PCI DSS顧客責任マトリックス


この記事では、PCI準拠の方法でPureCloudプラットフォームを使用するために、 PCI データ セキュリティ基準 (PCI DSS) (PCI DSS)の要件を満たす方法について説明します。要件12.8.5に従って、この記事では、カスタマー、 PureCloud 、またはその両方が各PCI DSS要件を満たす責任がある場所を示しています。以下の拡張可能なマトリックス示されている責任は、お客様が既に所有している既存のPCI DSS要件を置き換えたり、置き換えたりするものではありません。*

* たとえば、以下の拡張可能なマトリックスセクション5では、すべてのシステムをマルウェアから保護し、ウイルス対策ソフトウェアまたはプログラムを定期的に更新する責任について説明しています。このセクションマトリックスに適用されるPureCloudシステムを-controlled。5.1節で示したように、 PureCloudによって制御システムにウイルス対策ソフトを導入するための責任があるPureCloud 。お客様は、 PureCloud制御システムにウイルス対策ソフトウェアを展開する追加の責任を負いません。ただし、お客様は、お客様が管理するよりも、システムにウイルス対策ソフトウェアを展開する責任を負います。

PureCloudプラットフォームは、PCI DSS 規格 or 標準のバージョン3.2を使用して、レベル1サービスプロバイダとしてPCI DSS評価を達成しました。コンプライアンスの証明は、秘密保持契約に基づいてお客様に提供されます。コンプライアンスに関するレポートにPCI認定として記載されているPureCloud機能のみが、クレジットカード情報の処理、送信、または保存に使用できます。特定のPureCloud機能にのみ適用されるPCI DSS要件は、責任マトリックスに記載されています。顧客がその特定のPureCloud機能を使用しない場合、それらの要件は適用されません。

