X Genesysクラウド はカード会員データを保存しません。
3.6 保存されたアカウントデータを保護するために使用される暗号鍵は保護されている。 X Genesysクラウド はカード会員データを保存しません。

3.6.1 保存されたアカウント・データを保護するために使用される暗号鍵を、開示や悪用から保護するため の手順が定義され、実施されている:

  • 鍵へのアクセスは、必要最小限の管理者に限定される。
  • 鍵暗号化鍵は、それが保護するデータ暗号化鍵と同等以上の強度を持つ。
  • 鍵暗号化キーは、データ暗号化キーとは別に保管される。
  • 鍵はできるだけ少ない場所と形態で安全に保管される。
X Genesysクラウド はカード会員データを保存しません。

3.6.1.1 サービスプロバイダーのみの追加要件: 暗号アーキテクチャの文書化された記述が維持される:

  • 保存されたアカウント・データの保護に使用されるすべてのアルゴリズム、プロトコル、鍵の詳細(鍵の強度、有効期限を含む)。
  • 本番環境とテスト環境で同じ暗号鍵が使用されないようにする。 この箇条は、2025 年 3 月 31 日までのベストプラクティスであり、それ以降は要件 3.6.1 の一部として要求され、PCI DSS 評価中に十分に考慮する必要があります。
  • 各キーのキー使用法の説明。
  • 要件 12.3.4に概説されているとおり、鍵管理に使用されるハードウェア・セキュリティ・ モジュール(HSM)、鍵管理システム(KMS)、その他の安全な暗号化デバイス(SCD)のインベントリ。
X Genesysクラウド はカード会員データを保存しません。

3.6.1.2 保存されたアカウント・データの暗号化/復号化に使用される秘密鍵および秘密鍵は、常に以下の 形態のいずれか(または複数)で保存される:

  • 少なくともデータ暗号化キーと同じ強度のキー暗号化キーで暗号化され、データ暗号化キーとは別に保管される。
  • ハードウェア・セキュリティ・モジュール(HSM)や PTS 承認のポイント・オブ・インタラクション・デバ イスなどのセキュア暗号化デバイス(SCD)内。
  • 業界で認められている方法に従った、少なくとも2つのフルレングスの主要コンポーネントまたは主要シェアとして。
X Genesysクラウド はカード会員データを保存しません。
3.6.1.3 平文の暗号鍵コンポーネントへのアクセスは、必要最小限の管理者に制限される。 X Genesysクラウド はカード会員データを保存しません。
3.6.1.4 暗号鍵はできるだけ少ない場所に保管する。 X Genesysクラウド はカード会員データを保存しません。
3.7 保存されたアカウント・データを保護するために暗号が使用される場合、鍵のライフサイクルの すべての側面をカバーする鍵管理プロセスおよび手順が定義され、実施される。 X Genesysクラウド はカード会員データを保存しません。
3.7.1 鍵管理方針および手順は、保存されたアカウント・データを保護するために使用される強力な暗号鍵の生成を含むように実施される。
X Genesysクラウド はカード会員データを保存しません。
3.7.2 鍵管理方針および手順は、保存された口座データを保護するために使用される暗号鍵の安全な配布を含むように実施される。
X Genesysクラウド はカード会員データを保存しません。
3.7.3 鍵管理ポリシーおよび手順は、保管されたアカウント・データを保護するために使用される暗号鍵の安全な保管を含めて実施される。
X Genesysクラウド はカード会員データを保存しません。

3.7.4 鍵管理ポリシーおよび手順は、関連するアプリケーション・ベンダーまたは鍵所有者によって定 義され、以下を含む業界のベスト・プラクティスおよびガイドラインに基づき、暗号期間の終了した 鍵の暗号鍵変更のために実施される:

  • 使用するキー・タイプごとに定義された暗号化期間。
  • 定義された暗号化期間の終了時に鍵を変更するプロセス。
X Genesysクラウド はカード会員データを保存しません。

3.7.5 鍵管理方針手続きは、保存されたアカウント・データを保護するために使用される鍵の廃棄、 交換、または破壊を含め、必要とみなされる場合に実施される:

  • 鍵が、定義された暗号化期間の終わりに達した。
  • 鍵の完全性が損なわれている。これには、平文鍵の構成要素を知っている要員が退社した場合や、 鍵の構成要素が知られていた職務を退いた場合などが含まれる。
  • 鍵の漏洩が疑われる、または判明している。
  • 引退または交換された鍵は暗号化操作に使用されない。
X Genesysクラウド はカード会員データを保存しません。
3.7.6 手作業による平文の暗号鍵管理業務が人員によって行われる場合、鍵管理ポリシーと手順が実施され、これには、スプリット・ナレッジとデュアル・コントロールを使用してこれらの業務を管理することが含まれる。
X Genesysクラウド はカード会員データを保存しません。
3.7.7 鍵管理ポリシーおよび手順は、暗号鍵の不正なすり替え防止を含めて実施される。
X Genesysクラウド はカード会員データを保存しません。
3.7.8 鍵管理ポリシーおよび手続は、暗号鍵管理者が鍵管理者としての責任を理解し受諾しているこ とを(書面または電子的に)正式に承認することを含むように実施される。
X Genesysクラウド はカード会員データを保存しません。
3.7.9 サービスプロバイダーのみの追加要件: サービス・プロバイダーがアカウント・データの伝送または保管のために暗号鍵を顧客と 共有する場合、かかる鍵の安全な伝送、保管、更新に関するガイダンスを文書化し、サービス・プ ロバイダーの顧客に配布する。
X Genesysクラウド はカード会員データを保存しません。

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
4.1 オープンで公開されたネットワークを介した伝送中に、強力な暗号化技術を使用してカード会員 データを保護するためのプロセスおよびメカニズムが定義され、文書化されている。
X
4.1.1 要件 4 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X
4.1.2 要件4の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X  

4.2 PANは送信中に強力な暗号で保護される。

X

4.2.1 強力な暗号とセキュリティ・プロトコルを以下のように実装し、オープンでパブリックなネットワーク上でのPAN送信を保護する:

  • 信頼できる鍵と証明書だけが受け入れられます。オープンでパブリックなネットワーク上での PAN の伝送を保護するために使用される証明書 は、有効であることが確認され、期限切れまたは失効していない。
  • 使用中のプロトコルは、安全なバージョンや設定のみをサポートし、安全でないバージョン、アルゴリズム、鍵のサイズ、実装へのフォールバックや使用はサポートしない。
  • 暗号化強度は、使用中の暗号化方法に適しています。
X
4.2.1.1 送信中の PAN を保護するために使用される、エンティティの信頼された鍵および証明書のインベントリが保持される。 X
4.2.1.2 PANを送信する、またはCDEに接続するワイヤレスネットワークは、認証と送信に強力な暗号を実装する業界ベストプラクティスを使用します。 X ワイヤレス技術は環境にない。
4.2.2 PANは、エンドユーザーのメッセージング技術で送信されるときは常に、強力な暗号技術で保護される。 X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
5.1 悪意のあるソフトウェアからすべてのシステムとネットワークを保護するためのプロセスと仕組みが定義され、理解されている。 X
5.1.1 要件 5 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X
5.1.2 要件5の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X
5.2 悪意のあるソフトウェア(マルウェア)を防止、または検出し、対処する。
X
5.2.1 要件5.2.3に従った定期的な評価で特定されたシステムコンポーネントがマルウェアによるリスクにさらされていないと結論づけられたものを除き、すべてのシステムコンポーネントにマルウェア対策ソリューションが導入されている。 X

5.2.2 導入されているマルウェア対策ソリューション:

  • 既知のすべてのタイプのマルウェアを検出します。
  • 既知のすべてのタイプのマルウェアを削除、ブロック、または封じ込めます。
X

5.2.3 マルウェアのリスクがないシステム・コンポーネントは、以下を含む定期的な評価を行う:

  • マルウェアの危険性がないすべてのシステムコンポーネントの文書化されたリスト。
  • システム・コンポーネントの進化するマルウェアの脅威の特定と評価。
  • このようなシステムコンポーネントが引き続きマルウェア対策を必要としないかどうかを確認する。
X
5.2.3.1 マルウェアのリスクがないと特定されたシステムコンポーネントの定期的な評価の頻度は、エンティティの対象リスク分析で定義され、要件12.3.1に規定されるすべての要素に従って実施される。 X
5.3 マルウェア対策の仕組みとプロセスが有効であり、維持され、監視されている。 X
5.3.1 マルウェア対策ソリューションは、自動アップデートにより常に最新の状態に保たれています。 X

5.3.2 マルウェア対策ソリューション:

