PCI DSS顧客責任マトリックス
本稿では、Genesys CloudプラットフォームをPCI準拠の方法で使用するために、PCI DSS(Payment Card Industry Data Security Standard)の要件をどのように満たす必要があるかについて説明します。 要件 12.8.5 に従い、この記事では、顧客、Genesys Cloud、または双方が各 PCI DSS 要件を満たす責任を持つ場所を示します。 以下の拡張可能なマトリックスに示されている責任は、顧客がすでに持っている既存のPCI DSS要件を自分のシステムや手法に適用する代わりにも置き換えもしません。*
* たとえば、以下の拡張可能なマトリックスでは、セクション5はすべてのシステムをマルウェアから保護し、定期的にウイルス対策ソフトウェアまたはプログラムを更新する責任について説明しています。 本マトリックスのこのセクションは、Genesysクラウド制御システムに適用されます。 セクション5.1に示すように、Genesys Cloudは、Genesys Cloudが管理するシステムにウイルス対策ソフトウェアを導入する責任を負います。 お客様は、Genesys Cloud制御システム上にウイルス対策ソフトウェアを導入する追加の責任を一切負いません。 ただし、顧客には、顧客の管理よりもシステムにウイルス対策ソフトウェアを展開する責任があります。
Genesys Cloudプラットフォームは、PCIDSS標準のバージョン3.2を使用してレベル1サービスプロバイダーとしてPCIDSS評価を達成しました。 コンプライアンス証明書は、機密保持契約に基づいてお客様に提供されます。 クレジットカード情報の処理、送信、または保存に使用できるのは、コンプライアンスに関するレポートにPCI認定として記載されているGenesysCloudの機能のみです。 特定のGenesys Cloud機能にのみ適用されるPCI DSS要件は、責任マトリックスに記載されています。 顧客がその特定のGenesys Cloud機能を使用しない場合、これらの要件は適用されません。
以下のマトリックスは、ネイティブのGenesys Cloud機能を使用しているお客様に適用されます。 顧客は、サード使用している場合は相手などからのアプリケーションなどの製品を、 AppFoundry または使用する技術 独自のテクノロジーサービスモデルを導入する、顧客およびサード相手 サービス プロバイダー追加の共有責任を有することができます。 これらの責任は、顧客とサードの間で共有されている相手 サービス プロバイダー 。 顧客は、サードに確認する必要があり相手 サービス プロバイダー PCI DSSへの準拠と共同責任について。 この状況では、Genesys CloudはPCI DSSの追加の責任を共有しません。
詳細については、 PCI DSSコンプライアンス。
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 1.1 1.1 以下を含むファイアウォールおよびルーターの構成標準を確立して実装します。 | X | ||||
| 1.1.1 1.1.1 すべてのネットワーク接続を承認およびテストし、ファイアウォールとルーターの構成を変更するための正式なプロセス。 | X | ||||
| 1.1.2 1.1.2 カード会員データ環境とワイヤレスネットワークを含む他のネットワーク間のすべての接続を識別する現在のネットワーク図。 | X | ||||
| 1.1.3 1.1.3 システムとネットワークを横断するすべてのカード会員データの流れを示す現在の図。 | X | ||||
| 1.1.4 1.1.4 各インターネット接続、および非武装地帯(DMZ)と内部ネットワークゾーンとの間のファイアウォールに対する要件。 | X | ||||
| 1.1.5 1.1.5 ネットワークコンポーネントの管理に関するグループ、役割、および責任の説明。 | X | ||||
| 1.1.6 1.1.6 安全でないと考えられるプロトコルに実装されているセキュリティ機能のドキュメント化を含む、許可されたすべてのサービス、プロトコル、およびポートの使用に対するビジネス上の理由および承認のドキュメント化 | X | ||||
| 1.1.7 1.1.7 少なくとも6ヶ月ごとにファイアウォールとルーターのルールセットを見直す必要がある。 | X | ||||
| 1.2 1.2 信頼できないネットワークとカード会員データ環境内のシステムコンポーネント間の接続を制限するファイアウォールとルーターの構成を構築します。 | X | ||||
| 1.2.1 1.2.1 インバウンドトラフィックとアウトバウンドトラフィックをカード会員データ環境に必要なトラフィックに制限し、特に他のすべてのトラフィックを拒否します。 | X | ||||
| 1.2.2 1.2.2 ルーター設定ファイルを保護し同期します。 | X | Genesys Cloudには範囲内のルーターはありません。 | |||
| 1.2.3 1.2.3 すべてのワイヤレスネットワークとカード会員データ環境の間に境界ファイアウォールを設置し、これらのファイアウォールを拒否するか、または業務目的でトラフィックが必要な場合はワイヤレス環境とカード会員データ環境間の許可されたトラフィックのみを許可するように設定します。 | X | Genesysクラウド は範囲内のワイヤレスデバイスを持っていません。 | |||
| 1.3 1.3 インターネットとカード会員データ環境内のシステムコンポーネント間の直接の一般的なアクセスを禁止します。 | X | ||||
| 1.3.1 1.3.1 DMZを実装して、受信トラフィックを、公的にアクセス可能な承認済みサービス、プロトコル、およびポートを提供するシステムコンポーネントのみに制限する。 | X | ||||
| 1.3.2 1.3.2 インバウンドインターネットトラフィックをDMZ内のIPアドレスに制限します。 | X | ||||
| 1.3.3 1.3.3 偽造された送信元IPアドレスを検出してネットワークに侵入するのをブロックするためのスプーフィング防止対策を実施します。 | X | ||||
| 1.3.4 1.3.4 カード会員データ環境からインターネットへの許可されていない送信トラフィックを許可しないでください。 | X | ||||
| 1.3.5 1.3.5 ネットワークへの「確立された」接続のみを許可します。 | X | ||||
| 1.3.6 1.3.6 カード会員データ(データベースなど)を格納するシステムコンポーネントを、DMZやその他の信頼されていないネットワークから分離された内部ネットワークゾーンに配置します。 | X | ||||
| 1.3.7 1.3.7 プライベートIPアドレスとルーティング情報を不正な当事者に開示しないでください。 | X | ||||
1.4 1.4 ネットワークの外にいるときにインターネットに接続し(たとえば、従業員が使用するラップトップなど)、CDEへのアクセスにも使用されるすべてのポータブルコンピューティングデバイス(会社または従業員が所有するものを含む)にパーソナルファイアウォールソフトウェアまたは同等の機能をインストールする。 ファイアウォール(または同等の)構成には以下が含まれます。
|
X | ||||
| 1.5 1.5 ファイアウォールを管理するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 2.1 2.1 システムをネットワークにインストールする前に、常にベンダー提供のデフォルトを変更し、不要なデフォルトアカウントを削除または無効にします。 | X | ||||