詳細については、 PCI DSSコンプライアンス


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
1.1 以下を含むファイアウォールおよびルーターの構成標準を確立して実装します。 バツ
1.1.1 すべてのネットワーク接続を承認およびテストし、ファイアウォールとルーターの構成を変更するための正式なプロセス。 バツ
1.1.2 カード会員データ環境とワイヤレスネットワークを含む他のネットワーク間のすべての接続を識別する現在のネットワーク図。 バツ
1.1.3 システムとネットワークを横断するすべてのカード会員データの流れを示す現在の図。 バツ
1.1.4 各インターネット接続、および非武装地帯(DMZ)と内部ネットワークゾーンとの間のファイアウォールに対する要件。 バツ
1.1.5 ネットワークコンポーネントの管理に関するグループ、役割、および責任の説明。 バツ
1.1.6 安全でないと考えられるプロトコルに実装されているセキュリティ機能のドキュメント化を含む、許可されたすべてのサービス、プロトコル、およびポートの使用に対するビジネス上の理由および承認のドキュメント化 バツ
1.1.7 少なくとも6ヶ月ごとにファイアウォールとルーターのルールセットを見直す必要がある。 バツ
1.2 信頼できないネットワークとカード会員データ環境内のシステムコンポーネント間の接続を制限するファイアウォールとルーターの構成を構築します。 バツ
1.2.1 インバウンドトラフィックとアウトバウンドトラフィックをカード会員データ環境に必要なトラフィックに制限し、特に他のすべてのトラフィックを拒否します。 バツ
1.2.2 ルーター設定ファイルを保護し同期します。 バツ PureCloudにはスコープ内ルーターはありません。
1.2.3 すべてのワイヤレスネットワークとカード会員データ環境の間に境界ファイアウォールを設置し、これらのファイアウォールを拒否するか、または業務目的でトラフィックが必要な場合はワイヤレス環境とカード会員データ環境間の許可されたトラフィックのみを許可するように設定します。 バツ PureCloudには範囲内のワイヤレスデバイスがありません。
1.3 インターネットとカード会員データ環境内のシステムコンポーネント間の直接の一般的なアクセスを禁止します。 バツ
1.3.1 DMZを実装して、受信トラフィックを、公的にアクセス可能な承認済みサービス、プロトコル、およびポートを提供するシステムコンポーネントのみに制限する。 バツ
1.3.2 インバウンドインターネットトラフィックをDMZ内のIPアドレスに制限します。 バツ
1.3.3 偽造された送信元IPアドレスを検出してネットワークに侵入するのをブロックするためのスプーフィング防止対策を実施します。 バツ
1.3.4 カード会員データ環境からインターネットへの許可されていない送信トラフィックを許可しないでください。 バツ
1.3.5 ネットワークへの「確立された」接続のみを許可します。 バツ
1.3.6 カード会員データ(データベースなど)を格納するシステムコンポーネントを、DMZやその他の信頼されていないネットワークから分離された内部ネットワークゾーンに配置します。 バツ
1.3.7 プライベートIPアドレスとルーティング情報を不正な当事者に開示しないでください。 バツ
1.4 ネットワークの外にいるときにインターネットに接続し(たとえば、従業員が使用するラップトップなど)、CDEへのアクセスにも使用されるすべてのポータブルコンピューティングデバイス(会社または従業員が所有するものを含む)にパーソナルファイアウォールソフトウェアまたは同等の機能をインストールする。ファイアウォール(または同等の)構成には以下が含まれます。
  • 特定の構成設定が定義されています。
  • パーソナルファイアウォール(または同等の機能)がアクティブに動作しています。
  • パーソナルファイアウォール(または同等の機能)は、ポータブルコンピューティングデバイスのユーザによって変更することはできません。
バツ
1.5 ファイアウォールを管理するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
2.1 システムをネットワークにインストールする前に、常にベンダー提供のデフォルトを変更し、不要なデフォルトアカウントを削除または無効にします。 バツ
2.1.1 カード会員データ環境に接続されている、またはカード会員データを送信している無線環境の場合は、デフォルトの無線暗号化キー、パスワード、およびSNMPコミュニティ文字列を含むがこれらに限定されない。 バツ PureCloud 範囲内のワイヤレスデバイスはありません。
2.2 すべてのシステムコンポーネントの構成標準を作成します。これらの標準がすべての既知のセキュリティ脆弱性に対処し、業界で認められているシステム強化標準と一致していることを確認してください。 バツ
2.2.1 異なるセキュリティレベルを必要とする機能が同じサーバー上に共存しないように、サーバーごとに1つの主要機能のみを実装します。 バツ
2.2.2 システムの機能に応じて、必要なサービス、プロトコル、デーモンなどだけを有効にします。 バツ
2.2.3 安全でないと見なされる必要なサービス、プロトコル、またはデーモン用に追加のセキュリティー機能を実装します。 バツ
2.2.4 誤用を防ぐためにシステムセキュリティパラメータを設定します。 バツ
2.2.5 スクリプト、ドライバ、機能、サブシステム、ファイルシステム、不要なWebサーバーなど、不要な機能をすべて削除します。 バツ
2.3 強力な暗号化を使用して、コンソール以外の管理アクセスをすべて暗号化します。 バツ
2.4 PCI DSSの適用範囲内にあるシステムコンポーネントのインベントリを管理します。 バツ
2.5 ベンダーのデフォルトやその他のセキュリティパラメータを管理するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ
2.6 共有ホスティングプロバイダは、各エンティティのホスティング環境とカード会員データを保護する必要があります。これらのプロバイダは、付録A1:共有ホスティングプロバイダの追加のPCI DSS要件に詳述されている特定の要件を満たす必要があります。 バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
3.1 すべてのカード会員データ(CHD)ストレージについて、少なくとも以下を含むデータ保持および廃棄のポリシー、手順、およびプロセスを実装することにより、カード会員データストレージを最小限に抑えます。
  • データストレージの量と保存期間を、法的要件、規制要件、またはビジネス要件に必要なものに制限します。
  • カード会員データの特定の保存要件
  • 不要になったデータを安全に削除するためのプロセス。
  • 定義された保持期間を超える、保存されているカード会員データを識別して安全に削除するための四半期ごとのプロセス。
バツ PureCloud カード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.2 承認後に機密の認証データを保存しないでください(暗号化されていても)。機密認証データを受信した場合は、許可プロセスが完了した時点ですべてのデータを回復不能にします。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.2.1 承認後は(カードの裏面にある磁気ストライプ、チップに含まれる同等のデータ、またはその他の場所にある)トラックの内容全体を保存しないでください。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.2.2 認証後、カードの確認コードまたは値(カードを使用しない取引の確認に使用される支払いカードの表面または裏面に印刷されている3桁または4桁の番号)を保存しないでください。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.2.3 認証後に個人識別番号(PIN)または暗号化されたPINブロックを保存しないでください。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.3 表示時にPANをマスクします(最初の6桁と最後の4桁が表示される最大桁数です)。これにより、正当なビジネスニーズを持つ担当者だけがPANの最初の6桁/最後の4桁を超えることができます。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.4 次のいずれかの方法を使用して、PANが保存されている場所(ポータブルデジタルメディア、バックアップメディア、ログなど)に、PANを判読不能にします。
  • 強力な暗号化に基づく一方向ハッシュ(ハッシュはPAN全体のものでなければならない)
  • 切り捨て(ハッシュを使用してPANの切り捨てられたセグメントを置き換えることはできません)。
  • インデックストークンとパッド(パッドは安全に保管する必要があります)
  • 関連する鍵管理プロセスと手順による強力な暗号化。
バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.4.1 (ファイルレベルまたは列レベルのデータベース暗号化ではなく)ディスク暗号化を使用する場合、論理アクセスは、ネイティブのオペレーティングシステム認証およびアクセス制御メカニズムとは別に、独立して管理する必要があります。資格情報)。復号化キーをユーザーアカウントに関連付けることはできません。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.5 保管されたカード会員データを保護し、開示や誤用から保護するために使用されるキーを保護するための手順をドキュメント化し、実行します。 バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
3.5.1 サービスプロバイダのみの追加要件:以下を含む暗号化アーキテクチャのドキュメント化された説明を維持します。
  • 鍵の強度や有効期限など、カード会員データの保護に使用されるすべてのアルゴリズム、プロトコル、および鍵の詳細。
  • 各キーのキー使用法の説明。
  • 鍵管理に使用されるHSMおよびその他のSCDのインベントリー。
バツ PureCloud カード会員データを保存しません。
3.5.2 暗号鍵へのアクセスを必要最小限の管理人に制限します。 バツ PureCloudはカード会員データを保存しません。
3.5.3 カード会員データの暗号化/復号化に使用される秘密鍵と秘密鍵は、常に次のいずれかの形式で保存してください。
  • データ暗号化キーと少なくとも同じ強度を持ち、データ暗号化キーとは別に格納されているキー暗号化キーで暗号化されている。
  • 安全な暗号化デバイス(ハードウェア(ホスト)セキュリティモジュール(HSM)またはPTS承認の対話型通信デバイスなど)内。
  • 業界で認められている方法に従った、少なくとも2つのフルレングスの主要コンポーネントまたは主要シェアとして。
バツ PureCloudはカード会員データを保存しません。
3.5.4 暗号鍵はできるだけ少ない場所に保管してください。 バツ PureCloudはカード会員データを保存しません。
3.6 以下を含む、カード会員データの暗号化に使用される暗号化キーのすべてのキー管理プロセスおよび手順を完全にドキュメント化して実装します。 バツ PureCloudはカード会員データを保存しません。
3.6.1 強力な暗号鍵の生成 バツ PureCloudはカード会員データを保存しません。
3.6.2 安全な暗号鍵配布 バツ PureCloudはカード会員データを保存しません。
3.6.3 安全な暗号化キーストレージ バツ PureCloudはカード会員データを保存しません。
3.6.4 暗号化期間の終わりに達した鍵の暗号鍵の変更(例えば、定義された期間が経過した後および/または特定の量の暗号文が特定の鍵によって生成された後など)業界のベストプラクティスおよびガイドラインに基づいている(NIST Special Publication 800-57など)。 バツ PureCloudはカード会員データを保存しません。
3.6.5 鍵の完全性が損なわれたときに必要と判断された場合の鍵の引退または交換(アーカイブ、破棄、失効など)(たとえば、平文の鍵構成要素に関する知識を持つ従業員の退職)鍵が危険にさらされている疑いがあります。 バツ PureCloudはカード会員データを保存しません。
3.6.6 手動の平文暗号鍵管理操作を使用する場合、これらの操作は分割知識と二重制御を使用して管理する必要があります。 バツ PureCloudはカード会員データを保存しません。
3.6.7 暗号鍵の不正な置換の防止 バツ PureCloudはカード会員データを保存しません。
3.6.8 暗号鍵管理人が自らの責任を理解し、受け入れることを正式に承認することの要求。 バツ PureCloudはカード会員データを保存しません。
3.7 保管されているカード会員データを保護するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ PureCloudはカード会員データを保存しません。