  • 定期スキャン、アクティブスキャン、リアルタイムスキャンを実行する。

または 

  • システムやプロセスの継続的な動作分析を行う。
X
5.3.2.1 要件5.3.2を満たすために定期的なマルウェアスキャンを実施する場合、スキャンの頻度は、要件12.3.1に規定されるすべての要素に従って実施されるエンティティの標的リスク分析で定義される。 X
5.3.3 リムーバブル電子メディアの場合、マルウェア対策ソリューション(複数可): メディアが挿入、接続、または論理的にマウントされたときに自動スキャンを実行する、またはメディアが挿入、接続、または論理的にマウントされたときに、システムまたはプロセスの継続的な動作分析を実行する。 X
5.3.4 マルウェア対策ソリューションの監査ログが有効化され、要件 10.5.1 に従って保持される。 X
5.3.5 マルウェア対策の仕組みは、特に文書化され、期間限定で管理者がケースバイケースで許可した場合を除き、ユーザーが無効にしたり変更したりすることはできません。 X
5.4 アンチフィッシング・メカニズムは、フィッシング攻撃からユーザーを守る。 X
5.4.1 フィッシング攻撃を検知し、従業員を保護するためのプロセスと自動化されたメカニズムが整備されている。 X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
6.1 セキュアなシステムとソフトウェアを開発し、維持するためのプロセスと仕組みが定義され、理解されている。 X
6.1.1 要件 6 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。
X
6.1.2 要件6の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X
6.2 オーダーメイドのカスタム・ソフトウェアを安全に開発。 X

6.2.1 オーダーメイドのカスタム・ソフトウェアは、以下のように安全に開発される:

  • 業界標準および/または安全な開発のためのベストプラクティスに基づく。
  • PCI DSSに準拠しています(たとえば、安全な認証とログ記録)。
  • ソフトウェア開発ライフサイクルの各段階において、情報セキュリ ティ問題を考慮する。
X

6.2.2 オーダーメイドおよびカスタムソフトウェアに携わるソフトウェア開発要員は、少なくとも12カ月に1回、以下のようなトレーニングを受ける:

  • 職務や開発言語に関連したソフトウェアセキュリティについて。
  • 安全なソフトウェア設計と安全なコーディング技術を含む。
  • セキュリティテストツールを使用する場合は、ソフトウェアの脆弱性を検出するためのツールの使用方法も含む。
X

6.2.3 オーダーメイドおよびカスタム・ソフトウェアは、本番稼動前または顧客にリリースされる前に、潜在的なコーディングの脆弱性を特定し修正するために、以下のようにレビューされる:

  • コードレビューにより、安全なコーディングガイドラインに従ってコードが確実に開発されるようになります。
  • コード・レビューでは、既存のソフトウェアと新たなソフトウェアの脆弱性の両方を調べます。
  • リリース前に適切な修正が行われます。
X

6.2.3.1 オーダーメイドのカスタム・ソフトウェアについて、本番環境へのリリース前に手作業によるコード・レビューが実施される場合、コードの変更が行われる:

  • 元のコード作成者以外で、コード・レビュー技法とセキュア・コーディング・プラクティスに精通した個人によるレビュー。
  • リリース前に経営陣がレビューし、承認する。
X

6.2.4 ソフトウェア工学の技術やその他の方法は、オーダーメイドのソフトウェアやカスタムソフトウェアにおける一般的なソフトウェア攻撃や関連する脆弱性を防止または軽減するために定義され、ソフトウェア開発担当者によって使用されている:

  • SQL、LDAP、XPath、その他のコマンド、パラメータ、オブジェクト、フォールト、インジェクションタイプの欠陥を含むインジェクション攻撃。
  • バッファ、ポインタ、入力データ、共有データを操作しようとする試みを含む、データおよびデータ構造に対する攻撃。
  • 弱い、安全でない、または不適切な暗号実装、アルゴリズム、暗号スイート、または動作モードを悪用しようとする試みを含む、暗号の使用に対する攻撃。
  • API、通信プロトコルとチャネル、クライアント側の機能、またはその他のシステム/アプリケーションの機能やリソースの操作を通じて、アプリケーションの機能や特徴を悪用または迂回しようとする試みを含む、ビジネスロジックに対する攻撃。 これには、クロスサイト・スクリプティング(XSS)やクロスサイト・リクエスト・フォージェリ(CSRF)が含まれる。 識別、認証、認可の仕組みを迂回または悪用しようとする試み、あるいはそのような仕組みの実装上の弱点を突こうとする試みを含む、アクセス制御の仕組みに対する攻撃。
  • 要件6.3.1で定義されている、脆弱性特定プロセスで特定された「高リスク」の脆弱性を介した攻撃。
X
6.3 セキュリティの脆弱性を特定し、対処する。 X

6.3.1 セキュリティの脆弱性は以下のように特定され、管理される:

  • 新たなセキュリティ脆弱性は、国際的・国内的なコンピュータ緊急対応チーム(Certus)からのアラートを含む、業界で認知されたセキュリティ脆弱性情報源を使用して特定される。
  • 脆弱性は、業界のベストプラクティスと潜在的な影響の考慮に基づいてリスクランクが割り当てられる。
  • リスクランキングは、少なくとも、環境にとって高リスクまたはクリティカルと考えられるすべての脆弱性を特定する。
  • 特注品やカスタム品、サードパーティ製ソフトウェア(OSやデータベースなど)の脆弱性もカバーしている。
X
6.3.2 特注・カスタムソフトウェア、および特注・カスタムソフトウェアに組み込まれたサードパーティソフトウェアコンポーネントのインベントリは、脆弱性およびパッチ管理を容易にするために維持される。 X

6.3.3 すべてのシステム・コンポーネントは、以下のように適用可能なセキュリティ・パッチ/アップデートをインストールすることで、既知の脆弱性から保護されている:

  • クリティカルまたは高セキュリティのパッチ/更新(要件 6.3.1 のリスクランク付けプロセスに従って特定)は、リリース後 1 カ月以内にインストールする。
  • その他該当するすべてのセキュリティパッチ/アップデートが、エンティティの定める適切な期間内(例えば、リリース後 3 カ月以内)にインストールされる。
X
6.4 一般向けのウェブアプリケーションは攻撃から保護されている。 X

6.4.1 公衆向けのウェブ・アプリケーションについては、新たな脅威と脆弱性に継続的に対処し、これらのアプリケーショ ンは以下のように既知の攻撃から保護される:

  • 手動または自動化されたアプリケーション脆弱性セキュリティ評価ツールまたは以下のような手法により、一般向けウェブアプリケーションをレビューする:
    • 少なくとも12ヶ月に1回、また重要な変更があった後。
    • アプリケーション・セキュリティを専門とする団体によるもの。
    • 最低限、要件6.2.4のすべての一般的なソフトウェア攻撃を含む。
    • すべての脆弱性は、要件6.3.1に従ってランク付けされる。
    • すべての脆弱性は修正されている。
    • 申請書は修正後に再評価される。

または 

  • 以下のように、ウェブベースの攻撃を継続的に検知し、防止する自動化された技術的ソリューションを導入する:
    • ウェブベースの攻撃を検知・防止するために、一般公開されるウェブアプリケーションの前に設置される。
    • 積極的に実行し、必要に応じて最新の状態にすること。
    • 監査ログの作成
    • ウェブベースの攻撃をブロックするか、直ちに調査されるアラートを生成するように設定される。
X

6.4.2 公衆向けのウェブアプリケーションについては、少なくとも以下のような、ウェブベースの攻撃を継続的に検知・防止する自動化された技術的ソリューションを導入する:

  • 一般に公開されるウェブ・アプリケーションの前にインストールされ、ウェブベースの攻撃を検出して防止するように設定される。
  • 積極的に実行し、必要に応じて最新の状態にすること。
  • 監査ログの作成
  • ウェブベースの攻撃をブロックするか、直ちに調査されるアラートを生成するように設定される。
X

6.4.3 消費者のブラウザにロードされ実行されるすべての支払いページスクリプトは、以下のように管理される:

  • 各スクリプトが認可されていることを確認する方法が実装されている。
  • 各スクリプトの整合性を保証する方法が実装されている。
  • すべてのスクリプトの在庫が管理され、それぞれのスクリプトがなぜ必要なのか、正当な理由が書かれている。
X Genesysは支払いページのスクリプトを使用しません。
6.5 すべてのシステムコンポーネントの変更は安全に管理されます。 X

6.5.1 本番環境におけるすべてのシステム・コンポーネントの変更は、以下を含む確立された手順に従って行われる:

