PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
PCI DSS準拠から学ぶサステナブルなAWSクラウドネイティブの運用 / Sustainable PCIDSS operation on AWS
PCI DSS対応 AWS 上の踏み台サーバーでの操作ログ取得、MFA、アイドルタイムアウトを実現 | DevelopersIO
PCI DSS に対応すべく Linux サーバーの操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな ネクストモード株式会社 の吉井です。 AWS 上の踏み台サーバー (ここでは Amazon Linux 2 を想定しています) での操作履歴を S3 へ保存する、ログイン時に MFA を使用する、アイドルタイムアウトを実装する方法を紹介します。 PCI DSS の関連して以下のような要件があり、これを実現するために考えた方法です。 ssh ログインは Google Authenticator を利用した二要素認証にしたい ssh ログイン後の操作ログ(コマンドログ)を保管したい 踏み台サーバーから更に業務サ
こんにちは、開発統括室ペイメントシステム課マネージャーの戸田です。 前回 、決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介いたしましたが、このPCI DSSはバージョンによって要件が多少異なっております。 現在弊社はバージョン3.2.1に準拠しておりますが、PCI DSS自体は2022年3月にバージョン4.0にメジャーバージョンアップされました。 今回はバージョン4.0リリースの影響と我々の取り組みについて少しご紹介したいと思います。 バージョン3.2.1とバージョン4.0について 主な変更点 機密認証データの扱い 暗号化 フィッシング攻撃への対策 公開用WebアプリケーションへのWAF導入 決済ページスクリプトの管理 パスワード関連 カード会員データ環境へのアクセスのMFA実装 監査ログレビュー 内部脆弱性スキャン リスク分析 バージョン4.0に向けた取り組み バー
こんにちは、岩城です。 PCI DSS 勉強会シリーズです。 先日、社外の方(とある QSA (認定審査機関)の中の方たち)とクローズドな PCI DSS 勉強会が行われました。今回の勉強会の目的は、「PCI DSS の要件1:安全なネットワークの構築と維持」に関連する AWS のネットワークアクセス制御機能を理解することでした。本エントリでは、勉強会で利用した資料とディスカッションの内容を共有したいと思います。 合わせて弊社中山によるネットワークアクセス制御の設定を管理する方法もご確認ください。 【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) 目次 資料 勉強会内容 本日のゴール AWS における以下のネットワークアクセス制御機能の理解を目指します。 ネットワークアクセス制御 ルートテーブル セキュリティグループ ネット
2021年2月19日8:00 IDと決済基盤を集約した次世代のシステムを構築 ミクシィのID・ペイメント事業部では、IDや決済を活用するシーンがあると見込み、AmazonのAWS(アマゾンウェブサービス)を活用してサーバレスアーキテクチャを活用した決済システム、アプリケーション基盤を構築している。すでにPCI DSSに準拠したシステムとして、イシュイングではウォレットサービス「6gram」、プロバイダ事業ではスポーツギフティングサービス「Unlim」と競輪ライブエンターテインメント「TIPSTAR」で同システムを活用しており、新規のプロダクトを中心に順次利用を拡大している。 左からミクシィ 次世代エンターテインメント事業本部 ID・ペイメント事業部 システムグループ マネージャー 田岡文利氏、同部 橋本広大氏 決済とIDを軸とした基盤を構築 イシュイングとプロセッシング事業で準拠 ミクシィ
【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました | DevelopersIO
どーも、PCI DSS初心者の中山(順)です。 先日、社外の方(とあるQSA(認定審査機関)の中の方たち)とAWSのセキュリティ機能を勉強するクローズドな会を実施しました。 せっかくなので、その際の資料をこちらで共有したいと思います。 併せて、PCI DSSの概要についてもご紹介します。 これからPCI DSSの認証取得/準拠を考えている方、もしくは認証取得まではしないがそれに準じた対策を考えている方に読んで頂けると幸いです。 そもそもPCI DSSとは? PCI DSSとは、加盟店(店舗、ECサイトなど)やサービスプロバイダ(決済代行事業者など)において、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。 PCI DSSとは なぜ認証を取得するのか 昨今、様々な企業においてクレジットカード情報の漏洩事故が発生していることは皆さ