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
4.1 強力な暗号化とセキュリティプロトコルを使用して、次のような、公開されている公衆網を介した転送中に機密のカード会員データを保護します。
  • 信頼できる鍵と証明書だけが受け入れられます。
  • 使用中のプロトコルは、安全なバージョンまたは構成のみをサポートしています。
  • 暗号化強度は、使用中の暗号化方法に適しています。
バツ

PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。

BYOC(あなた自身の運送人を持ってきて) 持っている ではない PCI DSS準拠について検証済みです。

4.1.1 カード会員データを送信する、またはカード会員データ環境に接続されているワイヤレスネットワークを確保するために、業界のベストプラクティスを使用して、認証と送信に強力な暗号化を実装します。 バツ PureCloud 範囲内のワイヤレスデバイスはありません。
4.2 保護されていないPANをエンドユーザーのメッセージングテクノロジ(Eメール、インスタントメッセージング、SMS、チャットなど)で送信しないでください。 バツ バツ ウェブチャット、ACD Eメール PureCloudの使用 機密情報のフィルタリング 当社のサーバー間でのクレジットカード番号の転送と保管を防ぐため。
4.3 カード会員データの送信を暗号化するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られるようにします。 バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
5.1 悪意のあるソフトウェア(特にパーソナルコンピュータおよびサーバー)の影響を受けるすべてのシステムにウイルス対策ソフトウェアを展開します。 バツ
5.1.1 ウイルス対策プログラムが、すべての既知の種類の悪質なソフトウェアを検出、削除、および保護できることを確認してください。 バツ
5.1.2 悪意のあるソフトウェアの影響を受けにくいと考えられるシステムでは、定期的な評価を実施して、進化するマルウェアの脅威を識別および評価し、そのようなシステムが引き続きウイルス対策ソフトウェアを必要としないかどうかを確認します。 バツ
5.2 すべてのウイルス対策メカニズムが次のように維持されていることを確認してください。
  • 最新の状態に保たれています。
  • 定期的なスキャンを実行してください。
  • PCI DSS要件10.7に従って保持される監査ログを生成します。
バツ
5.3 限られた期間、ケースバイケースで管理者から明確に承認されていない限り、ウイルス対策メカニズムがアクティブに実行されており、ユーザーが無効にしたり変更したりできないようにします。 バツ
5.4 システムをマルウェアから保護するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
6.1 セキュリティの脆弱性情報に信頼できる外部の情報源を使用してセキュリティの脆弱性を特定するプロセスを確立し、新しく発見されたセキュリティの脆弱性にリスクのランク付け(「高」、「中」、「低」など)を割り当てます。 バツ
6.2 適切なベンダー提供のセキュリティパッチをインストールすることにより、すべてのシステムコンポーネントおよびソフトウェアが既知の脆弱性から保護されていることを確認してください。重要なセキュリティパッチをリリース後1ヶ月以内にインストールしてください。 バツ
6.3 次のように、内部および外部のソフトウェアアプリケーション(アプリケーションへのWebベースの管理アクセスを含む)を安全に開発します。
  • PCI DSSに準拠しています(たとえば、安全な認証とログ記録)。
  • 業界標準および/またはベストプラクティスに基づく。
  • ソフトウェア開発ライフサイクル全体に情報セキュリティを取り入れる。
バツ
6.3.1 アプリケーションがアクティブになるかカスタマーにリリースされる前に、開発、テスト、カスタムアプリケーションアカウント、ユーザーID、およびパスワードを削除します。 バツ
6.3.2 (手動または自動プロセスを使用して)潜在的なコーディングの脆弱性を特定するために、少なくとも以下を含むように、本番環境またはカスタマーにリリースする前にカスタムコードを確認します。
  • コードの変更は、元のコード作成者以外の個人や、コードレビューのテクニックや安全なコーディング方法について知っている個人によってレビューされます。
  • コードレビューにより、安全なコーディングガイドラインに従ってコードが確実に開発されるようになります。
  • リリース前に適切な修正が行われます。
  • コードレビューの結果は、リリース前に管理者によってレビューおよび承認されます。
バツ
6.4 システムコンポーネントに対するすべての変更について、変更管理プロセスおよび手順に従ってください。プロセスには次のものが含まれている必要があります。 バツ
6.4.1 開発環境とテスト環境を実稼働環境から分離し、アクセス制御を使用して分離を強化します。 バツ
6.4.2 開発/テスト環境と本番環境の間の職務の分離 バツ
6.4.3 製造データ(ライブPAN)はテストや開発には使用されません。 バツ
6.4.4 システムがアクティブになる/本番に入る前に、システムコンポーネントからテストデータとアカウントを削除します。 バツ
6.4.5 変更管理手順には、次の事項が含まれている必要があります。 バツ
6.4.5.1 影響のドキュメント化 バツ
6.4.5.2 承認された関係者によるドキュメント化された変更承認。 バツ
6.4.5.3 変更がシステムのセキュリティに悪影響を及ぼさないことを検証するための機能テスト。 バツ
6.4.5.4 バックアウト手順 バツ
6.4.6 大幅な変更が完了したら、すべての関連するPCI DSS要件をすべての新規または変更されたシステムとネットワークに実装し、必要に応じてドキュメントを更新する必要があります。 バツ
6.5 次のように、ソフトウェア開発プロセスにおける一般的なコーディングの脆弱性に対処します。
  • 一般的なコーディングの脆弱性を回避する方法など、少なくとも年1回、開発者に最新の安全なコーディング技術を訓練します。
  • 安全なコーディングガイドラインに基づいてアプリケーションを開発します。
バツ
6.5.1 インジェクションの欠陥、特にSQLインジェクションまた、OSコマンドインジェクション、LDAPおよびXPathインジェクションの欠陥、およびその他のインジェクションの欠陥についても検討してください。 バツ
6.5.2 バッファオーバーフロー バツ
6.5.3 安全でない暗号化ストレージ バツ
6.5.4 安全でない通信 バツ
6.5.5 不適切なエラー処理 バツ
6.5.6 脆弱性識別プロセスで識別されたすべての「高リスク」脆弱性(PCI DSS要件6.1で定義されているとおり)。 バツ
6.5.7 クロスサイトスクリプティング(XSS) バツ
6.5.8 不適切なアクセス制御(安全でない直接オブジェクト参照、URLアクセスの制限の失敗、ディレクトリトラバーサル、および機能へのユーザーアクセスの制限の失敗など)。 バツ
6.5.9 クロスサイトリクエストフォージェリ(CSRF)。 バツ
6.5.10 認証とセッション管理が壊れています。 バツ