| 2.1.1 2.1.1 カード会員データ環境に接続されている、またはカード会員データを送信している無線環境の場合は、デフォルトの無線暗号化キー、パスワード、およびSNMPコミュニティ文字列を含むがこれらに限定されない。 | X | Genesysクラウド は範囲内のワイヤレスデバイスを持っていません。 | |||
| 2.1.2 要件2の活動を行うための役割と責任が文書化され、割り当てられ、理解されていることを確認する。 | X | ||||
| 2.2 2.2 すべてのシステムコンポーネントの構成標準を作成します。 これらの標準がすべての既知のセキュリティ脆弱性に対処し、業界で認められているシステム強化標準と一致していることを確認してください。 | X | ||||
| 2.2.1 2.2.1 異なるセキュリティレベルを必要とする機能が同じサーバー上に共存しないように、サーバーごとに1つの主要機能のみを実装します。 | X | ||||
| 2.2.2 2.2.2 システムの機能に応じて、必要なサービス、プロトコル、デーモンなどだけを有効にします。 | X | ||||
| 2.2.3 2.2.3 安全でないと見なされる必要なサービス、プロトコル、またはデーモン用に追加のセキュリティー機能を実装します。 | X | ||||
| 2.2.4 2.2.4 誤用を防ぐためにシステムセキュリティパラメータを設定します。 | X | ||||
| 2.2.5 2.2.5 スクリプト、ドライバ、機能、サブシステム、ファイルシステム、不要なWebサーバーなど、不要な機能をすべて削除します。 | X | ||||
| 2.3 2.3 強力な暗号化を使用して、コンソール以外の管理アクセスをすべて暗号化します。 | X | ||||
| 2.4 2.4 PCI DSSの適用範囲内にあるシステムコンポーネントのインベントリを管理します。 | X | ||||
| 2.5 2.5 ベンダーのデフォルトやその他のセキュリティパラメータを管理するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X | ||||
| 2.6 2.6 共有ホスティングプロバイダは、各エンティティのホスティング環境とカード会員データを保護する必要があります。 これらのプロバイダーは、付録A1に詳述されている特定の要件を満たす必要があります。 A1:共有ホスティングプロバイダの追加のPCI DSS要件 | X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
3.1 3.1 すべてのカード会員データ(CHD)ストレージについて、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを実装することにより、カード会員データストレージを最小限に抑えます。
|
X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.1.2 要件3の活動を行うための役割と責任が、文書化され、割り当てられ、理解されていることを確認する。 | X | X | |||
| 3.2 3.2 承認後に機密の認証データを保存しないでください(暗号化されていても)。 機密認証データを受信した場合は、許可プロセスが完了した時点ですべてのデータを回復不能にします。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.2.1 3.2.1 承認後は(カードの裏面にある磁気ストライプ、チップに含まれる同等のデータ、またはその他の場所にある)トラックの内容全体を保存しないでください。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.2.2 3.2.2 認証後、カードの確認コードまたは値(カードを使用しない取引の確認に使用される支払いカードの表面または裏面に印刷されている3桁または4桁の番号)を保存しないでください。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.2.3 3.2.3 認証後に個人識別番号(PIN)または暗号化されたPINブロックを保存しないでください。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.3 3.3 表示時にPANをマスクします(最初の6桁と最後の4桁が表示される最大桁数です)。これにより、正当なビジネスニーズを持つ担当者だけがPANの最初の6桁/最後の4桁を超えることができます。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
3.4 3.4 次のいずれかの方法を使用して、PANが保存されている場所(ポータブルデジタルメディア、バックアップメディア、ログなど)に、PANを判読不能にします。
|
X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.4.1 3.4.1 (ファイルレベルまたは列レベルのデータベース暗号化ではなく)ディスク暗号化を使用する場合、論理アクセスは、ネイティブのオペレーティングシステム認証およびアクセス制御メカニズムとは別に、独立して管理する必要があります。資格情報)。 復号化キーをユーザーアカウントに関連付けることはできません。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 3.5 3.5 保管されたカード会員データを保護し、開示や誤用から保護するために使用されるキーを保護するための手順をドキュメント化し、実行します。 | X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
3.5.1 サービスプロバイダーのみの追加要件: 以下を含む暗号化アーキテクチャの文書化された説明を維持します。
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.5.2 3.5.2 暗号鍵へのアクセスを必要最小限の管理人に制限します。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
3.5.3 3.5.3 カード会員データの暗号化/復号化に使用される秘密鍵と秘密鍵は、常に次のいずれかの形式で保存してください。
|
X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.5.4 3.5.4 暗号鍵はできるだけ少ない場所に保管してください。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6 3.6 以下を含む、カード会員データの暗号化に使用される暗号化キーのすべてのキー管理プロセスおよび手順を完全にドキュメント化して実装します。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.1 3.6.1 強力な暗号鍵の生成 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.2 3.6.2 安全な暗号鍵配布 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.3 3.6.3 安全な暗号化キーストレージ | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.4 3.6.4 暗号化期間の終わりに達した鍵の暗号鍵の変更(例えば、定義された期間が経過した後および/または特定の量の暗号文が特定の鍵によって生成された後など)業界のベストプラクティスおよびガイドラインに基づいている(NIST Special Publication 800-57など)。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.5 3.6.5 鍵の完全性が損なわれたときに必要と判断された場合の鍵の引退または交換(アーカイブ、破棄、失効など)(たとえば、平文の鍵構成要素に関する知識を持つ従業員の退職)鍵が危険にさらされている疑いがあります。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.6 3.6.6 手動の平文暗号鍵管理操作を使用する場合、これらの操作は分割知識と二重制御を使用して管理する必要があります。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.7 3.6.7 暗号鍵の不正な置換の防止 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.6.8 3.6.8 暗号鍵管理人が自らの責任を理解し、受け入れることを正式に承認することの要求。 | X | Genesysクラウド はカード会員データを保存しません。 | |||
