Visa、加盟店などにPCI DSSの順守期限を設定：報告書未提出なら罰金も

Visaは、加盟店やサービスプロバイダがクレジットカード情報のセキュリティ基準「PCI DSS」を順守すべき期限を設定した。

[ITmedia]

　米Visaは11月13日、加盟店やサービスプロバイダを対象としたクレジットカード情報のセキュリティ基準「PCI DSS（Payment Card Industry Data Security Standard）」の順守期限日を発表した。大手加盟店の期限日は2010年9月30日としている。

　同期限は、Visaカード取扱店や取引情報の通信サービスなど手掛けるプロバイダなどが対象。期限日のほか、取引件数に応じてVisaに提出する報告書や証明書の内容を規定している。

　加盟店向けには、システムの脆弱性検査の実施や順守報告書の提出、取引完了後に機密情報を保持していないことを証明する報告書などの提出を義務付けている。サービスプロバイダ向けには、システムの脆弱性検査の実施や順守報告書の提出を求めている。

　期限日は3段階で設定され、サービスプロバイダが順守内容を実施する期限を2009年2月1日、年間取引件数が100〜600万件の加盟店が保管禁止対象データを保有していないことを証明する期限を同年9月30日、取引件数が年間600万件以上の加盟店および伝送処理件数が同30万件以上のプロバイダ（レベル1）がPCI DSSを完全順守する期限を2010年9月30日とした。レベル1加盟店が順守証明を提出しなかった場合は罰金が科せられる場合もある。

　アジア太平洋地区リスク管理統括者のマイク・スミス氏は、「PCI DSSの順守は、世界的な決済システムの統一性の実現とカード会員の情報保護に不可欠だ」とリリースの中でコメントしている。

加盟店の順守要件

レベル	加盟店の基準	順守要件
1	Visaカードの取引件数が年間600万件を越える加盟店（全チャネル）、もしくはVisaの特定の地域2でレベル1と認定される加盟店	認定セキュリティ評価ベンダー（QSA）作成の年次順守報告書（ROC）、認定脆弱性スキャニングベンダー（ASV）による四半期脆弱性スキャン、順守証明書
2	Visaカードの取引件数が年間100万件以上、600万件の加盟店（全チャンネル）	年次自己問診（SAQ）、ASVによる四半期脆弱性スキャン、順守証明書
3	VisaカードのEC取引件数が年間2万件以上、100万件以下の加盟店	年次自己問診、ASVによる四半期脆弱性スキャン、順守証明書
4	Visaカードのeコマース取引件数が年間2万件未満の加盟店およびVisa取引件数が年間100万件未満のその他すべての加盟店	年次自己問診（推奨）、ASVによる四半期脆弱性スキャン（適合する場合）、カード会社が設定した順守バリデーション要件

サービスプロバイダの順守要件

レベル	全地域	順守要件	結果
1	取引の保管、処理もしくは伝送件数が年間30万件を超えるVisaNetプロセサ（データ処理事業者）、もしくはサービスプロバイダ	QSA作成の年次順守報告書、ASVの四半期脆弱性スキャン、順守証明書	順守サービスプロバイダのVisaリストに登載される
2	取引の保管、処理もしくは伝送件数が年間30万件以下のサービスプロバイダ	年次SAQ、ASVの四半期脆弱性スキャン、順守証明書	順守サービスプロバイダのVisaリスト／受領の確認書に登載されない

過去のセキュリティニュース一覧はこちら