【資料公開】PCI DSSの認証認可に関する要件とそのための実装を学ぶ勉強会をやりました(インフラ編) | DevelopersIO
中山(順)です 今回もPCI DSSに関する勉強会の続きです。 【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編 【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) 今回はその続きとして、認証認可をテーマに勉強会を実施しました。 参加メンバーは引き続き弊社AWS事業本部コンサルティング部のメンバー + とあるQSAの皆様です。 IAMによるデータへのアクセス制御については、弊社臼田が担当しました。 【資料公開】PCI DSSにおけるIAMデータアクセス 私はAWSのレイヤーにおける認証
【資料公開】PCI DSSのネットワークアクセス制御に関する要件とそのための実装を学ぶ勉強会をやりました(管理編) | DevelopersIO
中山(順)です 先日、PCI DSSにおけるパッチ管理をテーマにした勉強会を実施しました。 【資料公開】PCI DSSの認証取得を目指す方へ!AWSの利用を前提としたパッチ管理について考えるクローズドな勉強会をやりました PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 今回はその続きとして、ネットワークアクセス制御をテーマに勉強会を実施しました。 勉強会はテーマに関連するAWSの機能を解説し、その後ディスカッションする(AWSの機能が要件の充足にどの程度寄与しそうか、など)という流れで実施しました。 参加メンバーは前回と同様に弊社AWS事業本部コンサルティング部のメンバー + とあるQSAの皆様です。 ネットワークアクセス制御自体の解説については、弊社岩城が担当しました。 【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 AWS 上で決済系システムを稼働させることはすでに珍しくありません。 今後も事例は伸びていくと想像します。 AWS で稼働させることのメリットは多くありますが、一番のメリットは 高セキュリティ だと考えています。 物理セキュリティはデータ-センター事業社のなかでもトップクラスの堅牢さではないでしょうか。 PCI DSS 要件9 「カード会員データへの物理アクセスを制限する」は AWS が取得している認定にオフロードすることが可能です。 論理セキュリティは決済事業社で担保する必要がありますが、AWS サービスをしっかり活用すればセキュアなシステムを構築可能です。 本エントリではその辺りを記述していきます。 ソース 公式が公開している情報を基に記述しています。
不正アクセスで最大約46万件のクレジットカード情報を漏洩させた可能性があると2022年2月に発表した決済代行会社のメタップスペイメントに対し、経済産業省は6月30日付で割賦販売法に基づく改善命令を出した。サイバー攻撃の被害者である同社に行政処分を下すという異例の措置だ。 メタップスペイメントによれば、攻撃者は2021年8月ごろから複数の手口を組み合わせて同社の決済システムに繰り返し侵入していた。最終的に2021年10月14日から2022年1月25日の間に使われたカードの番号と有効期限、セキュリティーコードを窃取した可能性がある。 直接の原因はセキュリティー対策の不備だが、第三者委員会の調査ではシステムの脆弱性診断の結果を改ざんして監査機関に提出していたなど、驚くべき事実も発覚している。背景には、ITガバナンスの欠如や人材不足、社内ルールが形骸化しやすい組織風土などがある。こうした状況は多く
ハードウェア目線で見るITインフラのセキュリティ対策(3) クレジットカードのセキュリティ基準「PCI DSS」準拠のプロセスを解説
近年、キャッシュレス決済は我々の生活に定着しつつあるが、残念ながらクレジットカードの不正利用やQRコード決済の不正アクセスなどのさまざまな手口のセキュリティインシデントが後を絶たない。不正アクセスによる情報漏洩は個人の財産を失わせ、企業としての信頼を大きく失墜させるため、キャッシュレス決済のさらなる促進にはセキュリティ対策は不可欠であり、もはや経営リスクとして取り組むべき課題である。 筆者は、数多くの金融決済インフラの導入提案を経験していることから、日本における決済市場の最新動向やクレジットカードのグローバルセキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)について、事業継続の視点で解説する。 国内のキャッシュレス決済はクレジットカードが8割 キャッシュレス推進協議会が2022年8月に公表した「キャッシュレス・ロ
[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO
Security Hub が PCI DSS バージョン 3.2.1 にあわせた自動セキュリティチェックをサポートするようになりました。 AWS Security Hub launches security checks aligned to the Payment Card Industry Data Security Standard これまで CIS ベンチマーク (CIS AWS Foundations Benchmark) に対応していた Security Hub ですが、今回のアップデートにより PCI DSS v3.2.1 の要件チェックできるわけですね。すばらしい。 14 サービス 32 要件に対するチェック 今回の自動セキュリティチェックでは 14 の AWS サービスで 32 の PCI DSS 要件に対して継続的なチェックを行うことで、PCI DSS セキュリティのア
![[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/dbe3f406587b5b6a944b210452de92d974859a3f/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-security-hub.png)
日本語版のホワイトペーパー公開: PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計 | Amazon Web Services
Amazon Web Services ブログ 日本語版のホワイトペーパー公開: PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計 AWS は、AWS クラウドで実行する Payment Card Industry (PCI) Data Security Standard (DSS) のワークロードの適用範囲を適切に定義するためのガイドとして、PCI DSS スコーピングおよび AWS 上でのセグメンテーションのためのアーキテクチャの設計の日本語版のホワイトペーパーを公開しました。このホワイトペーパーは、クラウドネイティブの AWS サービスを利用するスコープ内のリソースとスコープ外のリソース間のセグメンテーションの境界を定義する方法について説明しています。 このホワイトペーパーの対象読者は技術者とソリューション開発者ですが、認定審査機関 (
こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きな吉井 亮です。 最近 PCI DSS 要件をサポートするクラウドアーキテクチャを提案する案件に関わりました。 扱うデータがデータだけに細かいことを丁寧に実施していくべきと感じました。 そこで、なにをどうすれば「PCI DSS 要件をサポートしました」と言えるのかを AWS と Azure 利用を想定して参照する資料を調べてみました。 基本的な考え方 AWS にしても Azure にしてもセキュリティの責任分界が存在します。 その分界点を理解し自社がすべきことを正確に理解することが大切です。 クラウド事業者の責任範囲と定められている部分については、Attestation of Compliance (AOC) に依存することが可能です。 QSA がクラウド事業者のデータセン
www.meti.go.jp 金融系やっている人や決済周りやってる人なら常識かと思いますが、クレジットカード情報を扱うプラットフォームに関してはかなり厳しい規制があります。 https://ja.pcisecuritystandards.org/minisite/env2/ これの基準を満たしていることがクレジットカードを取り扱うシステムである最低条件になっているわけです。これすげーめんどくさいし、コストも掛かるんだけど、消費者を守るためだし、決済ネットワーク使わせてもらうことでサービスが提供できるんだからちゃんとやるの当たり前のことですよね。これちゃんとやらないってのはもう闇金業者みたいなもんですよ。 まあ、審査どうなっとんじゃいって話ではあるんだけど、審査って言ってもプラットフォームの設定を直接確認したりとかソースコードを直接確認したりとかまではしないわけで、求められている要件を「チッ
どうも!! ペイメントシステム課の川上です!! サブスクペイの中の人です!! 今回は、先日実施されたPCI DSSバージョン4の監査に参加した所感を書きます。 ちなみに私は、昨年サブスクペイにジョインするまでPCI DSSに関わったことはありませんでした。 ですので元シロウトなりに感じたことを綴りたいと思います。。。 PCI DSSってなんだっけ PCI DSSについては我らがボスが詳しく分かりやすく説明してくれています。 「PCI DSSなにそれおいしいの」状態の方は、まずはこちらをご覧いただければ幸いでございます(宣伝)。 tech.robotpayment.co.jp 備えよ常に ボスのブログでは「毎年監査を受け」ていることしか書かれていませんので、ここをもう少し掘り下げてみましょう。 PCI DSSに準拠するには、PCI SSC(PCI Security Standards Cou
[新サービス]PCI DSSなどの評価レポート作成が可能で監査を支援できるAWS Audit Managerが発表されたので使ってみた | DevelopersIO
