支払いカードデータと見なされるものとそうでないものを理解することは、PCI DSSの遵守方法を理解するための重要な最初のステップです。通常、この規制は支払い用カードのプライマリアカウント番号（PAN）にのみ適用されます。カード所有者の名前、有効期限、セキュリティコードなどの他のデータ要素が、PANを含まずに存在する場合、PCI DSSは適用されません。ただし、これらのその他のデータ要素がPINを使用 し て保存、処理、送信、またはカード所有者データ環境（CDE）に存在する場合、PCIセキュリティ標準委員会のWebサイトにあるPCI DSS要件に従って、これらのデータ要素を保護する必要があります。 」でツリーベースの最大権限を有効にします。 

PANを保存する場合、暗号化、切り捨て、トークン化、または一方向のハッシュ化を使用してデータを読み取り不能にすることがPCI規制の規定となります（PCI FAQ 1222）。カードが暗号化またはトークン化されているかどうかにかかわらず、PCI要件は電話番号を格納しているシステムに引き続き適用されます。なぜなら、暗号化キーまたはトークンルックアップテーブルが侵害された場合、PANが元に戻される可能性があるからです。ただし、システムが番号の最初の6桁だけまたは最後の4桁のみを保存するように、電話番号が切り捨てられた場合（PCI FAQ 1091）、電話番号と見なされなくなります。購入することを求められます。 

ZendeskはPCIコンプライアンスを順守するのに役立ちますか？

Zendeskには「PCI準拠のチケットフィールド」という機能があります。これにより、Zendeskエージェントインターフェイスのカスタムチケットフィールドにプライマリアカウント番号（PAN）を入力できるようになります。この番号は、データがユーザーインターフェイスに送信される 前 に、下4桁で墨消しされます。これにより、PCI準拠の支払いカード保護要件を満たしています。このPCI DSS準拠機能はSupport製品にのみ適用されることに注意してください。PCIコンプライアンスをサポートするなど、Zendeskが採用しているセキュリティとプライバシーの管理の詳細については、「Zendesk PCIコンプライアンス」を参照してください。 

コンプライアンス証明書（AoC）のコピーをリクエストする （「アーティファクト」の下）

エンドユーザーがZendeskインスタンスに完全なPANを挿入しないようにするにはどうすればよいですか？ 

PCI基準へのコンプライアンスを確保するために、PCI準拠チケットフィールドに入力することを強くお勧めしますが、この専用フィールド以外に入力された場合に、このデータの露出を減らすために実装できる緩和策があります。 

自動墨消し

Zendeskには「自動墨消し」という機能があります。管理センターでこの機能を有効にすると、Zendeskを使用して、有効にした時点から新しい支払いカード関連のデータを墨消しすることができます。これにより、システムは12～16文字の数字を検索し、それらを 上位6桁と下4桁です。これにより、機密データが過度に共有されたり、悪用されたりする可能性を減らすことができます。」でツリーベースの最大権限を有効にします。また、メッセージングチケットにも対応しています。なお、自動墨消しは、ヘルプセンター、Zendesk Chat、およびその他のZendesk製品には適用されません。 

手動墨消し（APIツールを使用）

データ損失防止（TLP）とAPIツールを使用するには、Zendeskチケットデータを安全な場所にエクスポートする必要があります。エクスポート方法については、「CSVまたはXMLを使用したチケットデータのエクスポート」を参照してください。次に、Incremental API を使用して特定の日付範囲のチケットを取得するか、Listing CommentsAPIを使用してチケットからチケットのコメントを取得します。必要な支払いカードデータを分離したら、PANなどの機密データを特定するために利用可能な多数のオープンソースツールのいずれかを適用できます。Redaction APIを使用して、チケットのコメントからこのような情報を削除できます。 

使用とストレージの管理

また、正当なビジネスニーズの一環として、必要な場合にのみ支払いカードデータを保存することで、機密性の高いアカウント所有者のデータの露出を最小限に抑えることができます。メール、インスタントメッセージ、チャット、またはその他のコミュニティを介して保護されていないPINを共有することも、PCI DSSを遵守するために避けるべきです。 