6.6 一般向けのWebアプリケーションの場合は、継続的に新しい脅威と脆弱性に対処し、次のいずれかの方法でこれらのアプリケーションを既知の攻撃から保護します。

  • 手動または自動化されたアプリケーションの脆弱性セキュリティ評価ツールまたは方法を使用して、少なくとも年1回および変更後に一般向けのWebアプリケーションをレビューする。
  • 継続的にすべてのトラフィックをチェックするために、Webベースの攻撃(Webアプリケーションファイアウォールなど)を検出して防止する自動化された技術ソリューションを公共のWebアプリケーションの前にインストールする
バツ

6.7 安全なシステムおよびアプリケーションを開発および保守するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。

バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
7.1 システムコンポーネントおよびカード会員データへのアクセスを、その職務でそのようなアクセスが必要な個人のみに制限します。 バツ バツ PureCloud PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
7.1.1 以下を含む、各役割のアクセスニーズを定義します。
  • 各役割が職務のためにアクセスする必要があるシステムコンポーネントとデータリソース。
  • リソースにアクセスするために必要な特権のレベル(たとえば、ユーザー、管理者など)。
バツ バツ PureCloud
7.1.2 特権ユーザーIDへのアクセスを、職責の実行に必要な最小限の特権に制限します。 バツ バツ PureCloud
7.1.3 個々の担当者の職種と職務に基づいてアクセスを割り当てます。 バツ バツ PureCloud
7.1.4 必要な特権を指定して、許可された関係者によるドキュメント化された承認を要求します。 バツ バツ PureCloud
7.2 ユーザーの知る必要性に基づいてアクセスを制限し、特に許可されていない限り「すべて拒否」に設定されているシステムコンポーネント用のアクセス制御システムを確立します。
このアクセス制御システムには、次のものが含まれている必要があります。
バツ
7.2.1 すべてのシステムコンポーネントを網羅しています。 バツ
7.2.2 職種と職務に基づいた個人への特権の割り当て バツ
7.2.3 デフォルトの「deny-all」設定 バツ
7.3 カード会員データへのアクセスを制限するためのセキュリティポリシーおよび運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ バツ PureCloud


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
8.1 次のように、すべてのシステムコンポーネントの非消費者ユーザーおよび管理者に対して適切なユーザー識別管理を保証するためのポリシーと手順を定義して実装します。 バツ バツ PureCloud
8.1.1 システムコンポーネントまたはカード会員データへのアクセスを許可する前に、すべてのユーザーに一意のIDを割り当てます。 バツ バツ PureCloud
8.1.2 ユーザーID、資格情報、およびその他のIDオブジェクトの追加、削除、および変更を制御します。 バツ バツ PureCloud
8.1.3 終了したユーザーのアクセスを直ちに取り消します。 バツ バツ PureCloud
8.1.4 90日以内に非アクティブなユーザーアカウントを削除/無効にします。 バツ バツ PureCloud
8.1.5 次のように、リモートアクセスを介してシステムコンポーネントにアクセス、サポート、または保守するために第三者が使用するIDを管理します。
  • 必要な期間だけ有効になり、使用していない場合は無効になります。
  • 使用中に監視されます。
バツ バツ PureCloud
8.1.6 6回以下の試行でユーザーIDをロックアウトすることで、繰り返しのアクセス試行を制限します。 バツ バツ PureCloud
8.1.7 ロックアウト期間を最小30分、または管理者がユーザーIDを有効にするまでに設定します。 バツ バツ PureCloud
8.1.8 セッションが15分以上アイドル状態だった場合は、端末またはセッションを再アクティブ化するためにユーザーに再認証を要求します。 バツ バツ PureCloud
8.2 一意のIDを割り当てることに加えて、次の方法のうち少なくとも1つを使用してすべてのユーザーを認証することにより、すべてのシステムコンポーネントの非コンシューマユーザーおよび管理者に対して適切なユーザー認証管理を保証します。
  • パスワードやパスフレーズなど、あなたが知っているもの。
  • トークンデバイスやスマートカードなど、持っているもの
  • あなたが何か、バイオメトリックなど。
バツ
8.2.1 強力な暗号化を使用して、すべてのシステムコンポーネントでの送信および保存中は、すべての認証資格情報(パスワード/フレーズなど)を判読不能にします。 バツ
8.2.2 パスワードのリセット、新しいトークンのプロビジョニング、新しいキーの生成など、認証資格情報を変更する前にユーザーの身元を確認します。 バツ バツ PureCloud

8.2.3 パスワード/パスフレーズは次の条件を満たす必要があります。

  • 少なくとも7文字以上の長さが必要です。
  • 数字と英字の両方を含みます。

あるいは、パスワード/パスフレーズは、少なくとも上記で指定されたパラメータと同等の複雑さと強度を持たなければなりません。

バツ バツ PureCloud
8.2.4 少なくとも90日に1回は、ユーザーのパスワード/パスフレーズを変更してください。 バツ バツ PureCloud
8.2.5 最後の4つのパスワード/パスフレーズのいずれかと同じ新しいパスワード/パスフレーズの送信を個人に許可しないでください。 バツ バツ PureCloud
8.2.6 初回使用時および各ユーザーの固有の値へのリセット時にパスワード/パスフレーズを設定し、初回使用後は直ちに変更します。 バツ バツ PureCloud
8.3 多要素認証を使用して、個々のコンソール以外の管理アクセスおよびCDEへのすべてのリモートアクセスを保護します。 バツ
8.3.1 管理アクセス権を持つ担当者用に、すべての非コンソールアクセスに対する多要素認証をCDEに組み込みます。 バツ
8.3.2 エンティティのネットワークの外部から発信されるすべてのリモートネットワークアクセス(ユーザーと管理者の両方、およびサポートまたはメンテナンスのためのサードパーティーの または 参加者のアクセスを含む)に多要素認証を組み込みます。 バツ

8.4 認証ポリシーと手順をドキュメント化し、以下を含むすべてのユーザーに伝達します。

  • 強力な認証資格情報の選択に関するガイダンス
  • ユーザーが自分の認証資格情報をどのように保護するべきかについてのガイダンス。
  • 以前に使用したパスワードを再利用しないように指示します。
  • パスワードが危険にさらされる可能性がある疑いがある場合にパスワードを変更するための指示。
バツ バツ PureCloud