  • 変更の理由と内容。
  • セキュリティ影響の文書化
  • 6.4.5.2 承認された関係者によるドキュメント化された変更承認。
  • 変更がシステム・セキュリティに悪影響を与えないことを検証するためのテスト。
  • 特注およびカスタムソフトウェアの変更については、すべてのアップデートが本番環境に導入される前に、要件6.2.4に準拠しているかテストされる。
  • 故障に対処し、安全な状態に戻すための手順。
X
6.5.2 重要な変更が完了すると、該当するすべての PCI DSS 要件がすべての新規または変更されたシステムおよびネットワークに適用されていることが確認され、該当する文書が更新されます。 X
6.5.3 プリプロダクション環境はプロダクション環境から分離され、その分離はアクセス制御によって強制される。 X
6.5.4 本番環境とプリプロダクション環境では、役割と機能が分離され、レビューされ承認された変更のみがデプロイされるような説明責任が提供される。 X
6.5.5 ライブ PAN は、それらの環境が CDE に含まれ、適用されるすべての PCI DSS 要件に従って保護されている場合を除き、本番前の環境では使用されません。 X
6.5.6 テストデータとテストアカウントは、システムが本番稼動する前にシステムコンポーネントから削除される。 X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
7.1 業務上知る必要のあるシステムコンポーネントおよびカード会員データへのアクセスを制 限するためのプロセスおよび仕組みが定義され、理解されている。 X X  
7.1.1 要件 7 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。
X X  
7.1.2 要件7の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X X  

7.2 システムコンポーネントやデータへのアクセスは適切に定義され、割り当てられている。

X X

7.2.1 アクセス制御モデルが定義され、以下のようにアクセスを許可することが含まれる:

  • 事業体の業務およびアクセスの必要性に応じた適切なアクセス。
  • ユーザーの職務分類および機能に基づく、システムコンポーネントおよびデータリソースへのアクセス。
  • 職務を遂行するために最低限必要な権限(例:ユーザー、管理者)。
X X

7.2.2 アクセス権は、特権ユーザーを含むユーザーに、以下に基づいて割り当てられる:

  • 職務分類と機能
  • 職責を果たすために必要最小限の特権。
X X
7.2.3 必要な特権は、権限を与えられた担当者によって承認される。 X X

7.2.4 サードパーティ/ベンダーのアカウントを含む、すべてのユーザーアカウントおよび関連するアクセス権限は、以下のように審査される: 少なくとも6ヶ月に1回。

  • 職務に応じた適切なユーザーアカウントとアクセスを維持すること。
  • 不適切なアクセスには対処する。
  • 経営陣は、アクセスが依然として適切であることを認めている。
X X

7.2.5 すべてのアプリケーションとシステムアカウント、および関連するアクセス権限は、以下のように割り当てられ、管理される:

  • システムまたはアプリケーションの操作性に必要な最小限の権限に基づく。
  • アクセスは、その使用を特に必要とするシステム、アプリケーション、またはプロセスに限定される。
X X

7.2.5.1 アプリケーションおよびシステムアカウントによるすべてのアクセス、および関連するアクセス権限は、以下のように審査される:

  • 定期的に(要求事項12.3.1に規定されるすべての要素に従って実施される、事業体の対象リスク分析で定義される頻度で)。
  • アプリケーション/システムへのアクセスは、実行される機能に対して適切なままである。
  • 不適切なアクセスには対処する。
  • 経営陣は、アクセスが依然として適切であることを認めている。
X X

7.2.6 保存されたカード会員データのクエリリポジトリへのすべてのユーザーアクセスは、以下のように 制限されます:

  • ユーザーの役割と最小権限に基づくアクセスおよび許可されたアクションを伴う、アプリケーションまたはその他のプログラムによる方法。
  • 責任ある管理者のみが、保存されたCHDのリポジトリに直接アクセスしたり、照会したりすることができる。
X Genesys はカード会員データを保存しません。
7.3 システム・コンポーネントやデータへのアクセスは、アクセス・コントロール・システムによって管理される。
X X
7.3.1 ユーザーの知る必要性に基づいてアクセスを制限し、すべてのシステム・コンポーネントをカバーするアクセス制御システム(複数可)が導入されている。
X X
7.3.2 アクセス制御システムは、職務分類と機能に基づいて、個人、アプリケーション、およびシステムに割り当てられたアクセス許可を実施するように構成される。
X X
7.3.3 アクセス制御システムは、デフォルトで "deny all "に設定されている。
X X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
8.1 ユーザーを特定し、システム・コンポーネントへのアクセスを認証するためのプロセスと仕組みが定義され、理解されている。 X X
8.1.1 要件 8 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X X
8.1.2 要件8の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X X  
8.2 ユーザーと管理者のユーザー識別と関連アカウントは、アカウントのライフサイクルを通じて厳密に管理される。 X X
8.2.1 システムコンポーネントまたはカード会員データへのアクセスが許可される前に、すべ てのユーザーに一意の ID が割り当てられる。 X X

8.2.2 グループ、共有、または汎用アカウント、あるいはその他の共有認証資格情報は、例外的に必要な場合にのみ使用され、以下のように管理される:

  • 特別な事情がない限り、アカウントの使用は禁止されています。
  • 使用は例外的な状況に必要な時間に限られる。
  • 使用のビジネス上の正当性が文書化されている。
  • 使用は経営陣によって明確に承認されている。 アカウントへのアクセスが許可される前に、個々のユーザーの身元が確認されます。
  • 行われたすべての行動は、個々のユーザーに帰属する。
X X

8.2.3 サービスプロバイダーのみの追加要件: 顧客構内にリモート・アクセスするサービス・プロバイダは、顧客構内ごとに固有の 認証要素を使用する。

X X

8.2.4 ユーザID、認証要素、およびその他の識別子オブジェクトの追加、削除、および変更は、以下のように管理される:

  • 適切な承認を得て認可される。
  • 文書化された承認で指定された権限のみで実施される。
X X
8.2.5 終了したユーザーのアクセスは直ちに取り消される。 X X
8.2.6 非アクティブなユーザーアカウントは、90日以内に削除または無効化されます。 X X

8.2.7 第三者がリモートアクセスによりシステムコンポーネントにアクセス、サポート、または保守するために使用するアカウントは、以下のように管理されます:

  • 必要な期間だけ有効になり、使用していない場合は無効になります。
  • 予期せぬ動きがないか監視する。
X   第三者はCDEにアクセスできない。
8.2.8 ユーザー・セッションが 15 分以上アイドル状態の場合、端末またはセッションを再度アク ティブにするには、再認証が必要です。 X  
8.3 ユーザーと管理者のための強力な認証を確立し、管理する。 X

8.3.1 ユーザーおよび管理者のシステム・コンポーネントへのすべてのユーザー・アクセスは、以下の認証要素の少なくとも1つによって認証される:

  • パスワードやパスフレーズなど、あなたが知っているもの。
  • トークンデバイスやスマートカードなど、持っているもの
  • バイオメトリック要素など、あなた自身である何か。
X
8.3.2 強力な暗号化技術を使用して、すべてのシステム・コンポーネントの送信中および保存中 に、すべての認証要素を読み取り不能にする。 X
8.3.3 認証要素を変更する前に、ユーザーの身元が確認される。  X

8.3.4 無効な認証の試行は、以下のように制限される:

  • 10回以下の試行でユーザーIDをロックアウトする。
  • ロックアウト時間を最低30分、またはユーザーの身元が確認されるまでとする。
X

8.3.5 要件8.3.1を満たす認証要素としてパスワード/パスフレーズが使用される場合、パスワード/パスフレーズは以下のように各ユーザに設定およびリセットされる:

  • 初回使用時およびリセット時に固有の値に設定する。
  • 最初の使用後、すぐに交換を余儀なくされる。 
X

8.3.6 要件8.3.1を満たす認証要素としてパスワード/パスフレーズを使用する場合、パスワード/パスフレーズは以下の最低複雑度レベルを満たすものとする:

  • 最低12文字(またはシステムが12文字に対応していない場合は最低8文字)。
  • 数字と英字の両方を含みます。
X
8.3.7 個人は、過去4回使用したパスワード/パスフレーズと同じ新しいパスワード/パスフレーズを提出することはできません。  X

8.3.8 認証の方針と手順は文書化され、以下を含む全ユーザーに周知される:

  • 強力な認証要素を選択するためのガイダンス。
  • ユーザがどのように認証要素を保護すべきかについてのガイダンス。
  • 以前に使用したパスワード/パスフレーズを再利用しないように指示する。
  • パスワード/パスフレーズが漏洩した疑いがある場合、または漏洩したことが判明した場合、パスワード/パスフレーズを変更するよう指示し、インシデントを報告する方法。
X

8.3.9 パスワード/パスフレーズが、ユーザーアクセスのための唯一の認証要素として使用される場合(すなわち、単一要素認証の実装)、以下のいずれかとなる:

  • パスワード/パスフレーズが少なくとも90日ごとに1回変更されている。
  • アカウントのセキュリティ状況は動的に分析され、リソースへのリアルタイムのアクセスはそれに応じて自動的に決定される。
X パスワード/パスフレーズを唯一の認証要素として使用するのではなく、対象環境にアクセ スするためには、ユーザーは常に MFA を使用することが求められる。

8.3.10 サービスプロバイダーのみの追加要件:

顧客ユーザがカード会員データにアクセスするための唯一の認証要素としてパスワード/パスフ レーズが使用される場合(すなわち、単一要素認証の実装)、顧客ユーザには以下のようなガイダ ンスが提供されます:

  • 顧客に対し、ユーザーパスワード/パスフレーズを定期的に変更するよう指導。
  • パスワード/パスフレーズをいつ、どのような状況で変更するかについてのガイダンス。
X パスワード/パスフレーズを唯一の認証要素として使用するのではなく、対象環境にアクセ スするためには、ユーザーは常に MFA を使用することが求められる。

8.3.10.1 サービスプロバイダーのみの追加要件:

パスワード/パスフレーズが、顧客ユーザアクセスのための唯一の認証要素として使用される場合(すなわち、一要素認証の実装)、以下のいずれかに該当する:

  • パスワード/パスフレーズが少なくとも90日ごとに1回変更されている。
  • アカウントのセキュリティ状況は動的に分析され、リソースへのリアルタイムのアクセスはそれに応じて自動的に決定される。 
X パスワード/パスフレーズを唯一の認証要素として使用するのではなく、対象環境にアクセ スするためには、ユーザーは常に MFA を使用することが求められる。

8.3.11 物理的または論理的セキュリティ・トークン、スマート・カード、証明書などの認証 要素が使用される場合:

  • ファクターは個々のユーザーに割り当てられ、複数のユーザー間で共有されることはない。
  • 物理的および/または論理的な管理は、意図された利用者のみがその要因を利用してアクセスできることを保証する。
X Genesys は、認証要素の一部としてセキュリティ・トークン、スマート・カード、証明書 を使用しない。

8.4 多要素認証(MFA)は、CDEへのアクセスを保護するために実装される。

X  

8.4.1 MFA は、管理者アクセス権を持つ職員の CDE へのすべての非コンソールアクセスに導入されている。

X  

8.4.2 MFAはCDEへのすべてのアクセスに導入されている。

X  

8.4.3 MFA は、CDE にアクセスする可能性のある、または CDE に影響を与える可能性のある、事業体のネッ トワーク外から発信されるすべてのリモートネットワークアクセスに対して、以下のように実施される:

  • 利用者、管理者を問わず、すべての職員による、事業体のネットワーク外から発信されるすべてのリモートアクセス。
  • 第三者およびベンダーによるすべてのリモートアクセス。
X  

8.5 多要素認証(MFA)システムは、悪用を防ぐように設定されている。

X

8.5.1 MFAシステムは以下のように実装されている:

  • MFA システムはリプレイ攻撃に弱い。
  • MFA システムは、特に文書化され、例外的に期間限定で管理者により許可されない限り、 管理者ユーザーを含むいかなるユーザーもバイパスすることはできない。
  • 少なくとも2種類の認証要素が使用される。
  • アクセスが許可される前に、すべての認証要素の成功が要求される。
X

8.6 アプリケーションおよびシステムアカウントと関連する認証要素の使用は厳密に管理される。

X 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。

8.6.1 システムやアプリケーションで使用されるアカウントが対話型ログインに使用できる場合、それらは以下のように管理される:

  • 特別な事情がない限り、双方向の使用は禁止されている。
  • インタラクティブな使用は、例外的な状況に必要な時間に限られる。
  • インタラクティブな使用のビジネス上の正当性が文書化されている。
  • インタラクティブな使用は、経営陣によって明確に承認されている。
  • アカウントへのアクセスが許可される前に、個々のユーザーの身元が確認されます。
  • 行われたすべての行動は、個々のユーザーに帰属する。
X 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。

8.6.2 対話型ログインに使用できるすべてのアプリケーションおよびシステムアカウントのパスワード/パスフレーズは、スクリプト、設定/プロパティファイル、または特注のカスタムソースコードにハードコードされていません。

X 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。

8.6.3 すべてのアプリケーションおよびシステムアカウントのパスワード/パスフレーズは、以下のように悪用から保護されています:

  • パスワード/パスフレーズは、定期的に(要件 12.3.1.に規定されるすべての要素に従って実施される、エンティティの対象リスク分析で定義される頻度で)、及び危殆化の疑い又は確認があった場合に変更される。
  • パスワード/パスフレーズは、エンティティのパスワード/パスフレーズの変更頻度に見合った、十分な複雑さで構築される。
X 現時点では、対話型ログインにシステムやアプリケーションのアカウントは使用されていない。

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
9.1 カード会員データへの物理的なアクセスを制限するためのプロセスおよび仕組みが定義され、 理解されている。 X Genesysオフィスは対象外です。
9.1.1 要件 9.で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。
X X  
9.1.2 要件9の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X
9.2 物理的なアクセス管理は、カード会員データを含む施設およびシステムへの侵入を管理します。
X  
9.2.1 CDE内のシステムへの物理的なアクセスを制限するために、適切な施設入館管理が実施されている。 X

9.2.1.1 CDE内の機密エリアへの個々の物理的なアクセスは、以下のようにビデオカメラまたは物理的なアクセス制御メカニズム(またはその両方)で監視される:

  • CDE内の敏感なエリアへの出入り口は監視されている。
  • 監視装置または機構は、改ざんや無効化から保護されている。
  • 収集されたデータはレビューされ、他のエントリーと関連付けられる。
  • 収集されたデータは、法律で制限されている場合を除き、少なくとも3ヶ月間保存されます。
X
9.2.2 施設内の一般にアクセス可能なネットワークジャックの使用を制限するために、物理的および/または論理的な管理が実施されている。 X
9.2.3 施設内の無線アクセスポイント、ゲートウェイ、ネットワーキング/通信ハードウェア、通信回線への物理的なアクセスは制限されています。 X
9.2.4 機密エリアのコンソールへのアクセスは、未使用時にはロックによって制限される。 X

9.3 人員および訪問者の物理的アクセスは許可され、管理される。

X  

9.3.1 以下を含む、CDE への職員の物理的アクセスを承認・管理するための手順が実施されている:

  • 人員を特定する。
  • 個人の物理的アクセス要件の変更を管理すること。
  • 人事身分証明書の取り消しまたは終結。
  • 識別プロセスまたはシステムへのアクセスを許可された人員に制限する。
X

9.3.1.1 職員によるCDE内の機密エリアへの物理的アクセスは、以下のように管理される:

  • アクセスは許可され、個人の職務権限に基づく。
  • アクセスが終了した場合、アクセスは直ちに取り消されます。
  • 鍵、アクセスカードなどの物理的なアクセス機構はすべて、解約時に返却または無効化される。
X

9.3.2 CDEへの訪問者のアクセスを承認・管理するための手順が実施されている:

  • 訪問者は入館前に許可される。
  • 訪問者は常に付き添われている。
  • 訪問者は明確に識別され、バッジまたは有効期限のあるその他の身分証明書が与えられる。
  • 来訪者バッジまたはその他の身分証明書により、来訪者と職員とを目に見える形で区別する。
X
9.3.3 来訪者バッジまたは身分証明書は、来訪者が施設を出る前、または有効期限が切れた時点で引き渡されるか、無効化されます。 X

9.3.4 訪問者記録は、施設内および機密エリア内での訪問者の行動を物理的に記録するために使用される:

  • 訪問者の名前と代表者団体。
  • 訪問日時。
  • 物理的アクセスを許可する要員の名前。
  • 法律で制限されている場合を除き、ログを少なくとも3ヶ月間保持すること。
X
9.4 カード会員データを含むメディアは、安全に保管、アクセス、配布、破棄される。 X
9.4.1 カード会員データのあるメディアはすべて物理的に保護される。 X
9.4.1.1 カード会員データのオフラインメディアバックアップは、安全な場所に保管される。 X
9.4.1.2 カード会員データが保存されているオフラインメディアのバックアップ場所のセキュリ ティは、少なくとも 12 カ月に 1 回見直されます。 X
9.4.2 カード会員データのあるメディアはすべて、データの機密性に応じて分類されます。 X

9.4.3 施設外に送付されるカード会員データのあるメディアは、以下のように保護されます:

  • 施設外に送られたメディアは記録される。
  • メディアは、正確な追跡が可能な安全な宅配便またはその他の配送方法で送付されます。
  • オフサイトの追跡ログには、メディアの所在地の詳細が含まれる。
X