同様に、PANは、バックアップ場所、ログおよび携帯機器を含めて保管される場合には、常に読み取り不能にする必要があります。一方向のハッシュ暗号化、PINの下4桁のみを表示する切り捨て、および暗号化、マスキング、および/または切り捨てなどの同様のストレージ管理方法も使用されます。 

一般的なセキュリティのベストプラクティスとして、システム内または日々の業務内で支払いカードデータが非準拠に使用、使用、配信された場合、それらを認識し、報告できるように従業員をトレーニングする必要があります。 

アプリケーションまたはシステムがPCIコンプライアンスの対象かどうかを判断するにはどうすればよいですか？

支払いカードデータを保存、送信、処理していますか？適用されている場合、PCIの対象となります。会社ごとに、PCI DSS要件が適用される環境内のシステムを特定する責任があります。この評価を行う際は、支払いカードデータを保存、送信、処理するすべてのベースラインシステムがPCIの対象となるだけでなく、それらのベースラインシステムに直接接続されたシステム も PCIの対象となります。スコーピングは、次の手順を使用して調べることができます。

1. まず、支払いカードデータの送信、処理、保存を行う こと ができる既知のデータフローとシステムをすべて認識し、文書化します。これらのシステムがベースラインCDEを構成します。
2. 次に、ベースライン環境に 直接接続されて いるすべてのシステムコンポーネントを文書化します。これらのシステムもCDEの一部とみなされます。
3. 3つ目は、支払いカードデータを送信、処理、または保存していると考え られる CDE準拠のシステム外のシステムを探索します。見つかったものをドキュメント化し、CDEへのパスを追跡します。最も一般的な例としては、メールシステム、ヘルプデスク、HRリポジトリ、財務レポートシステム、会社のスプレッドシートなどがあります。

PCI DSSコンプライアンスをより管理しやすくするためにはどうすればよいですか？ 

PCI DSSコンプライアンスを管理可能にするためには、PCIのスコープを全体的に絞り込む必要があります。CDEを確認し、支払いカードデータを送信、処理、保存するインターフェイスを精査します。運用上重要な機密データのみを取得および使用することを要求するデータ保護のベストプラクティスを遵守します。次のことを確認します。

• ビジネスプロセスで、支払いカードの使用は必要か？PANをどのように使用しているか？
• PANを参照番号として保管しているのか。それとも、他のビジネスプロセス（自動請求やチャージバックなど）をサポートするために使用されているのか。完全番号を参照番号として使用している場合、切り捨てて使用と保存を制限できますか
• カード番号を特定のシステムに登録するかどうかを管理することはできますか？たとえば、システムがWebフォーム、メール、 ヘルプデスク、またはその他のクライアント向けのインターフェイスと関連付けられているか？使用している場合、データがシステムに入るときに削除または墨消しする方法を開発できますか？
• 必要のない、CDEに接続する補助システムはありますか？ファイアウォールルールを使用してこれらのシステムをセグメント化することはできますか。あるいは、インターフェイスを完全に削除することもできますか？
• 重要なビジネスプロセスは、アーキテクチャ面で健全ですか？プロセスの一部を簡素化し、システムをPCIの対象から除外できますか？
• 利便性のために支払いカードデータを保存していますか？ストレージのユースケースは、社内の関係者によって同意され、理解されていますか？または、発生するかどうかにかかわらず将来のニーズに備えて保管されていることは明らかですか？
• 完全PANへのアクセスは特殊なケースですか、それともよくあることですか。当社のアーキテクチャは、これらのエッジケースを許容しすぎていませんか？

PCIスコープを減らすと、PCI要件が適用されるシステムの数が減り、監査プロセスのコストが削減され、環境内の攻撃面の数を制限できるというメリットがあります。経験、リソース、および利用可能な時間に応じて、PCIの専門家に依頼してスコーピングの作業を指示してもらうと効率的になるかもしれません。

 

法律上の注意

 