8.5 以下のように、グループ、共有、汎用のID、パスワード、またはその他の認証方法を使用しないでください。

  • 一般ユーザーIDが無効になっているか削除されています。
  • 共有ユーザーIDは、システム管理やその他の重要な機能には存在しません。
  • 共有ユーザーIDと総称ユーザーIDは、システムコンポーネントの管理には使用されません。
バツ バツ PureCloud
8.5.1 サービスプロバイダのみの追加要件:カスタマー施設へのリモートアクセスを持つサービスプロバイダ(POSシステムやサーバーのサポートなど)は、各カスタマーに対して一意の認証資格情報(パスワードやフレーズなど)を使用する必要があります。 バツ PureCloud カスタマーの施設へのリモートアクセスはありません。

8.6 他の認証メカニズム(物理的または論理的セキュリティトークン、スマートカード、証明書など)を使用する場合は、これらのメカニズムの使用を次のように割り当てる必要があります。

  • 認証メカニズムは個々のアカウントに割り当てられ、複数のアカウント間で共有されないようにする必要があります。
  • 意図されたアカウントだけがそのメカニズムを使用してアクセスできるようにするために、物理的および/または論理的な制御が必要です。
バツ

8.7 カード会員データを含むデータベースへのすべてのアクセス(アプリケーション、管理、その他すべてのユーザーによるアクセスを含む)は、次のように制限されています。

  • データベースへのすべてのユーザーアクセス、データベースに対するユーザークエリー、およびユーザーアクションは、プログラムによる方法で行われます。
  • データベースに直接アクセスまたは照会する機能を持つのは、データベース管理者だけです。
  • データベースアプリケーションのアプリケーションIDは、アプリケーションでしか使用できません(個々のユーザーや他の非アプリケーションプロセスでは使用できません)。
バツ PureCloudはカード会員データを保存しません。お客様は、カード会員データがPureCloudに保管されないようにするために、PCI準拠構成でPureCloudを使用する責任があります。
8.8 識別と認証に関するセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認する バツ バツ PureCloud


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
9.1 カード会員データ環境内のシステムへの物理的アクセスを制限および監視するには、適切な施設への入室管理を使用してください。 バツ Genesysオフィスは対象外です。
9.1.1 ビデオカメラまたはアクセス制御メカニズム(あるいはその両方)を使用して、機密領域への個々の物理的アクセスを監視します。収集したデータを確認し、他のエントリと関連付けます。法律で特に制限されていない限り、少なくとも3ヶ月間保管してください。 バツ Genesys オフィスは対象外です。
9.1.2 公的にアクセス可能なネットワークジャックへのアクセスを制限するために、物理的または論理的な制御を実装します。 バツ Genesysオフィス 範囲外ではありません。
9.1.3 ワイヤレスアクセスポイント、ゲートウェイ、ハンドヘルドデバイス、ネットワーキング/通信ハードウェア、および電気通信回線への物理アクセスを制限します。 バツ Genesysオフィス 範囲外ではありません。
9.2 次のような、現場の担当者と訪問者を簡単に区別する手順を作成します。
  • 現場の人員と訪問者を識別します(バッジの割り当てなど)。
  • アクセス要件の変更
  • オンサイト要員および期限切れの訪問者識別情報(IDバッジなど)の取り消しまたは終了
バツ Genesysオフィス 範囲外ではありません。
9.3 次のようにして、オンサイト要員による機密区域への物理的アクセスを管理します。
  • アクセスは承認され、個々の職務に基づいていなければなりません。
  • アクセスが終了するとすぐにアクセスが取り消され、キー、アクセスカードなどのすべての物理的アクセスメカニズムが返却されるか無効になります。
バツ Genesysオフィス 範囲外ではありません。
9.4 訪問者を識別および承認するための手順を実装します。
手順には以下が含まれます:
バツ Genesysオフィス 範囲外ではありません。
9.4.1 訪問者は、カード会員データが処理または管理されている地域に入る前に承認され、常に護衛されています。 バツ Genesysオフィス 範囲外ではありません。
9.4.2 訪問者は識別され、期限切れになり、訪問者と現場の人員とを視覚的に区別するバッジまたはその他の識別情報が与えられます。 バツ Genesysオフィス 範囲外ではありません。
9.4.3 訪問者は施設を出る前または有効期限の日にバッジまたは身分証明書を放棄するよう求められます。 バツ Genesysオフィス 範囲外ではありません。

9.4.4 訪問者ログは、施設ならびにカード会員データが保存または送信されるコンピュータ室およびデータセンターへの訪問者の活動の物理的な監査証跡を維持するために使用されます。

訪問者の名前、代理店、およびログへの物理的アクセスを許可するオンサイト担当者をドキュメント化します。

法律で特に制限されていない限り、このログを最低3ヶ月間保管してください。

バツ Genesysオフィス 範囲外ではありません。さらに Genesys カード会員データを保存しません。
9.5 すべてのメディアを物理的に保護する バツ Genesysオフィス 範囲外ではありません。さらに Genesys カード会員データを保存しません。
9.5.1 メディアのバックアップを安全な場所、できれば代替サイトやバックアップサイトなどのオフサイト施設、または商業用の保管施設に保管します。少なくとも年に一度、場所のセキュリティを確認してください。 バツ Genesysオフィス 範囲外ではありません。
9.6 次のようなあらゆる種類のメディアの内部または外部への配布に対する厳密な管理を維持します。 バツ Genesysオフィス 範囲外ではありません。
9.6.1 データの機密性を判断できるようにメディアを分類します。 バツ Genesysオフィス 範囲外ではありません。
9.6.2 正確に追跡できる安全な宅配便またはその他の配達方法でメディアを送付してください。 バツ Genesysオフィス 範囲外ではありません。
9.6.3 セキュリティで保護された場所から移動したすべてのメディアを管理者が承認するようにします(メディアが個人に配布される場合を含む)。 バツ Genesysオフィス 範囲外ではありません。
9.7 メディアの保管とアクセス可能性に対する厳密な管理を維持します。 バツ Genesysオフィス 範囲外ではありません。
9.7.1 すべてのメディアのインベントリログを適切に維持し、少なくとも年1回メディアインベントリを実施します。 バツ Genesysオフィス 範囲外ではありません。
9.8 以下のように、ビジネス上または法律上の理由でメディアが不要になった場合は、メディアを破棄します。 バツ Genesysオフィス 範囲外ではありません。
9.8.1 カード会員データを再構築できないように、ハードコピー素材を細断、焼却、またはパルプ化します。破壊されることになっている材料のために使用される安全な保管容器。 バツ Genesysオフィス 範囲外ではありません。
9.8.2 カード会員データを復元できないように、電子媒体上のカード会員データを回復不能にします。 バツ Genesysオフィス 範囲外ではありません。
9.9 カードとの直接の物理的なやり取りによってペイメントカードのデータをキャプチャするデバイスを改ざんや代用から保護します。 バツ PureCloud カード存在デバイスを使用しません。