| 3.7 3.7 保管されているカード会員データを保護するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X | Genesysクラウド はカード会員データを保存しません。 |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
4.1 4.1 強力な暗号化とセキュリティプロトコルを使用して、次のような、公開されている公衆網を介した転送中に機密のカード会員データを保護します。
|
X |
Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 |
|||
| 4.1.1 4.1.1 カード会員データを送信する、またはカード会員データ環境に接続されているワイヤレスネットワークを確保するために、業界のベストプラクティスを使用して、認証と送信に強力な暗号化を実装します。 | X | Genesysクラウド は範囲内のワイヤレスデバイスを持っていません。 | |||
| 4.1.2 要件4の活動を行うための役割と責任が、文書化され、割り当てられ、理解されていることを確認する。 | X | X | |||
| 4.2 4.2 保護されていないPANをエンドユーザーのメッセージングテクノロジ(Eメール、インスタントメッセージング、SMS、チャットなど)で送信しないでください。 | X | X | ウェブチャット、ACD Eメール | Genesys Cloudは、Credit card number Luhn algorithm-based filtering を使用し、当社のサーバー間でのクレジットカード番号の転送と保存を防止しています。 | |
| 4.3 4.3 カード会員データの送信を暗号化するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られるようにします。 | X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 5.1 5.1 悪意のあるソフトウェア(特にパーソナルコンピュータおよびサーバー)の影響を受けるすべてのシステムにウイルス対策ソフトウェアを展開します。 | X | ||||
| 5.1.1 5.1.1 ウイルス対策プログラムが、すべての既知の種類の悪質なソフトウェアを検出、削除、および保護できることを確認してください。 | X | ||||
| 5.1.2 要件5の活動を行うための役割と責任が、文書化され、割り当てられ、理解されていることを確認する。 | X | ||||
| 5.1.3 5.1.2 悪意のあるソフトウェアの影響を受けにくいと考えられるシステムでは、定期的な評価を実施して、進化するマルウェアの脅威を識別および評価し、そのようなシステムが引き続きウイルス対策ソフトウェアを必要としないかどうかを確認します。 | X | ||||
5.2 5.2 すべてのウイルス対策メカニズムが次のように維持されていることを確認してください。
|
X | ||||
| 5.3 5.3 限られた期間、ケースバイケースで管理者から明確に承認されていない限り、ウイルス対策メカニズムがアクティブに実行されており、ユーザーが無効にしたり変更したりできないようにします。 | X | ||||
| 5.4 5.4 システムをマルウェアから保護するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 6.1 6.1 セキュリティの脆弱性情報に信頼できる外部の情報源を使用してセキュリティの脆弱性を特定するプロセスを確立し、新しく発見されたセキュリティの脆弱性にリスクのランク付け(「高」、「中」、「低」など)を割り当てます。 | X | ||||
| 6.1.2 要件6の活動を行うための役割と責任が文書化され、割り当てられ、理解されていることを確認する。 | X | ||||
| 6.2 6.2 適切なベンダー提供のセキュリティパッチをインストールすることにより、すべてのシステムコンポーネントおよびソフトウェアが既知の脆弱性から保護されていることを確認してください。 重要なセキュリティパッチをリリース後1ヶ月以内にインストールしてください。 | X | ||||
6.3 6.3 次のように、内部および外部のソフトウェアアプリケーション(アプリケーションへのWebベースの管理アクセスを含む)を安全に開発します。
|
X | ||||
| 6.3.1 6.3.1 アプリケーションがアクティブになるかカスタマーにリリースされる前に、開発、テスト、カスタムアプリケーションアカウント、ユーザーID、およびパスワードを削除します。 | X | ||||
6.3.2 6.3.2 (手動または自動プロセスを使用して)潜在的なコーディングの脆弱性を特定するために、少なくとも以下を含むように、本番環境またはカスタマーにリリースする前にカスタムコードを確認します。
|
X | ||||
| 6.4 6.4 システムコンポーネントに対するすべての変更について、変更管理プロセスおよび手順に従ってください。 プロセスには次のものが含まれている必要があります。 | X | ||||
| 6.4.1 6.4.1 開発環境とテスト環境を実稼働環境から分離し、アクセス制御を使用して分離を強化します。 | X | ||||
| 6.4.2 6.4.2 開発/テスト環境と本番環境の間の職務の分離 | X | ||||
| 6.4.3 6.4.3 製造データ(ライブPAN)はテストや開発には使用されません。 | X | ||||
| 6.4.4 6.4.4 システムがアクティブになる/本番に入る前に、システムコンポーネントからテストデータとアカウントを削除します。 | X | ||||
| 6.4.5 6.4.5 変更管理手順には、次の事項が含まれている必要があります。 | X | ||||
| 6.4.5.1 影響の文書化。 | X | ||||
| 6.4.5.2 6.4.5.2 承認された関係者によるドキュメント化された変更承認。 | X | ||||
| 6.4.5.3 6.4.5.3 変更がシステムのセキュリティに悪影響を及ぼさないことを検証するための機能テスト。 | X | ||||
| 6.4.5.4 バックアウト手順。 | X | ||||
| 6.4.6 6.4.6 大幅な変更が完了したら、すべての関連するPCI DSS要件をすべての新規または変更されたシステムとネットワークに実装し、必要に応じてドキュメントを更新する必要があります。 | X | ||||
6.5 6.5 次のように、ソフトウェア開発プロセスにおける一般的なコーディングの脆弱性に対処します。
|
X | ||||