用語集

リクエスタ – 「業者銀行」、「引合い銀行」、「引合い金融機関」とも呼ばれます。 支払いカードを受け入れるための小売業者との関係を開始し、維持するエンティティ。通常は、カード購入者は、マーチャントアカウントのPCIコンプライアンスを監視する責任があります。

その他 – コンプライアンス証明書の略語。これは、組織がPCIに準拠しているかどうか、および準拠しているかどうかを示す監査レポートです。

カード所有者データ – カード所有者データは、少なくとも、完全なプライマリアカウント番号（PAN）で構成されています。カード所有者のデータは、PANに加えて、カード所有者名、有効期限またはサービスコードのいずれかの形式で表示されることもあります。

CDE – カード所有者データ環境。カード所有者データまたは機密認証データを保存、処理、または送信する人、プロセス、技術。

ダウンロード – データ損失の防止。データ損失防止ソフトウェアは、潜在的なデータ侵害またはデータ損失イベントを検出するように設計されています。

暗号化 – 特定の暗号キーの所有者を除き、情報を理解できない形式に変換するプロセス。暗号化を使用することで、暗号化プロセスと解除プロセス（暗号化の逆方向）の間で情報を不正開示から保護できます。

Luhnチェック – 「モデ10」アルゴリズムとも呼ばれ、クレジットカード番号などのさまざまな身分証明書番号の検証に使用されるシンプルなチェックサムの式です。ほとんどのクレジットカードでは、有効な番号を入力ミスや間違った番号と区別するための簡単な方法としてアルゴリズムを利用しています。

マスキング – 表示または印刷時にデータのセグメントを隠す方法。マスキングは、PAN全体を表示する必要がない場合に使用します。マスキングは、表示または印刷時のPANの保護に関連します。

PCI準拠チケットフィールド – このフィールドはエージェントからのクレジットカード番号を受け付けるように設計されています。このフィールドで、Zendeskプラットフォームにデータを送信する前に、クレジットカード番号の最後の4桁を自動的に墨消しします。ZendeskのAoC機能を活用するためには、このフィールドを有効にする必要があります。

PCI-SSC –Payment Card Industry Security Standards Councilの略語。この会議は、2006年に5つのクレジットカードブランド（VISA、MasterCard、American Express、Discover、JCB）によって設立されました。

PCI-DSS - 決済カード業界のデータセキュリティ基準。PCI SSCは、すべての小売業者とサービスプロバイダーが対象となる統一基準を作成しました。

PAN – メインアカウント番号。「アカウント番号」とも呼ばれます。 発行者および特定のカード所有者を識別する、固有の支払い用カード番号（通常はクレジットカードまたはデビットカード）。

サービスプロバイダー – 他の法人に代わって、カード所有者データの処理、保管、または移転に直接関与する事業部門（支払いカード発行会社ではない）。これには、カード所有者のデータのセキュリティを制御する、または影響を与える可能性のあるサービスを提供する企業も含まれます。たとえば、ファイアウォール、IDS、その他のサービスを提供するマネージドサービスプロバイダー、ホスティングプロバイダーやその他のエンティティなどです。

QSA – 資格のあるセキュリティ評価者。PCI SSCは、PCI評価を実施し、PCI検証を支援する企業を認定しました。認証局がQSA企業である場合、同様にQSA企業の個人を個人のQSAとして認定することができます。

墨消し – 不要な機密情報（PANなど）を削除するプロセス。

SAQ – 自己評価アンケート。PCI準拠を検証する企業は、QSAによる外部認証を受けるか、またはSAQを締結した後、カードブランドまたはマーチャント銀行に送信します。

トークン化 – クレジットカード番号のような意味のあるテキストのストリームを、実際のデータを表すトークンと呼ばれるデータ要素に分解するプロセスですが、それだけでは無意味です。トークン化は、システムまたはデータベースからクレジットカードデータを削除することで、CDEの範囲を縮小する方法です。

切り捨て – PANデータのセグメントを完全に削除して、PAN全体を読み取り不能にする方法。切り捨ては、ファイル、データベースなどに保存される際のPANの保護に関連します。