9.9.1 デバイスの最新リストを保守してください。リストには次のものが含まれています。

  • 機器の機種、型式を作ります。
  • デバイスの場所(たとえば、デバイスが配置されているサイトまたは施設のアドレス)。
  • 装置のシリアル番号またはその他の固有の識別方法。
バツ PureCloud カード存在デバイスを使用しません。
9.9.2 デバイス表面を定期的に検査して、改ざん(たとえば、デバイスへのカードスキマーの追加)、または置き換え(たとえば、シリアル番号または他のデバイス特性を調べて、それが不正なデバイスと交換されていないことを確認する) バツ PureCloud カード存在デバイスを使用しません。

9.9.3 デバイスの改ざんまたは交換の試みを認識するように、担当者にトレーニングを提供します。トレーニングには次のものを含める必要があります。

  • デバイスを変更またはトラブルシューティングするためのアクセスを許可する前に、修理担当者またはメンテナンス担当者であると主張する3人目の担当者の身元を確認してください。
  • 確認なしにデバイスを設置、交換、返却しないでください。
  • デバイス周辺の不審な動作(たとえば、未知の人がデバイスのプラグを抜いたり開いたりしようとする試み)に注意してください。
  • 不審な行動やデバイスの改ざんまたは代替の兆候を適切な担当者に報告する(たとえば、マネージャやセキュリティ担当者など)。
バツ PureCloud カード存在デバイスを使用しません。
9.10 カード会員データへの物理的アクセスを制限するためのセキュリティポリシーおよび運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ バツ Genesys オフィスは対象外です。さらに、PureCloudはカード会員データを保存しません。


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
10.1 監査証跡を実装して、システムコンポーネントへのすべてのアクセスを各個々のユーザーにリンクさせます。 バツ
10.2 次のイベントを再構築するために、すべてのシステムコンポーネントに対して自動監査証跡を実装します。 バツ
10.2.1 すべての個人ユーザーがカード会員データにアクセスします。 バツ
10.2.2 rootまたは管理者特権を持つ個人が行ったすべての処置。 バツ
10.2.3 すべての監査証跡へのアクセス バツ
10.2.4 無効な論理アクセス試行 バツ
10.2.5 新しいアカウントの作成や特権の昇格など、識別および認証メカニズムの使用と変更、およびroot特権または管理特権を持つアカウントに対するすべての変更、追加、または削除。 バツ
10.2.6 監査ログの初期化、停止、または一時停止 バツ
10.2.7 システムレベルのオブジェクトの作成と削除 バツ
10.3 各イベントのすべてのシステムコンポーネントについて、少なくとも次の監査証跡エントリを記録します。 バツ
10.3.1 ユーザー識別 バツ
10.3.2 イベントの種類 バツ
10.3.3 日時。 バツ
10.3.4 成功または失敗の兆候 バツ
10.3.5 イベントの起源 バツ
10.3.6 影響を受けるデータ、システムコンポーネント、またはリソースのIDまたは名前。 バツ
10.4 時刻同期テクノロジを使用して、すべての重要なシステムクロックと時刻を同期させ、時刻の取得、配信、および保存のために以下が実装されていることを確認します。 バツ
10.4.1 重要なシステムには、正確で一貫した時間があります。 バツ
10.4.2 時間データは保護されています。 バツ
10.4.3 時間設定は業界で認められている時間ソースから受信されます。 バツ
10.5 監査証跡を保護して、変更できないようにします。 バツ
10.5.1 監査証跡の表示を仕事に関連するニーズのある人に限定します。 バツ
10.5.2 不正な変更から監査証跡ファイルを保護します。 バツ
10.5.3 監査証跡ファイルを集中ログサーバーまたは変更が困難なメディアに速やかにバックアップします。 バツ
10.5.4 外部向けテクノロジのログを、安全で集中管理された内部ログサーバーまたはメディアデバイスに書き込みます。 バツ
10.5.5 ログに対してファイルの整合性監視または変更検出ソフトウェアを使用して、アラートを生成せずに既存のログデータを変更できないようにします(新しいデータを追加してもアラートは発生しません)。 バツ
10.6 すべてのシステムコンポーネントのログとセキュリティイベントを確認して、異常または疑わしい活動を特定します。 バツ
10.6.1 少なくとも毎日、以下を確認してください。
  • すべてのセキュリティイベント
  • CHDおよび/またはSADを保存、処理、または送信するすべてのシステムコンポーネントのログ。
  • すべての重要なシステムコンポーネントのログ
  • セキュリティ機能を実行するすべてのサーバーおよびシステムコンポーネントのログ(たとえば、ファイアウォール、侵入検知システム/侵入防止システム(IDS / IPS)、認証サーバー、電子商取引リダイレクトサーバーなど)。
バツ
10.6.2 組織の年次リスク評価によって決定されるように、組織のポリシーおよびリスク管理戦略に基づいて、他のすべてのシステムコンポーネントのログを定期的に確認します。 バツ
10.6.3 レビュープロセス中に特定された例外と異常をフォローアップします。 バツ
10.7 監査証跡の履歴を少なくとも1年間保持し、分析にすぐに使用できるようにします(オンライン、アーカイブ、バックアップからの復元など)。 バツ
10.8 サービス提供者のみの追加要件:重要なセキュリティ管理システムの障害をタイムリーに検出および報告するためのプロセスを実装します。
  • ファイアウォール
  • IDS / IPS
  • FIM
  • ウイルス対策
  • 物理アクセス制御
  • 論理アクセス制御
  • 監査ログ記録メカニズム
  • セグメンテーションコントロール(使用されている場合)
バツ
10.8.1 サービスプロバイダのみの追加要件:重要なセキュリティ管理策の失敗にタイムリーに対応する。セキュリティ管理策の失敗に対応するためのプロセスは以下を含まなければならない:
  • セキュリティ機能を復元します。
  • セキュリティ障害の期間(開始日時から終了日時まで)を識別してドキュメント化します。
  • 根本原因を含む障害の原因を特定しドキュメント化し、根本原因に対処するために必要な是正をドキュメント化する。
  • 障害発生時に発生したセキュリティ問題を特定して対処します。
  • セキュリティの失敗の結果として、さらなる措置が必要かどうかを判断するためのリスク評価を実行します。
  • 失敗の原因が再発するのを防ぐためのコントロールを実装する。
  • セキュリティ管理策の監視を再開します。
バツ
10.9 ネットワークリソースとカード会員データへのすべてのアクセスを監視するためのセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
11.1 ワイヤレスアクセスポイントの存在をテストするプロセス(802.11)を実装し、すべての承認および未承認のワイヤレスアクセスポイントを四半期ごとに検出および識別します。 バツ PureCloud 範囲内のワイヤレスデバイスはありません。
11.1.1 ドキュメント化された業務上の理由を含む、承認されたワイヤレスアクセスポイントの一覧を維持します。 バツ PureCloud 範囲内のワイヤレスデバイスはありません。
11.1.2 不正なワイヤレスアクセスポイントが検出された場合には、インシデント対応手順を実施してください。 バツ PureCloud 範囲内のワイヤレスデバイスはありません。
11.2 内部および外部ネットワークの脆弱性スキャンを少なくとも四半期に1回、およびネットワークの大幅な変更(新しいシステムコンポーネントのインストール、ネットワークトポロジの変更、ファイアウォールルールの変更、製品のアップグレードなど)の後に実行します。 バツ バツ セキュア一時停止 カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。
11.2.1 四半期ごとに社内の脆弱性スキャンを実行します。脆弱性に対処し、すべての「高リスク」脆弱性がエンティティの脆弱性のランク付けに従って解決されることを確認するために再スキャンを実行する(要件6.1に従って)。スキャンは有資格者によって実行される必要があります。 バツ バツ セキュア一時停止 カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。
11.2.2 ペイメントカード業界セキュリティ基準審議会(PCI SSC)によって承認された承認済みスキャンベンダー(ASV)を介して、四半期ごとに外部の脆弱性スキャンを実行します。合格スキャンが達成されるまで、必要に応じて再スキャンを実行します。 バツ
11.2.3 大幅な変更がある場合は、内部および外部のスキャンを実行し、必要に応じて再スキャンします。スキャンは有資格者によって実行される必要があります。 バツ バツ セキュア一時停止 カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。
11.3 以下を含む侵入テストの方法論を実装します。
  • 業界で認められている侵入テスト手法に基づいています(たとえば、NIST SP800-115)。
  • CDEの境界全体と重要なシステムを網羅しています。
  • ネットワークの内外からのテストが含まれます。
  • セグメンテーションおよびスコープ縮小コントロールを検証するためのテストが含まれています。
  • 少なくとも要件6.5に記載されている脆弱性を含むように、アプリケーション層の侵入テストを定義します。
  • ネットワーク機能とオペレーティングシステムをサポートするコンポーネントを含むように、ネットワーク層の侵入テストを定義します。
  • 過去12か月間に発生した脅威と脆弱性の確認と検討
  • 侵入テストの結果と修復アクティビティの結果の保持を指定します。
バツ
11.3.1 少なくとも年1回、重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更(オペレーティングシステムのアップグレード、環境に追加されたサブネットワーク、または環境に追加されたWebサーバーなど)の後に、外部侵入テストを実行します。 バツ バツ セキュア一時停止 カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。
11.3.2 少なくとも年1回、重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更(オペレーティングシステムのアップグレード、環境に追加されたサブネットワーク、または環境に追加されたWebサーバーなど)の後に内部侵入テストを実行します。 バツ バツ セキュア一時停止 カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。
11.3.3 侵入テストで発見された悪用可能な脆弱性は修正され、修正内容を検証するためにテストが繰り返されます。 バツ
11.3.4 セグメンテーションを使用してCDEを他のネットワークから分離する場合は、少なくとも年1回、およびセグメンテーション制御/方法の変更後にペネトレーションテストを実行して、セグメンテーション方法が運用上有効であることを確認します。 CDE バツ バツ セキュア一時停止 カスタマーは、オンサイトのEdgeデバイスの脆弱性スキャンと侵入テストを実行する必要があります。
11.3.4.1 サービスプロバイダのみの追加要件:セグメンテーションが使用されている場合は、少なくとも6カ月ごとに、およびセグメンテーションコントロール/方法の変更後に、セグメンテーションコントロールで侵入テストを実行して、PCI DSSの範囲を確認してください。 バツ