| 6.5.1 6.5.1 インジェクションの欠陥、特にSQLインジェクション また、OSコマンドインジェクション、LDAPおよびXPathインジェクションの欠陥、およびその他のインジェクションの欠陥についても検討してください。 | X | ||||
| 6.5.2 バッファオーバーフロー。 | X | ||||
| 6.5.3 6.5.3 安全でない暗号化ストレージ | X | ||||
| 6.5.4 安全でない通信。 | X | ||||
| 6.5.5 不適切なエラー処理。 | X | ||||
| 6.5.6 6.5.6 脆弱性識別プロセスで識別されたすべての「高リスク」脆弱性(PCI DSS要件6.1で定義されているとおり)。 | X | ||||
| 6.5.7 クロスサイトスクリプティング(XSS)。 | X | ||||
| 6.5.8 6.5.8 不適切なアクセス制御(安全でない直接オブジェクト参照、URLアクセスの制限の失敗、ディレクトリトラバーサル、および機能へのユーザーアクセスの制限の失敗など)。 | X | ||||
| 6.5.9 6.5.9 クロスサイトリクエストフォージェリ(CSRF)。 | X | ||||
| 6.5.10 6.5.10 認証とセッション管理が壊れています。 | X | ||||
|
6.6 6.6 一般向けのWebアプリケーションの場合は、継続的に新しい脅威と脆弱性に対処し、次のいずれかの方法でこれらのアプリケーションを既知の攻撃から保護します。
|
X | ||||
|
6.7 6.7 安全なシステムおよびアプリケーションを開発および保守するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 |
X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 7.1 7.1 システムコンポーネントおよびカード会員データへのアクセスを、その職務でそのようなアクセスが必要な個人のみに制限します。 | X | X | Genesys Cloud | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |
7.1.1 7.1.1 以下を含む、各役割のアクセスニーズを定義します。
|
X | X | Genesys Cloud | ||
| 7.1.2 要件7の活動を行うための役割と責任が文書化され、割り当てられ、理解されていることを確認する。 | X | X | |||
| 7.1.3 7.1.2 特権ユーザーIDへのアクセスを、職責の実行に必要な最小限の特権に制限します。 | X | X | Genesys Cloud | ||
| 7.1.4 7.1.3 個々の担当者の職種と職務に基づいてアクセスを割り当てます。 | X | X | Genesys Cloud | ||
| 7.1.5 7.1.4 必要な特権を指定して、許可された関係者によるドキュメント化された承認を要求します。 | X | X | Genesys Cloud | ||
| 7.2 7.2 ユーザーの知る必要性に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネント用のアクセス制御システムを確立します。 このアクセス制御システムには、次のものが含まれている必要があります。 |
X | ||||
| 7.2.1 7.2.1 すべてのシステムコンポーネントを網羅しています。 | X | ||||
| 7.2.2 7.2.2 職種と職務に基づいた個人への特権の割り当て | X | ||||
| 7.2.3 デフォルトの「すべて拒否」設定。 | X | ||||
| 7.3 7.3 カード会員データへのアクセスを制限するためのセキュリティポリシーおよび運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X | X | Genesys Cloud |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 8.1 8.1 次のように、すべてのシステムコンポーネントの非消費者ユーザーおよび管理者に対して適切なユーザー識別管理を保証するためのポリシーと手順を定義して実装します。 | X | X | Genesys Cloud | ||
| 8.1.1 8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意のIDを割り当てます。 | X | X | Genesys Cloud | ||
| 8.1.2 要件8の活動を行うための役割と責任が、文書化され、割り当てられ、理解されていることを確認する。 | X | X | |||
| 8.1.3 8.1.2 ユーザーID、資格情報、およびその他のIDオブジェクトの追加、削除、および変更を制御します。 | X | X | Genesys Cloud | ||
| 8.1.4 8.1.3 終了したユーザーのアクセスを直ちに取り消します。 | X | X | Genesys Cloud | ||
| 8.1.5 8.1.4 90日以内に非アクティブなユーザーアカウントを削除/無効にします。 | X | X | Genesys Cloud | ||
8.1.6 8.1.5 次のように、リモートアクセスを介してシステムコンポーネントにアクセス、サポート、または保守するために第三者が使用するIDを管理します。
|
X | X | Genesys Cloud | ||
| 8.1.7 8.1.6 6回以下の試行でユーザーIDをロックアウトすることで、繰り返しのアクセス試行を制限します。 | X | X | Genesys Cloud | ||
| 8.1.8 8.1.7 ロックアウト期間を最小30分、または管理者がユーザーIDを有効にするまでに設定します。 | X | X | Genesys Cloud | ||
| 8.1.9 8.1.8 セッションが15分以上アイドル状態だった場合は、端末またはセッションを再アクティブ化するためにユーザーに再認証を要求します。 | X | X | Genesys Cloud | ||
8.2 8.2 一意のIDを割り当てることに加えて、次の方法のうち少なくとも1つを使用してすべてのユーザーを認証することにより、すべてのシステムコンポーネントの非コンシューマユーザーおよび管理者に対して適切なユーザー認証管理を保証します。
|
X | ||||
| 8.2.1 8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントでの送信および保存中は、すべての認証資格情報(パスワード/フレーズなど)を判読不能にします。 | X | ||||
| 8.2.2 8.2.2 パスワードのリセット、新しいトークンのプロビジョニング、新しいキーの生成など、認証資格情報を変更する前にユーザーの身元を確認します。 | X | X | Genesys Cloud | ||
|
8.2.3 8.2.3 パスワード/パスフレーズは次の条件を満たす必要があります。
あるいは、パスワード/パスフレーズは、少なくとも上記で指定されたパラメータと同等の複雑さと強度を持たなければなりません。 |
X | X | Genesys Cloud | ||
| 8.2.4 8.2.4 少なくとも90日に1回は、ユーザーのパスワード/パスフレーズを変更してください。 | X | X | Genesys Cloud | ||
| 8.2.5 8.2.5 最後の4つのパスワード/パスフレーズのいずれかと同じ新しいパスワード/パスフレーズの送信を個人に許可しないでください。 | X | X | Genesys Cloud | ||
| 8.2.6 8.2.6 初回使用時および各ユーザーの固有の値へのリセット時にパスワード/パスフレーズを設定し、初回使用後は直ちに変更します。 | X | X | Genesys Cloud | ||