こんにちは、臼田です。 みなさん、AWS環境の監査してますか?(挨拶 現在行われているre:Invent 2020で監査に非常に役に立つ新サービスであるAWS Audit Managerがリリースされたので説明しつつ、実際に使ってみましたので中身も紹介していきます! AWS Audit Managerとは 以下で紹介されました。 AWS Audit Manager Simplifies Audit Preparation | AWS News Blog AWS Audit Managerは次のように説明されています。 一般的な業界標準と規制のための事前構築されたフレームワークを提供し、監査の準備に役立つ証拠の継続的な収集を自動化するフルマネージドサービスです。 例えばPCI DSSやGDPR、HIPAAなどの様々な業界標準や規制の対応のためには、様々なAWSリソースの利用状況を収集してまと
![[新サービス]PCI DSSなどの評価レポート作成が可能で監査を支援できるAWS Audit Managerが発表されたので使ってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3edcaae02af8458d46e548f831db1c0325b7525e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2020%2F12%2Faws_audit_manager_reinvent2020_1200_630.jpg)
近年、クラウド環境を利用してシステムを構築する企業が急増しています。中でもパブリッククラウドサービスとしていち早く開始されたAWS(Amazon Web Services)はトップシェアを誇っており、AWSを利用している企業や今後移行を検討している企業も多いかと思います。 クレジットカードに関するセキュリティの国際基準であるPCI DSSもそうした変化の影響を受けており、2022年3月にリリースされた最新バージョンであるv4.0では、クラウド環境に柔軟に対応することを意図した要件が多数見受けられました。 AWS環境でPCI DSSに準拠する場合、AWSの提供する各種サービスをうまく活用することで、要件への対応を効率的に実施することが可能です。一方で、デフォルト設定で運用するだけでは要件を満たせないサービスも多く、その設定値や運用方法についてはユーザ側で正しく理解しておくことが重要です。 そ
PCI DSS のセグメンテーションテストに VPC Reachability Analyzer を使う - カンムテックブログ
カンムでバンドルカードのバックエンドやインフラを担当している summerwind です。 バンドルカードはスマホ上で Visa のプリペイドカードを発行して決済に使える機能を提供しているため、クレジットカードのデータを安全に取扱うことを目的として策定された、クレジットカード業界のセキュリティ基準である PCI DSS に準拠しています。 PCI DSS にはセキュリティ基準として様々な要件が定義されており、中には次のようなものがあります。 11.3.4.1 Additional requirement for service providers only: If segmentation is used, confirm PCI DSS scope by performing penetration testing on segmentation controls at least ev
こんにちは、ペイメント事業部システム課マネージャーの戸田です。 今回はサブスクペイのシステム基盤である決済システムの開発・構築・運用に深く関わるPCI DSSについて紹介します。 PCI DSSとは 要件ごとのPCI DSS対応状況 要件1、2 安全なネットワークとシステムの構築と維持 要件3、4 カード会員データの保護 要件5、6 脆弱性管理プログラムの維持 要件7、8、9 強力なアクセス制御手法の導入 要件10、11 ネットワークの定期的な監視およびテスト 要件12 情報セキュリティポリシーの維持 今後の課題 まとめ PCI DSSとは まずPCI DSSとは何かご存じでしょうか? 簡単にご説明すると、クレジットカード情報を安全に取り扱うことを目的として策定された、クレジットカード業界のセキュリティ基準となります。 詳しくはPCI SSCや日本カード情報セキュリティ協議会などのドキュメ
PCI DSS要件のある環境で自己管理の内部診断としてAmazon Inspectorを活用する方法 | DevelopersIO
こんにちは、臼田です。 AWSには様々なサービスがあり、オンプレミス基盤でやっていたPCI DSS要件への対応についてを任せられるサービスも沢山あります。 それぞれのサービスは、AWSから提供される時点でプラットフォームとしてのPCI DSS等各種監査基準をクリアしており、そのためのインフラを管理しなくていいことも魅力です。 今回はそんな中で内部脆弱性診断の仕組みとして利用できるAmazon Inspectorについて、とあるQSAとディスカッションしてきた知見をベースに、使い方や実環境での活用方法をまとめます。※QSA(Qualified Security Assessors:認定セキュリティ評価機関, PCISSCに認定されたセキュリティ監査企業のこと) Amazon Inspectorとは 概要 Amazon Inspectorは一言で言うと脆弱性診断のサービスです。 AWS上でユー
Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯レポート #finjaws #jawsug | DevelopersIO
こんにちは、臼田です。 Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯 が開催されましたのでレポート致します。 【オンライン開催!】Fin-JAWS 第13回 PCI DSS と AWS の混ぜご飯 - connpass 今回はYoutube Liveのリモート配信に参加しました。 動画が公開されたので追記します! レポート AWSのPCI DSSへの取り組みと押さえておきたい耳寄り情報 アマゾン ウェブ サービス ジャパン 中島 智広さん はじめに PCI DSSが改めて着目されている背景 いろんなイノベーションが起きている 裏でクレジットカードと連携しているサービスも多い クレジットカードを扱うときに必要な基準がPCI DSS 経産省・金融庁からも準拠するように言われている PCI DSSに準拠・維持する際の課題 準拠・維持の負荷がある PCI DSSに準拠している
はじめに この記事はトピック「Azure上でセキュアなアプリケーションを作るベストプラクティス」の中の一記事となります。 例として PCI DSS の要件を取り上げており、それぞれの要件と Azure での実装を解説していきます。 本稿では、PCI DSS を紹介するとともに、Azure のテクノロジーを使って、どのように対応していくか、トピック内記事を読むためのアウトラインを紹介します。 PCI DSS 3.2 の概要 PCI データセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)は、 クレジットカード情報および取り引き情報を保護するために 2004 年 12 月、JCB・American Express・Discover・マスターカード・VISA の国際ペイメントブランド 5 社が共同で策定した、クレジ
クレジットカード会員情報の保護を目的とした国際統一基準であるPCI DSSに関して、新しいメジャーバージョンのPCI DSS v4.0が2022年3月にリリースされた。PCI DSS v3.0(2013年11月リリース)から約8年ぶりとなるメジャーバージョンアップである。 これまでのPCI DSSの軸となる12区分からなる要件を踏襲しつつも、これまでのベースラインの考え方に加えリスクベースの考え方も追加された点や、クラウドやマルチテナント等への昨今のシステム環境変化に対応した点が主なアップデートとなっている。 本稿では、PCI DSS v4.0準拠までのタイムラインや、主な変更要件、またそれに対する対応方針について解説する。 ▶「3Dセキュアを導入するためのセキュリティ基準」をダウンロードする PCI DSS v4.0準拠までのタイムラインについて PCI DSSを発行している、PCI S
PCI DSS v4.0が公開されました
2013年にリリースされたv3.0から約8年ぶりのメジャーバージョンアップとしてPCI DSS v4.0が2022年3月31日に公開されました。 PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を保護するために、国際ペイメントブランド5社(JCB・American Express・Discover・マスターカード・VISA)が共同で策定したクレジット業界におけるグローバルセキュリティ基準です。 上記URLから以下のドキュメントの入手が可能です(日本語版の公開日は未定)。 英語苦手な方はPDFをダウンロードしてadobeでwordに変換、Wordの翻訳機能で翻訳すればざっと内容は把握できると思います。 PCI DSS v4.0 PCIDSSv3.2.1からv4.0への変更の概要 PCI DSS v4.0コンプラ
AWS における PCI DSS (Payment Card Industry Data Security Standard) コンプライアンスガイド
AWS における PCI DSS (Payment Card Industry Data Security Standard) 3.2.1 コンプライアンスガイド 2020 年 4 月 注意 お客様は、本文書に記載されている情報について、ご自身により評価を行う責任を負いま す。本文書は、(a) 情報提供のみを目的としており、(b) 現時点での AWS プロダクトおよび サービスについて説明するものであり、これらは予告なしに変更される可能性があり、(c) AWS およびその関連会社、サプライヤー、ライセンサーからの一切の確約や保証を行うも のではありません。AWS のプロダクトまたはサービスは、明示または黙示を問わずいかな る種類の保証、表明、条件も伴うことなく、「現状のまま」提供されます。お客様に対する AWS の責任は AWS 契約によって規定されています。また、本文書は、AWS とお客