11.4 ネットワークへの侵入を検出または防止するには、侵入検知や侵入防止のテクニックを使用します。カード会員データ環境の境界およびカード会員データ環境の重要なポイントですべてのトラフィックを監視し、侵害の疑いがあることを担当者に警告します。

すべての侵入検知および防止エンジン、ベースライン、およびシグニチャを最新の状態に保ちます。

バツ
11.5 重要なシステムファイル、構成ファイル、またはコンテンツファイルの不正な変更(変更、追加、削除など)について担当者に警告するための変更検出メカニズム(ファイル整合性監視ツールなど)を展開します。少なくとも週に1回、重要なファイルの比較を実行するようにソフトウェアを設定します。 バツ
11.5.1 変更検出ソリューションによって生成されたアラートに対応するためのプロセスを実装します。 バツ
11.6 セキュリティの監視とテストに関するセキュリティポリシーと運用手順がドキュメント化され、使用され、影響を受けるすべての関係者に知られていることを確認します。 バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
12.1 セキュリティポリシーを確立し、公表し、維持し、そして広める。 バツ
12.1.1 セキュリティポリシーを少なくとも年1回見直し、環境が変化したときにポリシーを更新します。 バツ
12.2 以下のリスクアセスメントプロセスを実施する。
  • 少なくとも年1回、環境の大幅な変更(買収、合併、移転など)が発生したときに実行されます。
  • 重要な資産、脅威、および脆弱性を特定します。
  • 正式にドキュメント化されたリスク分析が行われます。
バツ
12.3 重要なテクノロジの使用ポリシーを作成し、これらのテクノロジの適切な使用方法を定義します。 バツ
12.3.1 許可当事者による明示的な承認。 バツ
12.3.2 この技術を使用するための認証。 バツ
12.3.3 アクセス権を持つすべてのそのようなデバイスおよび担当者のリスト。 バツ
12.3.4 所有者、連絡先情報、および目的(たとえば、デバイスのラベル付け、コーディング、および/またはインベントリ)を正確かつ容易に決定するための方法。 バツ
12.3.5 技術の許容される用途 バツ
12.3.6 テクノロジに許容されるネットワークの場所。 バツ
12.3.7 会社が承認した製品のリスト。 バツ
12.3.8 一定時間操作がないと、リモートアクセステクノロジのセッションが自動的に切断されます。 バツ
12.3.9 ベンダおよびビジネスパートナが必要とする場合に限り、ベンダおよびビジネスパートナのリモートアクセステクノロジを有効化し、使用後すぐに無効化する。 バツ