| 8.3 8.3 多要素認証を使用して、個々のコンソール以外の管理アクセスおよびCDEへのすべてのリモートアクセスを保護します。 | X | ||||
| 8.3.1 8.3.1 管理アクセス権を持つ担当者用に、すべての非コンソールアクセスに対する多要素認証をCDEに組み込みます。 | X | ||||
| 8.3.2 8.3.2 エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス(ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーの または 参加者のアクセスを含む)に多要素認証を組み込みます。 | X | ||||
|
8.4 8.4 認証ポリシーと手順をドキュメント化し、以下を含むすべてのユーザーに伝達します。
|
X | X | Genesys Cloud | ||
|
8.5 8.5 以下のように、グループ、共有、汎用のID、パスワード、またはその他の認証方法を使用しないでください。
|
X | X | Genesys Cloud | ||
| 8.5.1 サービスプロバイダーのみの追加要件: 顧客宅内へのリモートアクセスを持つサービスプロバイダー(たとえば、POSシステムまたはサーバーのサポートのため)は、顧客ごとに一意の認証クレデンシャル(パスワード/フレーズなど)を使用する必要があります。 | X | Genesysクラウド は、顧客の施設にリモートアクセスできません。 | |||
|
8.6 8.6 他の認証メカニズム(物理的または論理的セキュリティトークン、スマートカード、証明書など)を使用する場合は、これらのメカニズムの使用を次のように割り当てる必要があります。
|
X | ||||
|
8.7 8.7 カード会員データを含むデータベースへのすべてのアクセス(アプリケーション、管理、その他すべてのユーザーによるアクセスを含む)は、次のように制限されています。
|
X | Genesysクラウド はカード会員データを保存しません。 お客様は、PCI準拠の構成でGenesys Cloudを使用して、カード会員データがGenesys Cloudに保存されないようにする責任があります。 | |||
| 8.8 8.8 識別と認証に関するセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認する | X | X | Genesys Cloud |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 9.1 9.1 カード会員データ環境内のシステムへの物理的アクセスを制限および監視するには、適切な施設への入室管理を使用してください。 | X | Genesysオフィスは対象外です。 | |||
| 9.1.1 9.1.1 ビデオカメラまたはアクセス制御メカニズム(あるいはその両方)を使用して、機密領域への個々の物理的アクセスを監視します。 収集したデータを確認し、他のエントリと関連付けます。 法律で特に制限されていない限り、少なくとも3ヶ月間保管してください。 | X | Genesys オフィスは対象外です。 | |||
| 9.1.2 要件9の活動を行うための役割と責任が文書化され、割り当てられ、理解されていることを確認する。 | X | X | |||
| 9.1.3 9.1.2 公的にアクセス可能なネットワークジャックへのアクセスを制限するために、物理的または論理的な制御を実装します。 | X | Genesys オフィスは対象外です。 | |||
| 9.1.4 9.1.3 ワイヤレスアクセスポイント、ゲートウェイ、ハンドヘルドデバイス、ネットワーキング/通信ハードウェア、および電気通信回線への物理アクセスを制限します。 | X | Genesys オフィスは対象外です。 | |||
9.2 9.2 次のような、現場の担当者と訪問者を簡単に区別する手順を作成します。
|
X | Genesys オフィスは対象外です。 | |||
9.3 9.3 次のようにして、オンサイト要員による機密区域への物理的アクセスを管理します。
|
X | Genesys オフィスは対象外です。 | |||
| 9.4 9.4 訪問者を識別および承認するための手順を実装します。 手順には以下が含まれます: |
X | Genesys オフィスは対象外です。 | |||
| 9.4.1 9.4.1 訪問者は、カード会員データが処理または管理されている地域に入る前に承認され、常に護衛されています。 | X | Genesys オフィスは対象外です。 | |||
| 9.4.2 9.4.2 訪問者は識別され、期限切れになり、訪問者と現場の人員とを視覚的に区別するバッジまたはその他の識別情報が与えられます。 | X | Genesys オフィスは対象外です。 | |||
| 9.4.3 9.4.3 訪問者は施設を出る前または有効期限の日にバッジまたは身分証明書を放棄するよう求められます。 | X | Genesys オフィスは対象外です。 | |||
|
9.4.4 9.4.4 訪問者ログは、施設ならびにカード会員データが保存または送信されるコンピュータ室およびデータセンターへの訪問者の活動の物理的な監査証跡を維持するために使用されます。 訪問者の名前、代理店、およびログへの物理的アクセスを許可するオンサイト担当者をドキュメント化します。 法律で特に制限されていない限り、このログを最低3ヶ月間保管してください。 |
X | Genesys オフィスは対象外です。 さらに Genesys カード会員データを保存しません。 | |||
| 9.5 9.5 すべてのメディアを物理的に保護する | X | Genesys オフィスは対象外です。 さらに Genesys カード会員データを保存しません。 | |||
| 9.5.1 9.5.1 メディアのバックアップを安全な場所、できれば代替サイトやバックアップサイトなどのオフサイト施設、または商業用の保管施設に保管します。 少なくとも年に一度、場所のセキュリティを確認してください。 | X | Genesys オフィスは対象外です。 | |||
| 9.6 9.6 次のようなあらゆる種類のメディアの内部または外部への配布に対する厳密な管理を維持します。 | X | Genesys オフィスは対象外です。 | |||
| 9.6.1 9.6.1 データの機密性を判断できるようにメディアを分類します。 | X | Genesys オフィスは対象外です。 | |||
| 9.6.2 9.6.2 正確に追跡できる安全な宅配便またはその他の配達方法でメディアを送付してください。 | X | Genesys オフィスは対象外です。 | |||
| 9.6.3 9.6.3 セキュリティで保護された場所から移動したすべてのメディアを管理者が承認するようにします(メディアが個人に配布される場合を含む)。 | X | Genesys オフィスは対象外です。 | |||
| 9.7 9.7 メディアの保管とアクセス可能性に対する厳密な管理を維持します。 | X | Genesys オフィスは対象外です。 | |||
| 9.7.1 9.7.1 すべてのメディアのインベントリログを適切に維持し、少なくとも年1回メディアインベントリを実施します。 | X | Genesys オフィスは対象外です。 | |||
| 9.8 9.8 以下のように、ビジネス上または法律上の理由でメディアが不要になった場合は、メディアを破棄します。 | X | Genesys オフィスは対象外です。 | |||
| 9.8.1 9.8.1 カード会員データを再構築できないように、ハードコピー素材を細断、焼却、またはパルプ化します。 破壊されることになっている材料のために使用される安全な保管容器。 | X | Genesys オフィスは対象外です。 | |||