9.4.4 管理者は、施設外に移動されるカード会員データを含むすべてのメディアを承認します(メディアが個 人に配布される場合も含む)。

X

9.4.5 カード会員データのあるすべての電子メディアのインベントリログが維持される。

X

9.4.5.1 カード会員データのある電子メディアのインベントリは、少なくとも 12 カ月に 1 回実施される。

X

9.4.6 カード会員データが含まれるハードコピー資料は、業務上または法的な理由で不要になった場合、以下のように破棄されます:

  • カード会員データを復元できないように、資料はクロスカット細断、焼却、またはパルプ化される。
  • 資料は破棄される前に安全な保管容器に保管される。
X

9.4.7 カード会員データが記録された電子メディアは、業務上または法律上の理由で不要になった場合、以下のいずれかを通じて破棄されます:

  • 電子メディアは破壊される。
  • カード会員データは復元不可能になり、再構築できなくなる。
X
9.5 ポイント・オブ・インタラクション(POI)デバイスは、改ざんや不正な置き換えから保護されています。 X

9.5.1 ペイメントカードフォームファクタとの直接的な物理的相互作用によってペイメントカードデータを取 得する POI デバイスは、以下を含め、改ざんや不正な置き換えから保護される:

  • POIデバイスのリストを管理する。 POIデバイスを定期的に検査し、改ざんや不正なすり替えがないかを調べる。
  • 不審な行動に注意し、機器の改ざんや不正な交換を報告するよう、職員を訓練する。
X

9.5.1.1 POIデバイスの最新リストが維持されている:

  • デバイスのメーカーとモデル。
  • デバイスの位置
  • デバイスのシリアル番号またはその他の固有の識別方法。
X
9.5.1.2 POIデバイスの表面は定期的に検査され、改ざんや不正なすり替えが検出される。 X
9.5.1.2.1 定期的なPOI装置検査の頻度および実施される検査の種類は、事業体の目標リスク分析に定 義され、要件12.3.1に規定されるすべての要素に従って実施される。 X

9.5.1.3 POIデバイスの改ざんや交換の企てに注意するために、POI環境の担当者にトレーニングが提供される:

  • 修理またはメンテナンス要員であると主張する第三者に対し、機器の変更またはトラブルシューティングを行うためのアクセスを許可する前に、その人物の身元を確認すること。
  • デバイスが検証されずに設置、交換、返却されないことを確認するための手順。
  • 機器周辺の不審な行動に注意すること。
  • 不審な行動、機器の改ざんやすり替えの兆候を適切な担当者に報告すること。
X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
10.1 システムコンポーネントおよびカード会員データへのすべてのアクセスを記録および監視す るためのプロセスおよび仕組みが定義され、文書化されている。 X
10.1.1 要件 10 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X
10.1.2 要件10の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X
10.2 監査ログは、異常や不審な活動の検出、およびイベントのフォレンジック分析をサポートするために実装される。 X
10.2.1 監査ログは、すべてのシステムコンポーネントおよびカード会員データに対して有効で、アクティブです。 X
10.2.1.1 監査ログは、カード会員データへの各ユーザのアクセスをすべて記録します。 X
10.2.1.2 監査ログは、アプリケーションまたはシステムアカウントの対話的な使用を含め、管理者アクセス権を持つ個人によるすべての行動を記録する。 X
10.2.1.3 監査ログは、監査ログへのすべてのアクセスを捕捉する。 X
10.2.1.4 監査ログは、すべての無効な論理アクセス試行を記録する。 X

10.2.1.5 監査ログは、以下を含むがこれに限定されない、識別および認証クレデンシャルのすべての変更を記録する:

  • 新しいアカウントの作成。
  • 特権の昇格。
  • 管理者アクセス権を持つアカウントに対するすべての変更、追加、削除。
X
10.2.1.6 監査ログは以下を記録する: 新しい監査ログのすべての初期化、および既存の監査ログのすべての開始、停止、一時停止。 X
10.2.1.7 監査ログは、システムレベルのオブジェクトのすべての作成と削除を記録する。 X

10.2.2 監査ログは、監査可能なイベントごとに以下の詳細を記録する:

  • ユーザーの通知
  • イベントの種類。
  • 日付と時刻
  • 成功と失敗の表示。 イベントの発生。
  • 影響を受けるデータ、システムコンポーネント、リソース、またはサービスの身元または名前(例えば、名前とプロトコル)。
X
10.3 監査ログは、破壊や不正な変更から保護される。 X
10.3.1 監査ログファイルへの読み取りアクセスは、職務上必要な者に限定される。 X
10.3.2 監査ログファイルは、個人による改変を防ぐために保護されている。 X
10.3.3 監査ログファイルは、外部向けテクノロジーのものも含め、安全な中央の内部ログサーバー、または変更が困難なその他のメディアに速やかにバックアップされる。 X
10.3.4 ファイルの完全性監視または変更検出メカニズムは、アラートを発生させることなく既存のログデータが変更されないことを保証するために、監査ログに使用される。 X
10.4 監査ログは、異常や疑わしい活動を特定するためにレビューされる。 X

10.4.1 以下の監査ログは、少なくとも毎日1回レビューされる:

  • すべてのセキュリティイベント
  • CHDおよび/またはSADを保存、処理、または送信するすべてのシステムコンポーネントのログ。
  • すべての重要なシステムコンポーネントのログ
  • セキュリティ機能を実行するすべてのサーバーおよびシステム・コンポーネント(例えば、ネットワーク・セキュリティ制御、侵入検知システム/侵入防止システム(IDS/IPS)、認証サーバー)のログ。
X
10.4.1.1 監査ログのレビューには、自動化されたメカニズムが使用される。
X
10.4.2 他のすべてのシステムコンポーネント(要件 10.4.1 に規定されていないもの)のログは、定期的にレビューされる。 X
10.4.2.1 その他のすべてのシステムコンポーネント(要件10.4.1で定義されていない)に対する定期的なログレビューの頻度は、エンティティの対象リスク分析で定義され、要件12.3.1で規定されるすべての要素に従って実施される。
X
10.4.3 審査過程で確認された例外や異常には対処する。 X
10.5 監査ログの履歴は保持され、分析に利用できる。 X
10.5.1 監査ログの履歴を少なくとも12ヶ月間保持し、少なくとも直近の3ヶ月間はすぐに分析できるようにする。 X
10.6 時間同期メカニズムは、すべてのシステムで一貫した時間設定をサポートする。 X

10.6.1 10.6.1 システムの時計と時刻は、時刻同期技術を使用して同期される。

X

10.6.2 システムは、以下のように正確で一貫性のある時間に設定されている:

  • 1つ以上の指定されたタイムサーバーが使用されている。
  • 指定されたセントラルタイムサーバーだけが、外部ソースから時刻を受信する。
  • 外部ソースから受信した時刻は、国際原子時または協定世界時(UTC)に基づいています。
  • 指定されたタイムサーバーは、業界で認められた特定の外部ソースからのみ時刻更新を受け付ける。
  • 指定されたタイムサーバーが複数ある場合、タイムサーバーは正確な時刻を保つために互いにピアリングする。
  • 内部システムは、指定された中央時刻サーバーからのみ時刻情報を受け取る。
X

10.6.3 時刻同期の設定とデータは以下のように保護される:

  • 時間データへのアクセスは、業務上必要な担当者のみに制限される。
  • 重要なシステムの時間設定の変更はすべて記録され、監視され、見直される。
X
10.7 重要なセキュリティ管理システムの障害を迅速に検知し、報告し、対応する。 X

10.7.1 サービスプロバイダーのみの追加要件:

以下の重要なセキュリティ管理システムの故障を含め(ただし、これらに限定されない)、重要なセキュリティ管理システムの故障が速やかに検知され、警告され、対処される:

  • ネットワークのセキュリティ管理。 IDS/IPS。 FIM。 マルウェア対策
  • 物理的なアクセス制御。
  • 論理的アクセス制御。
  • 監査ロギングのメカニズム。
  • セグメンテーションコントロール(使用されている場合)。
X

10.7.2 以下の重要なセキュリティ管理システムの故障を含め(ただし、これらに限定されない)、重要なセキュリティ管理システムの故障が速やかに検知され、警告され、対処される:

  • ネットワークのセキュリティ管理。
  • IDS/IPS。
  • 変更検出メカニズム。
  • マルウェア対策
  • 物理的なアクセス制御。
  • 論理的アクセス制御。
  • 監査ロギングのメカニズム。
  • セグメンテーションコントロール(使用されている場合)。
  • 監査ログレビューの仕組み
  • 自動セキュリティテストツール(使用している場合)。
X

10.7.3 重要なセキュリティ管理システムの障害に迅速に対応する:

  • セキュリティ機能を復元します。
  • セキュリティ障害が発生した期間(開始から終了までの日時)を特定し、文書化する。
  • 障害の原因を特定し、文書化し、必要な是正措置を文書化すること。
  • 障害発生時に発生したセキュリティ問題を特定して対処します。
  • セキュリティ障害の結果として、さらなる措置が必要かどうかを判断する。
  • 障害の再発を防止するための管理策を実施する。
  • セキュリティ管理策の監視を再開します。
X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
11.1 システムとネットワークのセキュリ ティを定期的にテストするプロセスと仕組みが 定義され、理解されている X
11.1.1 要件 11 で特定されるすべてのセキュリティポリシーと運用手順を実施する: 文書化されている。 最新の状態に保たれている。 使用中。 すべての関係者が知っている。 X X
11.1.2 要件11の活動を実施するための役割と責任が文書化され、割り当てられ、理解されている。 X X  
11.2 無線アクセスポイントは特定され、監視され、無許可の無線アクセスポイントには対処される。 X X

11.2.1 許可された無線アクセスポイントと許可されていない無線アクセスポイントは次のように管理される:

  • 無線(Wi-Fi)アクセスポイントの存在をテストする、許可された無線アクセスポイントおよび許可されていない無線アクセスポイントをすべて検出し識別する、テスト、検出、識別を少なくとも3カ月に1回行う。
  • 自動モニタリングが使用されている場合、担当者は生成されたアラートで通知される。
X X すべての物理的ロケーションはAWSによって管理されるため、AWSはこの管理に責任を負う。
AWSだ。
11.2.2 許可された無線アクセスポイントのインベントリが、文書化されたビジネス上の正当性を含めて維持されている。 X X この環境では、ワイヤレス技術の使用は禁止されている。
11.3 外部および内部の脆弱性は定期的に特定され、優先順位が付けられ、対処される。 X X

11.3.1 内部脆弱性スキャンは以下のように実施される: 少なくとも3ヶ月に1回。

  • 高リスク及び重要な脆弱性(要件6.3.1で定義されたエンティティの脆弱性リスクランクによる)が解決されている。
  • 再スキャンは、すべての高リスクおよび重要な脆弱性(上記のとおり)が解決されていることを確認するために実施される。
  • スキャンツールは、最新の脆弱性情報で常に最新の状態に保たれています。
  • スキャンは有資格者によって実施され、テスターは組織的に独立している。
X X

11.3.1.1 その他の該当するすべての脆弱性(要件 6.3.1 で定義されたエンティティの脆弱性リスクランクにより、高リスクまたはクリティカルとランク付けされていない脆弱性)は、以下のように管理される:

  • 要件12.3.1に規定されるすべての要素に従って実施される、事業体の対象リスク分析で定義されたリスクに基づいて対処する。
  • 再スキャンは必要に応じて行われる。
X X

11.3.1.2 内部脆弱性スキャンは、以下のように認証スキャンによって実行される:

  • 認証されたスキャンのための認証情報を受け入れることができないシステムは、文書化される。
  • スキャンのために認証情報を受け付けるシステムには、十分な権限が使用される。
  • 認証スキャンに使用されるアカウントが対話型ログインに使用できる場合、それらは要件8.2.2に従って管理される。
X X

11.3.1.3 内部脆弱性スキャンは、重要な変更後に以下のように実施される:

  • 高リスク及び重要な脆弱性(要件6.3.1で定義されたエンティティの脆弱性リスクランクによる)が解決されている。
  • 再スキャンは必要に応じて行われる。 スキャンは有資格者によって実施され、テスターの組織的独立性が存在する(QSA または ASV である必要はない)。
X X

11.3.2 外部の脆弱性スキャンは以下のように実施される: 少なくとも3ヶ月に1回。

  • PCI SSC 認定スキャニング・ベンダー(ASV)によるもの。
  • 脆弱性が解決され、ASV プログラムガイドの合格要件が満たされている。
  • 必要に応じて再スキャンを実施し、ASVプログラムガイドの合格要件に従って脆弱性が解決されていることを確認する。
X X

11.3.2.1 外部からの脆弱性スキャンは、重要な変更後に以下のように実施される:

  • CVSSのスコアが4.0以上の脆弱性は解決される。
  • 再スキャンは必要に応じて行われる。
  • スキャンは有資格者によって実施され、テスターの組織的独立性が存在する(QSA または ASV である必要はない)。
X X

11.4 外部および内部への侵入テストは定期的に実施され、悪用可能な脆弱性やセキュリティ上の弱点は修正される。

X X

11.4.1 侵入テストの方法論は、事業体によって定義され、文書化され、実施される:

  • 業界で認められている侵入テストのアプローチ
  • CDEの全周囲と重要システムをカバー。
  • ネットワーク内外からのテスト。
  • セグメンテーションとスコープ削減のコントロールを検証するためのテスト。
  • 最低限、要件 6.2.4 に記載される脆弱性を特定するためのアプリケーション層の侵入テスト。
  • オペレーティング・システムだけでなく、ネットワーク機能をサポートするすべてのコンポーネントを網羅するネットワーク層の侵入テスト。
  • 過去12ヶ月間に経験した脅威と脆弱性のレビューと検討。
  • ペネトレーションテストで発見された、悪用可能な脆弱性やセキュリティ上の弱点がもたらすリスクを評価し、対処するためのアプローチを文書化する。
  • ペネトレーションテストの結果および修復活動の結果を少なくとも 12 カ月間保存すること。
X X

11.4.2 内部侵入テストを実施: 事業体の定義した方法論に従っ て、少なくとも 12 カ月に 1 回 インフラストラクチャまたはアプリケー ションの重要なアップグレードまたは変更後 適格な内部リソースまたは適格な外部 第三者によるもの 試験者の独立性が確保されている(QSA または ASV である必要はない)。

X

11.4.3 外部侵入テストを実施: 事業体の定義した方法論に従っ ていること 少なくとも 12 カ月に 1 回 インフラストラクチャまたはアプリケー ションの重要なアップグレードまたは変更後 有資格の内部リソースまたは有資格の外部 第三者によること テスターの独立性が確保されていること(QSA または ASV である必要はない)。

X X

11.4.4 侵入テスト中に発見された悪用可能な脆弱性やセキュリティ上の弱点は、以下のように修正される: 要件6.3.1に定義されている、セキュリティ上の問題によってもたらされるリスクに関するエンティティの評価に従っている。 侵入テストは修正を検証するために繰り返される。

X X

11.4.5 CDEを他のネットワークから隔離するためにセグメンテーションが使用されている場合、次のようにセグメンテーショ ン制御に対して侵入テストが実行される:

  • 少なくとも 12 カ月に 1 回、およびセグメンテーション管理/手法の変更後 使用中のすべてのセグメンテーション管理/手法を対象とする。
  • 事業体が定義したペネトレーションテスト手法に従う。
  • セグメンテーション管理/方法が運用可能で効果的であることを確認し、CDEをスコープ外のシステムから隔離する。
  • セキュリティレベルが異なるシステムを分離するために隔離を使用する場合の有効性を確認する(要件 2.2.3 を参照)。
  • 有資格の内部リソースまたは有資格の外部第三者によって実施される。
  • 試験者の組織的独立性が存在する(QSA または ASV である必要はない)。
X X

11.4.6 サービスプロバイダーのみの追加要件:

  • CDEを他のネットワークから隔離するためにセグメンテーションが使用されている場合、次のようにセグメンテーショ ン制御に対して侵入テストが実行される: 少なくとも6ヶ月に1回、セグメンテーションの管理/方法に変更があった場合。
  • 使用されているすべてのセグメンテーションコントロール/方法をカバーする。
  • 事業体が定義したペネトレーションテスト手法に従う。
  • セグメンテーション管理/方法が運用可能で効果的であることを確認し、CDEをスコープ外のシステムから隔離する。
  • セキュリティレベルが異なるシステムを分離するために隔離を使用する場合の有効性を確認する(要件 2.2.3 を参照)。
  • 有資格の内部リソースまたは有資格の外部第三者によって実施される。 試験者の組織的独立性が存在する(QSA または ASV である必要はない)。
X X

11.4.7 マルチテナント・サービス・プロバイダーのみの追加要件: マルチテナント型サービスプロバイダは、要件11.4.3および11.4.4に従って、外部侵入テストを顧客にサポートする。

X マルチテナント型サービス・プロバイダーではない
11.5 ネットワークへの侵入や予期せぬファイルの変更を検知し、対応する。 X

11.5.1 侵入検知および/または侵入防止技術は、以下のようにネットワークへの侵入を検知および/または防止するために使用される:

  • すべてのトラフィックはCDEの周囲で監視されている。
  • すべてのトラフィックはCDE内の重要なポイントで監視されている。
  • 漏洩が疑われる場合、担当者は警告を受ける。
  • すべての侵入検知・防御エンジン、ベースライン、シグネチャは常に最新の状態に保たれている。
X
11.5.1.1 サービスプロバイダーのみの追加要件: 侵入検知および/または侵入防止技術は、マルウェアの秘密通信チャネルを検知し、警告/防止し、対処する。
X

11.5.2 変更検出メカニズム(たとえば、ファイル整合性監視ツール)は、以下のように導入される:

  • 重要なファイルの不正な変更(変更、追加、削除を含む)を担当者に警告する。
  • 少なくとも週に一度は重要なファイルの比較を行うこと。
X
11.6 決済ページの不正な変更を検出し、対応する。 X ジェネシスは、消費者のブラウザから決済ページを使用/受信することはありません。

11.6.1 変更・改ざん検知メカニズムは、以下のように展開される:

  • 消費者ブラウザによって受信された HTTP ヘッダーおよび支払いページのコンテンツに対する不正な変更(危殆化の指標、変更、追加、および削除を含む)を担当者に警告すること。
  • このメカニズムは、受信したHTTPヘッダーと決済ページを評価するように構成されている。
  • メカニズムの機能は以下のように実行される:
    • 少なくとも7日に1回
    • 定期的に(要求事項12.3.1に規定されるすべての要素に従って実施される、事業体の対象リスク分析で定義される頻度で)。
X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
12.1 企業の情報資産の保護を管理し、その方向性を示す包括的な情報セキュリティ方針が周知され、かつ最新のものである。 12.10 CDEに影響を及ぼす可能性のあるセキュリティインシデントの疑いおよび確認されたインシデントは、直ちに対応する。 X
12.1.1 全体的な情報セキュリティ・ポリシーとは 設立。 出版された。 維持されている。 関係者全員、および関連ベンダーやビジネスパートナーに周知。 X
12.1.2 情報セキュリティポリシーは 少なくとも12ヶ月に1回は見直す。 事業目標や環境リスクの変更を反映するため、必要に応じて更新する。 X
12.1.3 セキュリティポリシーは、全職員に対する情報セキュリティの役割と責任を明確に定義し、全職員は情報セキュリティの責任を認識し、認識している。 X
12.1.4 情報セキュリティの責任は、最高情報セキュリティ責任者(CIO)またはその他の情報セキュリティに精通した経営陣に正式に割り当てられる。 X

12.2 エンドユーザーテクノロジーの利用ポリシーを定義し、実施する。

X

12.2.1 エンドユーザーテクノロジーの利用ポリシーを文書化し、実施する:

  • 12.3.1 許可当事者による明示的な承認。
  • 12.3.5 技術の許容される用途
  • ハードウェアおよびソフトウェアを含め、従業員が使用することを会社が承認した製品のリスト。
X
12.3 カード会員データ環境に対するリスクは、正式に特定、評価、および管理されます。 X

12.3.1 実行頻度の柔軟性を提供する各 PCI DSS 要件(定期的に実行する要件など)は、文書化され、以下を含むターゲットリスク分析によってサポートされます:

  • 保護対象の資産の特定
  • 要件が防御する脅威を特定する。
  • 脅威が現実化する可能性および/または影響に寄与する要因を特定すること。
  • 脅威が実現する可能性を最小化するために、どの程度の頻度で要件を実施しなければならないかを決定し、その正当性を含む分析結果。
  • 少なくとも12カ月に1度、対象となるリスク分析を見直し、その結果が現在も有効であるか、あるいはリスク分析の更新が必要かどうかを判断する。
  • 年次レビューで決定されたように、必要に応じて更新されたリスク分析を実施する。
X

12.3.2 カスタマイズされたアプローチを使用してエンティティが満たす PCI DSS 要件ごとに、対象となるリスク分析が実行されます:

  • 付録Dに規定された各要素を詳述した証拠書類: カスタマイズされたアプローチ(最低限、統制マトリックスとリスク分析を含む)。
  • 上級管理職による文書化された証拠の承認。
  • 少なくとも12カ月に1回、対象となるリスク分析を実施すること。
X

12.3.3 使用されている暗号スイートとプロトコルは文書化され、少なくとも12カ月に1回、以下を含めて見直される:

  • 使用されているすべての暗号スイートおよびプロトコルの最新インベントリ。
  • 使用されているすべての暗号スイートおよびプロトコルの継続的な有効性に関する業界動向を積極的に監視する。
  • 予想される暗号脆弱性の変化に対応するための文書化された戦略。
X

12.3.4 使用されているハードウェアおよびソフトウェア技術は、少なくとも12カ月に1回、以下を含めて見直される:

  • 各技術がベンダーから速やかにセキュリティ修正を受け続けていることを分析する。
  • テクノロジが引き続きエンティティの PCI DSS 準拠をサポートする(妨げない)ことを分析する。
  • ベンダーがある技術の「生産終了」計画を発表した場合など、その技術に関連する業界の発表や動向の文書。
  • ベンダーが「耐用年数終了」計画を発表しているものを含む、古くなった技術を改善するための、上級管理職によって承認された計画の文書化。
X
12.4 PCI DSS準拠を管理。 X

12.4.1 サービスプロバイダーのみの追加要件:

  • カード会員データの保護および PCI DSS コンプライアンスプログラムの実施について、経営陣が責任を負います:
  • PCI DSSコンプライアンスを維持するための全体的な説明責任。
  • PCI DSSコンプライアンスプログラムの憲章と経営幹部への連絡を定義する。
X

12.4.2 サービスプロバイダーのみの追加要件:

  • 少なくとも3カ月に1回はレビューを実施し、要員がすべてのセキュリティ・ポリシーと業務手順に則って業務を遂行していることを確認する。
  • レビューとは、所定の業務を遂行する責任者以外の人員によって行われるものであり、以下の業務を含むが、これらに限定されるものではない:
    • デイリーログレビュー ネットワーク・セキュリティ・コントロールの設定レビュー
    • 新しいシステムに構成基準を適用する。
    • セキュリティアラートへの対応 変更管理プロセス。
X

12.4.2.1 サービスプロバイダーのみの追加要件: 要件12.4.2に従って実施されたレビューは、以下を含むように文書化される:

  • レビューの結果
  • 要件 12.4.2.で実施されていないことが判明した業務について、実施された是正処置を文書化。
  • PCI DSSコンプライアンスプログラムに対する責任を割り当てられた担当者による結果の確認および承認。
X
12.5 PCI DSS の範囲が文書化され、検証されている。 X
12.5.1 機能/用途の説明を含め、PCI DSS の適用範囲にあるシステムコンポーネントのインベントリが維持され、最新の状態に保たれている。 X

12.5.2 PCI DSS の適用範囲は、少なくとも 12 カ月に 1 回、および適用範囲内の環境に重要な変更があった場合に、文書化され、エンティティによって確認されます。 最低限、スコープ検証には以下が含まれる:

  • さまざまな支払い段階(承認、キャプチャ決済、チャージバック、払い戻しなど)および受け入れチャネル(カード提示型、カード非提示型、電子商取引など)のすべてのデータフローを特定する。
  • 要件1.2.4に従って、すべてのデータフロー図を更新すること。
  • アカウントデータが保存、処理、送信されるすべての場所を特定すること(これらに限定されない): 1) 現在定義されているCDE以外の場所、2) CHDを処理するアプリケーション、3) システムとネットワーク間の伝送、4) ファイルのバックアップ。
  • CDE 内、CDE に接続されている、または CDE のセキュリティに影響を与える可能性のあるすべてのシステムコンポー ネントを特定する。
  • 使用されているすべてのセグメンテーションコントロールと、CDE がセグメンテーションされている環境を特定すること。
  • CDEにアクセスできる第三者機関からのすべての接続を識別する。
  • 特定されたすべてのデータフロー、アカウントデータ、システムコンポーネント、セグメンテーションコントロール、およびCDEにアクセスできる第三者からの接続がスコープに含まれていることを確認する。
X

12.5.2.1 サービスプロバイダーのみの追加要件:

  • PCI DSS の適用範囲は、少なくとも 6 カ月に 1 回、および適用範囲内の環境に重大な変更があった場合に、文書化され、エンティティによって確認されます。
  • 最低限、スコーピング妥当性確認は、要件12.5.2に規定されるすべての要素を含む。
X
12.5.3 サービスプロバイダーのみの追加要件: 組織構造の大幅な変更により、PCI DSS の範囲および管理策の適用可能性への影響が文書化された(内部的な)レビューが行われ、その結果が経営陣に通知される。 X
12.6 セキュリティ意識教育は継続的な活動である。 X
12.6.1 正式なセキュリティ意識向上プログラムを実施し、すべての要員にエンティティの情報セ キュリティポリシーと手順、およびカード会員データの保護における各自の役割を認識させる。 X
12.6.2 セキュリティ意識向上プログラムは エンティティの CDE のセキュリティに影響を与える可能性のある新たな脅威および脆弱性、またはカード会員デー タの保護における各自の役割について担当者に提供される情報に対処するために、少なくとも 12 カ月に 1 回見直し、必要に応じて更新する。 X