12.3.10 リモートアクセステクノロジを介してカード会員データにアクセスする担当者が、定義された業務上の必要性について明示的に許可されている場合を除き、カード会員データのローカルハードドライブおよびリムーバブル電子メディアへのコピー、移動、保存

許可されたビジネス上のニーズがある場合、使用ポリシーでは、該当するすべてのPCI DSS要件に従ってデータを保護することを要求する必要があります。

バツ
12.4 セキュリティポリシーと手順が、すべての人員に対する情報セキュリティの責任を明確に定義していることを確認してください。 バツ

12.4.1 サービスプロバイダのみの追加要件:経営幹部は、カード会員データの保護およびPCI DSSコンプライアンスプログラムに対する責任を定め、以下を含めるものとします。

  • PCI DSSコンプライアンスを維持するための全体的な説明責任。
  • PCI DSSコンプライアンスプログラムの憲章と経営幹部への連絡を定義する。
バツ
12.5 次の情報セキュリティ管理責任を個人またはチームに割り当てます。 バツ
12.5.1 セキュリティポリシーと手順を確立、ドキュメント化、および配布する。 バツ
12.5.2 セキュリティの警告と情報を監視および分析し、適切な担当者に配布します。 バツ
12.5.3 セキュリティインシデント対応およびエスカレーション手順を確立、ドキュメント化、および配布して、あらゆる状況に対してタイムリーかつ効果的に対処するようにします。 バツ
12.5.4 追加、削除、および変更を含むユーザーアカウントを管理します。 バツ
12.5.5 データへのすべてのアクセスを監視および制御します。 バツ
12.6 正式なセキュリティ意識向上プログラムを実施して、すべての担当者にカード会員データのセキュリティ方針と手順を認識させる。 バツ
12.6.1 採用時および少なくとも年1回、要員を教育する。 バツ
12.6.2 セキュリティポリシーと手順を読んで理解したことを少なくとも年1回確認するよう要員に要求します。 バツ
12.7 内部ソースからの攻撃のリスクを最小限に抑えるために、採用する前に潜在的な要員を選別します。(バックグラウンドチェックの例としては、過去の雇用歴、犯罪歴、与信履歴、参照チェックなどがあります)。 バツ
12.8 次のように、カード会員データが共有されている、またはカード会員データのセキュリティに影響を与える可能性があるサービスプロバイダを管理するためのポリシーと手順を維持および実装します。 バツ
12.8.1 提供されるサービスの説明を含むサービスプロバイダのリストを管理します。 バツ
12.8.2 サービスプロバイダが所有する、または顧客に代わって保存、処理、または送信する、あるいは顧客のセキュリティに影響を与える可能性がある範囲でのカード会員データのセキュリティに対するサービスプロバイダの責任カード会員データ環境 バツ
12.8.3 エンゲージメントの前に適切なデューデリジェンスを含む、サービスプロバイダーをエンゲージするための確立されたプロセスがあることを確認します。 バツ
12.8.4 サービスプロバイダのPCI DSSコンプライアンスステータスを少なくとも年1回監視するプログラムを維持してください。 バツ
12.8.5 どのPCI DSS要件が各サービスプロバイダによって管理され、どれがエンティティによって管理されるかについての情報を維持します。 バツ
12.9 サービス提供者のみの追加要件:サービス提供者は、サービス提供者が所有する、またはそうでなければ顧客に代わって、または影響を与える可能性がある範囲で保存、処理、送信する顧客のカード会員データ環境のセキュリティ。 バツ
12.10 インシデント対応計画を実施する。システム違反にすぐに対応する準備をしてください。 バツ

12.10.1 システム違反が発生した場合に実施するインシデント対応計画を作成します。計画が少なくとも次の事項に対処していることを確認してください。

  • 最低でもペイメントブランドの通知など、妥協があった場合の役割、責任、およびコミュニケーションおよび連絡先の戦略。
  • 特定のインシデント対応手順
  • 事業の回復と継続手順
  • データバックアッププロセス
  • 妥協を報告するための法的要件の分析。
  • すべての重要なシステムコンポーネントの対象範囲と対応
  • ペイメントブランドからのインシデント対応手順の参照または組み込み。
バツ
12.10.2 少なくとも年1回、要件12.10.1に記載されているすべての要素を含め、計画を見直してテストします。 バツ
12.10.3 アラートに対応するために24時間365日体制で対応できるように特定の担当者を指定します。 バツ
12.10.4 セキュリティ違反対応の責任を持つスタッフに適切なトレーニングを提供します。 バツ
12.10.5 侵入検知、侵入防止、ファイアウォール、ファイル整合性監視システムなど、セキュリティ監視システムからの警告を含めます。 バツ
12.10.6 学んだ教訓に従ってインシデント対応計画を修正および発展させ、業界の発展を取り入れるプロセスを開発する。 バツ
12.11 サービスプロバイダのみの追加要件:要員がセキュリティポリシーおよび運用手順に従っていることを確認するために、少なくとも四半期に1回レビューを実行します。レビューは以下のプロセスをカバーしなければなりません:
  • 毎日のログレビュー
  • ファイアウォールルールセットレビュー
  • 新しいシステムへの構成標準の適用
  • セキュリティ警告への対応
  • 変更管理プロセス
バツ

12.11.1 サービス提供者のみの追加要件:四半期レビュープロセスのドキュメントを次のように維持します。

  • レビュー結果のドキュメント化
  • PCI DSSコンプライアンスプログラムに対する責任を割り当てられた担当者による結果の確認および承認。
バツ


PCI DSSの要件 該当なし PureCloud カスタマー 機能 メモ
A1 A1.1からA1.4に従って、各エンティティ(つまり、マーチャント、サービスプロバイダ、またはその他のエンティティ)がホストする環境とデータを保護します。
ホスティングプロバイダは、これらの要件およびPCI DSSの他のすべての関連セクションを満たす必要があります。
バツ
A1.1 各エンティティがそのエンティティのカード会員データ環境にアクセスできるプロセスのみを実行するようにしてください。 バツ
A1.2 各エンティティのアクセスと特権を、それ自身のカード会員データ環境のみに制限します。 バツ
A1.3 ログ記録と監査証跡が有効になっており、各事業体のカード会員データ環境に固有であり、PCI DSS要件10と一致していることを確認します。 バツ
A1.4 ホスティングされているマーチャントまたはサービスプロバイダーに危害が及んだ場合に、プロセスがタイムリーなフォレンジック調査を提供できるようにする バツ