| 9.8.2 9.8.2 カード会員データを復元できないように、電子媒体上のカード会員データを回復不能にします。 | X | Genesys オフィスは対象外です。 | |||
| 9.9 9.9 カードとの直接の物理的なやり取りによってペイメントカードのデータをキャプチャするデバイスを改ざんや代用から保護します。 | X | Genesysクラウド はカード提示デバイスを使用しません。 | |||
|
9.9.1 9.9.1 デバイスの最新リストを保守してください。 リストには次のものが含まれています。
|
X | Genesysクラウド はカード提示デバイスを使用しません。 | |||
| 9.9.2 9.9.2 デバイス表面を定期的に検査して、改ざん(たとえば、デバイスへのカードスキマーの追加)、または置き換え(たとえば、シリアル番号または他のデバイス特性を調べて、それが不正なデバイスと交換されていないことを確認する) | X | Genesysクラウド はカード提示デバイスを使用しません。 | |||
|
9.9.3 9.9.3 デバイスの改ざんまたは交換の試みを認識するように、担当者にトレーニングを提供します。 トレーニングには次のものを含める必要があります。
|
X | Genesysクラウド はカード提示デバイスを使用しません。 | |||
| 9.10 9.10 カード会員データへの物理的アクセスを制限するためのセキュリティポリシーおよび運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X | X | Genesys オフィスは対象外です。 さらに、Genesys Cloudはカード会員データを保存しません。 |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 10.1 10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを各個々のユーザーにリンクさせます。 | X | ||||
| 10.2 10.2 次のイベントを再構築するために、すべてのシステムコンポーネントに対して自動監査証跡を実装します。 | X | ||||
| 10.2.1 10.2.1 すべての個人ユーザーがカード会員データにアクセスします。 | X | ||||
| 10.2.2 10.2.2 rootまたは管理者特権を持つ個人が行ったすべての処置。 | X | ||||
| 10.2.3 すべての監査証跡へのアクセス。 | X | ||||
| 10.2.4 10.2.4 無効な論理アクセス試行 | X | ||||
| 10.2.5 10.2.5 新しいアカウントの作成や特権の昇格など、識別および認証メカニズムの使用と変更、およびroot特権または管理特権を持つアカウントに対するすべての変更、追加、または削除。 | X | ||||
| 10.2.6 10.2.6 監査ログの初期化、停止、または一時停止 | X | ||||
| 10.2.7 10.2.7 システムレベルのオブジェクトの作成と削除 | X | ||||
| 10.3 10.3 各イベントのすべてのシステムコンポーネントについて、少なくとも次の監査証跡エントリを記録します。 | X | ||||
| 10.3.1 ユーザーの通知 | X | ||||
| 10.3.2 イベントの種類。 | X | ||||
| 10.3.3 日付と時刻 | X | ||||
| 10.3.4 成功または失敗の表示。 | X | ||||
| 10.3.5 イベントの発生。 | X | ||||
| 10.3.6 10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースのIDまたは名前。 | X | ||||
| 10.4 10.4 時刻同期テクノロジを使用して、すべての重要なシステムクロックと時刻を同期させ、時刻の取得、配信、および保存のために以下が実装されていることを確認します。 | X | ||||
| 10.4.1 10.4.1 重要なシステムには、正確で一貫した時間があります。 | X | ||||
| 10.4.2 時間データは保護されています。 | X | ||||
| 10.4.3 10.4.3 時間設定は業界で認められている時間ソースから受信されます。 | X | ||||
| 10.5 10.5 監査証跡を保護して、変更できないようにします。 | X | ||||
| 10.5.1 10.5.1 監査証跡の表示を仕事に関連するニーズのある人に限定します。 | X | ||||
| 10.5.2 10.5.2 不正な変更から監査証跡ファイルを保護します。 | X | ||||
| 10.5.3 10.5.3 監査証跡ファイルを集中ログサーバーまたは変更が困難なメディアに速やかにバックアップします。 | X | ||||
| 10.5.4 10.5.4 外部向けテクノロジのログを、安全で集中管理された内部ログサーバーまたはメディアデバイスに書き込みます。 | X | ||||
| 10.5.5 10.5.5 ログに対してファイルの整合性監視または変更検出ソフトウェアを使用して、アラートを生成せずに既存のログデータを変更できないようにします(新しいデータを追加してもアラートは発生しません)。 | X | ||||
| 10.6 10.6 すべてのシステムコンポーネントのログとセキュリティイベントを確認して、異常または疑わしい活動を特定します。 | X | ||||
10.6.1 10.6.1 少なくとも毎日、以下を確認してください。
|
X | ||||
| 10.6.2 10.6.2 組織の年次リスク評価によって決定されるように、組織のポリシーおよびリスク管理戦略に基づいて、他のすべてのシステムコンポーネントのログを定期的に確認します。 | X | ||||
| 10.6.3 10.6.3 レビュープロセス中に特定された例外と異常をフォローアップします。 | X | ||||
| 10.7 10.7 監査証跡の履歴を少なくとも1年間保持し、分析にすぐに使用できるようにします(オンライン、アーカイブ、バックアップからの復元など)。 | X | ||||
10.8 サービスプロバイダーのみの追加要件: 以下の障害を含むがこれらに限定されない、重要なセキュリティ制御システムの障害をタイムリーに検出および報告するためのプロセスを実装します。
|
X | ||||
10.8.1 サービスプロバイダーのみの追加要件: 重要なセキュリティ管理の失敗にタイムリーに対応します。 セキュリティ管理策の失敗に対応するためのプロセスは以下を含まなければならない:
|
X | ||||
| 10.9 10.9 ネットワークリソースとカード会員データへのすべてのアクセスを監視するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 11.1 11.1 ワイヤレスアクセスポイントの存在をテストするプロセス(802.11)を実装し、すべての承認および未承認のワイヤレスアクセスポイントを四半期ごとに検出および識別します。 | X | Genesysクラウド は範囲内のワイヤレスデバイスを持っていません。 | |||
| 11.1.1 11.1.1 ドキュメント化された業務上の理由を含む、承認されたワイヤレスアクセスポイントの一覧を維持します。 | X | Genesysクラウド は範囲内のワイヤレスデバイスを持っていません。 | |||
| 11.1.2 要件11の活動を行うための役割と責任が、文書化され、割り当てられ、理解されていることを確認する。 | X | X | |||
| 11.1.3 11.1.2 不正なワイヤレスアクセスポイントが検出された場合には、インシデント対応手順を実施してください。 | X | Genesysクラウド は範囲内のワイヤレスデバイスを持っていません。 | |||