12.6.3 職員は、以下のとおり、セキュリティ意識向上トレーニングを受ける:

  • 入社時および少なくとも12カ月に1回。 複数のコミュニケーション手段を用いる。
  • 従業員は、少なくとも12カ月に1回、情報セキュリティ方針および手順を読み、理解したことを認める。
X
12.6.3.1 セキュリティ意識向上トレーニングには、CDEのセキュリティに影響を及ぼす可能性のある脅威や脆弱性を認識することが含まれますが、これらに限定されるものではありません: フィッシングとそれに関連する攻撃。 ソーシャル・エンジニアリング。 X
12.6.3.2 セキュリティ意識向上トレーニングには、要件12.2.1に従ったエンドユーザーテクノロジーの許容される使用に関する意識が含まれる。 X
12.7 内部脅威によるリスクを軽減するため、人員は選別される。
X
12.7.1 CDEにアクセスする可能性のある人材は、内部ソースからの攻撃リスクを最小化するため、雇用前に現地法の制約の範囲内でスクリーニングされる。
X
12.8 第三者サービスプロバイダー(TPSP)との関係に関連する情報資産へのリスクは管理されている。 X
12.8.1 アカウント・データが共有される、またはアカウント・データのセキュリティに影響を及ぼす可能性のあるすべての第三者サービス・プロバイダー(TPSP)のリスト。 X

12.8.2 TPSPとの書面による合意は以下の通り維持されている:

  • アカウントデータが共有される、またはCDEのセキュリティに影響を与える可能性のあるすべてのTPSPとの間で、書面による合意が維持されている。
  • 書面化された合意には、TPSP が保有する口座データのセキュリティ、または TPSP がエンティティのために保管、処理、送信する口座データのセ キュリティ、あるいはエンティティの CDE のセキュリティに影響を与える可能性がある範囲につい て、TPSP が責任を負うことを TPSP が認めることが含まれている。
X
12.8.3 TPSPとの契約前の適切なデューディリジェンスを含む、TPSPとの契約に関する確立されたプロセスが実施されている。 X
12.8.4 TPSP の PCI DSS 準拠状況を少なくとも 12 カ月に 1 回監視するプログラムを実施します。 X
12.8.5 各 TPSP が管理する PCI DSS 要件、エンティティが管理する PCI DSS 要件、および TPSP とエンティティの間で共有される PCI DSS 要件に関する情報が保持されます。 X

12.9 サードパーティサービスプロバイダ(TPSP)は、顧客のPCI DSS準拠をサポートします。

X

12.9.1 サービスプロバイダーのみの追加要件: TPSPは、TPSPが保有する、または顧客のために保管、処理、もしくは送信する口座データのセキュリ ティ、または顧客のCDEのセキュリティに影響を与える可能性のある範囲について、TPSPが責任を負 うことを顧客に対して書面で確認する。

X

12.9.2 サービスプロバイダーのみの追加要件: TPSP は、顧客の要求に応じて以下を提供することにより、要件 12.8.4 および 12.8.5 を満たすための顧客からの情報要求を支援する:

  • TPSP が顧客に代わって実行するサービスの PCI DSS 準拠ステータス情報(要件 12.8.4)。
  • どの PCI DSS 要件が TPSP の責任であり、どの PCI DSS 要件が顧客の責任であるかに関する情報(共有の責任を含む)(要件 12.8.5)。
X
12.10 CDEに影響を及ぼす可能性のあるセキュリティインシデントの疑いや確認があった場合は、直ちに対応する。 X

12.10.1 インシデント対応計画が存在し、セキュリティ・インシデントが疑われる、または確認された場合に発動できるようになっている。 この計画には以下が含まれるが、これらに限定されるものではない:

  • ペイメントブランドやアクワイアラーへの通知など、セキュリティインシデントが疑われる、または確認された場合の役割、責任、連絡・連絡戦略(最低限)。
  • さまざまなタイプのインシデントに対する具体的な封じ込め・緩和活動を伴うインシデント対応手順。
  • 事業の回復と継続手順データバックアッププロセス
  • 妥協を報告するための法的要件の分析。
  • すべての重要なシステムコンポーネントの対象範囲と対応
  • ペイメントブランドからのインシデント対応手順の参照または組み込み。
X

12.10.2 少なくとも 12 カ月に 1 回、セキュリティインシデント対応計画を策定する:

  • レビューを行い、必要に応じて内容を更新する。
  • 要件 12.10.1.に記載されるすべての要素を含む。
X
12.10.3 セキュリティ事故の疑いまたは確認に対応するため、特定の要員が24時間365日体制で待機するよう指定されている。 X
12.10.4 セキュリティ・インシデントの疑いや確認に対応する担当者は、インシデント対応の責任について適切かつ定期的な訓練を受ける。 X
12.10.4.1 インシデント対応要員の定期的な訓練の頻度は、エンティティの対象リスク分析で定義され、要件12.3.1に規定されるすべての要素に従って実施される。
X

12.10.5 セキュリティインシデント対応計画には、以下を含むがこれに限定されない、セキュリティ監視システムからのアラートの監視と対応が含まれる:

  • 侵入検知および侵入防止システム。
  • ネットワークのセキュリティ管理。
  • 重要ファイルの変更検出メカニズム。
  • 決済ページの変更・改ざん検知メカニズム。 この箇条書きは、発効日までのベストプラクティスである。
X
12.10.6 セキュリティ・インシデント対応計画は、学んだ教訓に基づき、また業界の発展を取り入れるために修正され、進化する。 X

12.10.7 想定外の場所で保存されたPANが検出された場合に開始されるインシデント対応手順が定められており、これには以下が含まれる:

  • PANがCDEの外部で発見された場合の対応(検索、安全な削除、現在定義されているCDEへの移行など)を決定する。
  • センシティブな認証データが PAN と共に保存されているかどうかを特定する。
  • アカウントデータがどこから来たのか、そしてなぜそれが予期せぬ場所にあるのかを特定する。
  • アカウントデータが予期せぬ場所に存在する原因となったデータ漏えいやプロセスギャップを修正する。
X

PCI DSSの要件 該当なし Genesys Cloud カスタマー 機能 メモ  
A1.1 マルチテナント型サービスプロバイダーは、すべての顧客環境とデータを保護し、分離する。 X
A1.1.1論理的分離は以下のように実施される: プロバイダーは、承認なしに顧客の環境にアクセスすることはできない。 顧客は承認なしにプロバイダーの環境にアクセスすることはできない。
X
A1.1.2各顧客が、自身のカード会員データおよび CDE にアクセスする権限のみを有するように、管理 が実施される。
X
A1.1.3各顧客は、その顧客に割り当てられたリソースにのみアクセスできるように管理される。
X
A1.1.4 顧客環境を分離するために使用される論理的分離制御の有効性は、ペネトレーションテストにより少なくとも 6 カ月に 1 回確認される。
X
A1.2 マルチテナント型サービスプロバイダーは、全顧客のロギングとインシデント対応を促進する。 X
A1.2.1各顧客環境で、PCI DSS 要件 10 に一致する監査ログ機能が有効になっている: ログは、一般的なサードパーティ製アプリケーションで有効になっている。 ログはデフォルトでアクティブになっている。 ログは、所有者であるお客様のみが確認することができます。 ログの位置は、所有する顧客に明確に伝えられる。 ログデータおよび可用性は PCI DSS 要件 10 と一致する。
X
A1.2.2顧客のセキュリティインシデントが疑われる、又は確認された場合に、迅速なフォレンジック調査を支援及び/又は促進するためのプロセス又は仕組みが導入されている。
X
A1.2.3セキュリティインシデントや脆弱性の疑いや確証を報告し、対処するためのプロセスや仕組みが導入されている: 顧客は、セキュリティ・インシデントや脆弱性をプロバイダーに安全に報告することができる。 プロバイダは、要件 6.3.1.に従い、セキュリティインシデント及び脆弱性の疑い、又は確認されたインシデントに対処し、是正する。 X

日付 リビジョン
2023年11月15日 PCI DSS 4.0 基準に関連しない責任を削除。 正確性を期すため、責任を再マッピング。
2023年10月18日 PCI DSS 4.0基準に従い、責務を更新し、新たな責務を追加した。
2023年3月22日 PCI DSS 4.0規格に基づく新たな責務を追加した。