PCI DSS v4.0 が 2021年公開、8 年ぶりのメジャーバージョンアップ ~ 改訂の 2 つの目的と移行スケジュール | fjコンサルティング株式会社
TOPお知らせPCI DSS v4.0 が 2021年公開、8 年ぶりのメジャーバージョンアップ ~ 改訂の 2 つの目的と移行スケジュール 新型コロナウィルスの感染拡大が続く中でも、ペイメントカードのデータセキュリティの国際基準となるPCI DSSの8年ぶりのメジャーバージョンアップ作業が2021年半ばに向けて進んでいる。PCI Security Standards Council(以下PCI SSC)アソシエイトダイレクターの井原亮二氏に、現在策定中のPCI DSS バージョン4(以下PCI DSS v4.0)について話を聞いた。(聞き手:fjコンサルティング株式会社 代表取締役CEO 瀬田陽介) 新型コロナウィルス(COVID-19)対応情報を特設ポータルサイトで提供 瀬田:本題に入る前に、世界中でCOVID-19感染拡大が続いていますが、PCI SSCでもCOVID-19対応特設ポ
Updated whitepaper available: Architecting for PCI DSS Segmentation and Scoping on AWS | Amazon Web Services
AWS Security Blog Updated whitepaper available: Architecting for PCI DSS Segmentation and Scoping on AWS Amazon Web Services (AWS) has re-published the whitepaper Architecting for PCI DSS Scoping and Segmentation on AWS to provide guidance on how to properly define the scope of your Payment Card Industry (PCI) Data Security Standard (DSS) workloads that are running in the AWS Cloud. The whitepaper
PCI DSS 準拠とは?12 の要件 | Stripe
PCI データセキュリティ基準 (PCI DSS) は、データセキュリティに対する最低基準を定めるものです。ここでは、PCI 準拠を維持するための手順や、Stripe のサポートについてご案内します。 2005 年以降、8,500 件を超えるデータ侵害により、110 億件以上の顧客の記録が漏洩しました。これは、2005 年にさかのぼって消費者に影響を与えたデータ侵害やセキュリティ侵害について報告している The Privacy Rights Clearinghouse からの最新の数値です。 消費者データの安全性と、決済エコシステムへの信頼を向上させるため、データセキュリティに対する最低基準が設けられました。Visa、MasterCard、アメリカン・エキスプレス、ディスカバー、および JCB は、2006 年、クレジットカードのデータを扱う企業に対するセキュリティ基準を設定・管理するため
「非保持化したからもう大丈夫」ではないクレジットカード情報 ECサイト事業者に求められる一段上の対策とは? クレジットカード情報を自らの手で保持・処理・通過させない「非保持化」をしたからもう漏洩のリスクはない、と思ったらその認識は間違いだ。攻撃者は常に新しい手を打ってくる。2019年7月25日に日本カード情報セキュリティ協議会(JCDSC)が開催したセミナーではその誤解をただし、新たな攻撃に備え被害を最小化する対策のヒントが紹介された。 たびたび対策が呼び掛けられてきたにもかかわらず、ECサイトからの個人情報流出事件は後を絶たない。こうして漏洩したクレジットカード番号が悪用されることによる被害額も、やや減少しているが高止まり傾向が続いており、日本クレジット協会の集計によれば2019年1~3月の不正利用被害額は約68億5000万円に上っている。 こうした状況を背景に、クレジットカードで決済を
PCI DSS監査実績・SAQ AOCサービス実績・P2PE監査実績 PCI DSS監査実績 SAQ AOCサービス実績 P2PE監査実績 お問い合わせはこちらから お電話からのお問い合わせはこちらから
PCI DSS のセキュリティ要件を Azure でクリア。システムを短期間でクラウド上に構築できた理由とは?
Microsoft customer stories See how Microsoft tools help companies run their business.