| 11.2 11.2 内部および外部ネットワークの脆弱性スキャンを少なくとも四半期に1回、およびネットワークの大幅な変更(新しいシステムコンポーネントのインストール、ネットワークトポロジの変更、ファイアウォールルールの変更、製品のアップグレードなど)の後に実行します。 | X | X | セキュア一時停止 | カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。 | |
| 11.2.1 11.2.1 四半期ごとに社内の脆弱性スキャンを実行します。 脆弱性に対処し、すべての「高リスク」脆弱性がエンティティの脆弱性のランク付けに従って解決されることを確認するために再スキャンを実行する(要件6.1に従って)。 スキャンは有資格者によって実行される必要があります。 | X | X | セキュア一時停止 | カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。 | |
| 11.2.2 11.2.2 ペイメントカード業界セキュリティ基準審議会(PCI SSC)によって承認された承認済みスキャンベンダー(ASV)を介して、四半期ごとに外部の脆弱性スキャンを実行します。 合格スキャンが達成されるまで、必要に応じて再スキャンを実行します。 | X | ||||
| 11.2.3 11.2.3 大幅な変更がある場合は、内部および外部のスキャンを実行し、必要に応じて再スキャンします。 スキャンは有資格者によって実行される必要があります。 | X | X | セキュア一時停止 | カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。 | |
11.3 11.3 以下を含む侵入テストの方法論を実装します。
|
X | ||||
| 11.3.1 11.3.1 少なくとも年1回、重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更(オペレーティングシステムのアップグレード、環境に追加されたサブネットワーク、または環境に追加されたWebサーバーなど)の後に、外部侵入テストを実行します。 | X | X | セキュア一時停止 | カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。 | |
| 11.3.2 11.3.2 少なくとも年1回、重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更(オペレーティングシステムのアップグレード、環境に追加されたサブネットワーク、または環境に追加されたWebサーバーなど)の後に内部侵入テストを実行します。 | X | X | セキュア一時停止 | カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。 | |
| 11.3.3 11.3.3 侵入テストで発見された悪用可能な脆弱性は修正され、修正内容を検証するためにテストが繰り返されます。 | X | ||||
| 11.3.4 11.3.4 セグメンテーションを使用してCDEを他のネットワークから分離する場合は、少なくとも年1回、およびセグメンテーション制御/方法の変更後にペネトレーションテストを実行して、セグメンテーション方法が運用上有効であることを確認します。 CDE | X | X | セキュア一時停止 | カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。 | |
| 11.3.4.1 サービスプロバイダーのみの追加要件: セグメンテーションを使用する場合は、少なくとも6か月ごとに、およびセグメンテーション制御/方法に変更を加えた後に、セグメンテーション制御に対して侵入テストを実行して、PCIDSSスコープを確認します。 | X | ||||
|
11.4 11.4 ネットワークへの侵入を検出または防止するには、侵入検知や侵入防止のテクニックを使用します。 カード会員データ環境の境界およびカード会員データ環境の重要なポイントですべてのトラフィックを監視し、侵害の疑いがあることを担当者に警告します。 すべての侵入検知および防止エンジン、ベースライン、およびシグニチャを最新の状態に保ちます。 |
X | ||||
| 11.5 11.5 重要なシステムファイル、構成ファイル、またはコンテンツファイルの不正な変更(変更、追加、削除など)について担当者に警告するための変更検出メカニズム(ファイル整合性監視ツールなど)を展開します。少なくとも週に1回、重要なファイルの比較を実行するようにソフトウェアを設定します。 | X | ||||
| 11.5.1 11.5.1 変更検出ソリューションによって生成されたアラートに対応するためのプロセスを実装します。 | X | ||||
| 11.6 11.6 セキュリティの監視とテストに関するセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 | X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| 12.1 12.1 セキュリティポリシーを確立し、公表し、維持し、そして広める。 | X | ||||
| 12.1.1 12.1.1 セキュリティポリシーを少なくとも年1回見直し、環境が変化したときにポリシーを更新します。 | X | ||||
12.2 12.2 以下のリスクアセスメントプロセスを実施する。
|
X | ||||
| 12.3 12.3 重要なテクノロジの使用ポリシーを作成し、これらのテクノロジの適切な使用方法を定義します。 | X | ||||
| 12.3.1 12.3.1 許可当事者による明示的な承認。 | X | ||||
|
12.3.2 カスタマイズされたアプローチでエンティティが満たす各 PCI DSS 要件について、ターゲットとなるリスク分析を確実に実行すること:
[適用上の注意事項]をご覧ください: この要件は、カスタマイズド・アプローチを使用する事業体にのみ適用される。 |
X | ||||
| 12.3.3 12.3.2 この技術を使用するための認証。 | X | ||||
| 12.3.4 12.3.3 アクセス権を持つすべてのそのようなデバイスおよび担当者のリスト。 | X | ||||
| 12.3.5 12.3.4 所有者、連絡先情報、および目的(たとえば、デバイスのラベル付け、コーディング、および/またはインベントリ)を正確かつ容易に決定するための方法。 | X | ||||
| 12.3.6 12.3.5 技術の許容される用途 | X | ||||
| 12.3.7 12.3.6 テクノロジに許容されるネットワークの場所。 | X | ||||
| 12.3.8 12.3.7 会社が承認した製品のリスト。 | X | ||||
| 12.3.9 12.3.8 一定時間操作がないと、リモートアクセステクノロジのセッションが自動的に切断されます。 | X | ||||
| 12.3.10 12.3.9 ベンダおよびビジネスパートナが必要とする場合に限り、ベンダおよびビジネスパートナのリモートアクセステクノロジを有効化し、使用後すぐに無効化する。 | X | ||||
|
12.3.11 12.3.10 リモートアクセステクノロジを介してカード会員データにアクセスする担当者が、定義された業務上の必要性について明示的に許可されている場合を除き、カード会員データのローカルハードドライブおよびリムーバブル電子メディアへのコピー、移動、保存 許可されたビジネス上のニーズがある場合、使用ポリシーでは、該当するすべてのPCI DSS要件に従ってデータを保護することを要求する必要があります。 |
X | ||||
| 12.4 12.4 セキュリティポリシーと手順が、すべての人員に対する情報セキュリティの責任を明確に定義していることを確認してください。 | X | ||||
|
12.4.1 サービスプロバイダーのみの追加要件: 経営幹部は、カード会員データの保護とPCIDSSコンプライアンスプログラムに対する責任を確立し、以下を含めるものとします。
|
X | ||||
| 12.5 12.5 次の情報セキュリティ管理責任を個人またはチームに割り当てます。 | X | ||||
| 12.5.1 12.5.1 セキュリティポリシーと手順を確立、ドキュメント化、および配布する。 | X | ||||
|
12.5.2 PCI DSS 範囲が文書化され、少なくとも 12 ヶ月に 1 回、および範囲内の環境に重大な変更があった場合に、エンティティによって確認されるようにすること。 最低限、スコープ検証は含まれなければならない:
[適用上の注意事項]をご覧ください: この PCI DSS 範囲の年次確認は、評価対象のエンティティが行うことが期待される活動であり、年次評価中にエンティティの評価者が行う範囲確認と同じではなく、またそれに取って代わることを意図しているものでもありません。 |
X | ||||
| 12.5.3 12.5.2 セキュリティの警告と情報を監視および分析し、適切な担当者に配布します。 | X | ||||
| 12.5.4 12.5.3 セキュリティインシデント対応およびエスカレーション手順を確立、ドキュメント化、および配布して、あらゆる状況に対してタイムリーかつ効果的に対処するようにします。 | X | ||||
| 12.5.5 12.5.4 追加、削除、および変更を含むユーザーアカウントを管理します。 | X | ||||
| 12.5.6 12.5.5 データへのすべてのアクセスを監視および制御します。 | X | ||||
| 12.6 12.6 正式なセキュリティ意識向上プログラムを実施して、すべての担当者にカード会員データのセキュリティ方針と手順を認識させる。 | X | ||||
| 12.6.1 12.6.1 採用時および少なくとも年1回、要員を教育する。 | X | ||||
| 12.6.2 12.6.2 セキュリティポリシーと手順を読んで理解したことを少なくとも年1回確認するよう要員に要求します。 | X | ||||
| 12.7 12.7 内部ソースからの攻撃のリスクを最小限に抑えるために、採用する前に潜在的な要員を選別します。 (バックグラウンドチェックの例としては、過去の雇用歴、犯罪歴、与信履歴、参照チェックなどがあります)。 | X | ||||
| 12.8 12.8 次のように、カード会員データが共有されている、またはカード会員データのセキュリティに影響を与える可能性があるサービスプロバイダを管理するためのポリシーと手順を維持および実装します。 | X | ||||
| 12.8.1 12.8.1 提供されるサービスの説明を含むサービスプロバイダのリストを管理します。 | X | ||||
| 12.8.2 12.8.2 サービスプロバイダが所有する、または顧客に代わって保存、処理、または送信する、あるいは顧客のセキュリティに影響を与える可能性がある範囲でのカード会員データのセキュリティに対するサービスプロバイダの責任カード会員データ環境 | X | ||||
| 12.8.3 12.8.3 エンゲージメントの前に適切なデューデリジェンスを含む、サービスプロバイダーをエンゲージするための確立されたプロセスがあることを確認します。 | X | ||||
| 12.8.4 12.8.4 サービスプロバイダのPCI DSSコンプライアンスステータスを少なくとも年1回監視するプログラムを維持してください。 | X | ||||
| 12.8.5 12.8.5 どのPCI DSS要件が各サービスプロバイダによって管理され、どれがエンティティによって管理されるかについての情報を維持します。 | X | ||||
| 12.9 サービスプロバイダーのみの追加要件: 12.9 サービス提供者のみの追加要件:サービス提供者は、サービス提供者が所有する、またはそうでなければ顧客に代わって、または影響を与える可能性がある範囲で保存、処理、送信する顧客のカード会員データ環境のセキュリティ。 | X | ||||
|
12.9.1 サービスプロバイダーのみの追加要件: TPSP は、顧客の要求に応じて以下を提供することにより、要件 12.8.4 および 12.8.5 を満たすための顧客からの情報要求を支援する:
[適用上の注意事項]をご覧ください: この要求事項は、評価対象企業がサービスプロバイダーである場合にのみ適用されます。 |
X | ||||
| 12.10 12.10 インシデント対応計画を実施する。 システム違反にすぐに対応する準備をしてください。 | X | ||||
|
12.10.1 12.10.1 システム違反が発生した場合に実施するインシデント対応計画を作成します。 計画が少なくとも次の事項に対処していることを確認してください。
|
X | ||||
| 12.10.2 12.10.2 少なくとも年1回、要件12.10.1に記載されているすべての要素を含め、計画を見直してテストします。 | X | ||||
| 12.10.3 12.10.3 アラートに対応するために24時間365日体制で対応できるように特定の担当者を指定します。 | X | ||||
| 12.10.4 12.10.4 セキュリティ違反対応の責任を持つスタッフに適切なトレーニングを提供します。 | X | ||||
| 12.10.5 12.10.5 侵入検知、侵入防止、ファイアウォール、ファイル整合性監視システムなど、セキュリティ監視システムからの警告を含めます。 | X | ||||
| 12.10.6 12.10.6 学んだ教訓に従ってインシデント対応計画を修正および発展させ、業界の発展を取り入れるプロセスを開発する。 | X | ||||
12.11 サービスプロバイダーのみの追加要件: 少なくとも四半期ごとにレビューを実行して、担当者がセキュリティポリシーと運用手順に従っていることを確認します。 レビューは以下のプロセスをカバーしなければなりません:
|
X | ||||
|
12.11.1 サービスプロバイダーのみの追加要件: 以下を含む四半期レビュープロセスの文書を維持します。
|
X |
| PCI DSSの要件 | 該当なし | Genesys Cloud | カスタマー | 機能 | メモ |
|---|---|---|---|---|---|
| A1 A1.1からA1.4に従って、各エンティティ(つまり、マーチャント、サービスプロバイダ、またはその他のエンティティ)がホストする環境とデータを保護します。 ホスティングプロバイダは、これらの要件およびPCI DSSの他のすべての関連セクションを満たす必要があります。 |
X | ||||
| A1.1 各エンティティがそのエンティティのカード会員データ環境にアクセスできるプロセスのみを実行するようにしてください。 | X | ||||
| A1.2 各エンティティのアクセスと特権を、それ自身のカード会員データ環境のみに制限します。 | X | ||||
| A1.3 ログ記録と監査証跡が有効になっており、各事業体のカード会員データ環境に固有であり、PCI DSS要件10と一致していることを確認します。 | X | ||||
| A1.4 ホスティングされているマーチャントまたはサービスプロバイダーに危害が及んだ場合に、プロセスがタイムリーなフォレンジック調査を提供できるようにする | X |
| 日付 | リビジョン |
| 2023年3月22日 | PCI DSS 4.0規格に基づく新たな責務を追加した。 |