AWS Gateway Load Balancer (GWLB) は、PCI DSS (Payment Card Industry Data Security Standard) 準拠サービスとなりました。GWLB は、ファイアウォール、侵入検知および防止システム、分析、トラフィックの可視化システムなどのサードパーティーの仮想ネットワークアプライアンスのデプロイ、スケール、および管理を支援する新しいサービスです。Elastic Load Balancer ファミリーに新たに加わった GWLB は、透過的なネットワークゲートウェイ (すべてのトラフィック用の単一の入口と出口) と、トラフィックを分散し、仮想アプライアンスを需要に基づいて水平にスケールするロードバランサーを組み合わせます。
PCI DSS Version 4.0における変更点のポイント 第二回 | NTTデータ先端技術株式会社
前回記事(PCI DSS Version 4.0における変更点のポイント 第一回)では、PCI DSS Version 4.0の移行スケジュールと主な変更点の概要を紹介しましたが、新バージョンへの移行状況はいかがでしょうか。今回は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」で紹介されているVersion 4.0の変更点のうち、2025年3月31日より後に要件化(それまではベストプラクティスの位置づけ)される未来日付の新規要件について抜粋して紹介したいと思います。 新規要件の全体概要 PCI DSS Version 4.0の新規要件は「Summary of Changes from PCI DSS Version 3.2.1 to 4.0」の「6. 新規要件の概要」にまとめられており、全64項目の新規要件があります。
『クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画』(実行計画)によると、「カード情報」は大きく「クレジットカード会員データ」と「機密認証データ」の2つに分けられる。前者には、「クレジットカード番号」「クレジットカード会員名」「サービスコード」「有効期限」が含まれる。一方の後者には、「全トラックデータ」「セキュリティコード」「PIN(暗証番号)またはPINブロック」が含まれている。 改正割賦販売法ではクレジットカードのみが規制の対象となるが、PCI DSSにおけるカード情報(PCI DSSの用語では「アカウントデータ」)の定義では、国際ブランド(American Express/Discover/JCB/Mastercard/Visa)のクレジットカードだけでなく、デビットカードやプリペイドカードも含まれる。2つの基準で、保護規制の対象となるカード情報が異なることに注意が
【開催報告】「PAY.JP」 による セキュリティガイドライン PCI DSS v4.0 準拠の道のり | Amazon Web Services
Amazon Web Services ブログ 【開催報告】「PAY.JP」 による セキュリティガイドライン PCI DSS v4.0 準拠の道のり 2023 年 7 月 19 日に、AWS Startup Loft Tokyo にて 『「PAY.JP」 による セキュリティガイドライン PCI DSS v4.0 準拠の道のり』と題してオンサイトイベントを開催しました。本イベントでは、PCI DSS への準拠をメインテーマに、AWS から決済業界に関する活用状況や新サービス、 PCI DSS 準拠に対する基本的などを紹介しました。加えて、PAY 株式会社様より、メインコンテンツとして、PCI DSS v4.0 準拠における課題の解決アプローチを具体的な事例を交えてご紹介いただきました。 本記事では、これらの内容を振り返るとともに、会場の雰囲気などもお伝えします。 PCI DSS とは P
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCI DSSバージョン4.0について - ROBOT PAYMENT TECH-BLOG
【資料公開】PCI DSS 勉強会 ネットワークアクセス制御編 | DevelopersIO
ミクシィ、サーバレスでのPCI DSS準拠で運用コストと負荷を軽減 | ペイメントナビ
PCI DSS 3.2.1 に対応するAWSセキュリティ対策 | DevelopersIO
クレカ情報大量漏洩にPCI DSS監査機関への虚偽報告、IT部門「聖域化」のリスク
PCI DSS対応をAWS/Azureでどのように行うのか調べてみた | DevelopersIO
PCI-DSSちゃんと守ってないとかマジでヤバい - novtanの日常
PCI DSS監査体験記 - ROBOT PAYMENT TECH-BLOG
AWS環境でPCI DSS v4.0へ対応するためのコツ
サブスクペイのPCI DSS対応 - ROBOT PAYMENT TECH-BLOG
PCI DSS 対応を踏まえたAzure上でセキュアなアプリケーションを作るベストプラクティス
PCI DSS v4.0リリース情報|その特徴とv3.2.1との差分、対応方針について解説
PCI DSSセミナーレポート:日本カード情報セキュリティ協議会(2)
PCI DSS監査実績のご紹介│ICMS 国際マネジメントシステム認証機構
AWS Gateway Load Balancer が PCI DSS コンプライアンスを実現
PCI DSSにおける「カード情報非保持」の定義とは | PCI DSS Ready Cloud blog
qiita.com/y-okamoto1111
ca-srg.dev
cger.nies.go.jp
kai-you.net
emiri0.ue.bulog.jp
self-development.info