目次
PCI自己評価質問票(SAQ)とは何ですか?
PCI Self-Assessment Questionnaire(SAQ)は、クレジットカードデータを取り扱う加盟店およびサービスプロバイダが、Payment Card Industry Data Security Standard(PCI DSS)への準拠を評価および宣言するために使用するフォームです。SAQ は、組織がセキュリティのギャップを特定し、カード会員データを保護するための業界基準を満たしていることを確認するのに役立ちます。
カード処理方法および取引量に応じて、組織は異なるバージョンの SAQ を完了する必要がある場合があります。SAQ を正常に完了すると、安全な支払環境の維持に対する企業の取り組みが証明されます。
SAQ を完了するには、カード会員データのセキュリティに関する一連の質問に回答する必要があります。質問は、安全なシステムの維持、カード会員データの保護から、脆弱性の管理、強力なアクセス制御手段の実装に至るまで、PCI DSS 要件に対する組織の遵守状況を評価するように設計されています。
このコンテンツはPCIコンプライアンス.
推奨図書:SIEMとは何か、なぜ重要なのか、そして13の主要機能。
PCI DSS 自己評価アンケートに回答する必要があるのはどのような人ですか?
SAQ は、PCI レベル 3 および 4 で年間 100 万トランザクション未満の小規模な加盟店、場合によっては PCI レベル 2 で年間 100 万~600 万トランザクションの加盟店にのみ適用されます。これらの加盟店の場合、PCI コンプライアンスを達成するには SAQ で十分です。大規模な加盟店は、代わりに認定セキュリティ評価者(QSA)による外部監査を実施し、完全な準拠報告書(RoC)を提出する必要があります。
しかし、PCI DSS 基準に準拠する必要があるすべての事業体は、SAQ を自主的に記入することで、外部監査や RoC の準備として、準拠のギャップを特定し、準備態勢を向上させることができるため、メリットがあります。
エキスパートからのアドバイス
スティーブ・ムーアは、Exabeamのバイスプレジデント兼チーフ・セキュリティ・ストラテジストで、脅威検知のためのソリューションの推進を支援し、セキュリティ・プログラムの推進や侵害対応について顧客にアドバイスを行っています。The New CISO Podcast」のホストであり、Forbes Tech Councilのメンバー、ExabeamのTEN18の共同創設者でもあります。
私の経験から、PCI 自己問診(SAQ)プロセスをより効果的に活用し、PCI DSS コンプライアンスの取り組み全体を最適化するためのヒントを紹介します:
自動コンプライアンス・ツールの活用
Exabeam Fusion SIEMのようなソリューションは、可視性を高め、コンプライアンスを合理化します。ログの収集、監視、報告を自動化し、継続的なコンプライアンスと迅速なインシデント対応を実現します。
カード会員データフローのマッピング
SAQ を選択する前に、詳細なデータフローマッピングを実施して、カード会員データがどのようにシステ ムに入り、システム内を移動し、システムから出るかを特定します。これにより、適切な SAQ タイプを選択し、保護すべき領域を明確にすることができます。
トークン化と暗号化の活用
PCI スコープを最小化するために、トークン化とエンドツーエンドの暗号化の実装を検討してください。これらのテクノロジにより、エクスポージャが削減され、コンプライアンスが簡素化されるため、多くの SAQ を簡単に完了できます。
サードパーティプロバイダとの早期連携
サードパーティのペイメントプロセッサーまたはサービスプロバイダに依存している場合は、PCI DSS 準拠の証明(準拠証明など)を提供するようにしてください。この文書は、SAQ A、A-EP、および関連するタイプにとって非常に重要です。
スコープクリープを継続的に監視する
時間の経過とともに、新しいアプリケーション、システム、またはビジネスプロセスが、以前は適用範囲外であった領域にカード会員データを不注意に導入する可能性があります。PCI 環境の境界を定期的に見直してください。
PCI SAQの9つの種類と適用可能性
ここでは、PCI DSS 準拠を証明するために使用されるさまざまなタイプの SAQ の概要を説明します。
SAQ A
SAQ A は、すべてのカード会員データ機能を PCI DSS 準拠の第三者サービスプロバイダに委託し、カード会員データを自社のシステムまたは施設内で電子的に保存、処理、または送信しない加盟店に適用されます。一般的には、顧客をサードパーティの支払処理業者にリダイレクトする e コマース事業者がこれに該当します。
SAQ A の対象となる加盟店は、サードパーティプロバイダが PCI DSS コンプライアンスを維持していることを確認する必要があります。SAQ A を完了するには、カードデータを直接取り扱わず、支払処理を準拠プロバイダに依存することを証明する必要があります。
SAQ A-EP
SAQ A-EP は、すべての決済処理を PCI DSS 準拠のサードパーティに委託しているが、決済ページなど、決済取引のセキュリ ティに影響を与える可能性のある Web サイトを使用している e コマース加盟店向けに設計されています。このような加盟店はクレジットカードデータを直接扱いませんが、デジタル環境がトランザクションのセキュリティを損なわないようにする必要があります。
SAQ A-EP の資格には、顧客を安全に決済処理業者にリダイレクトまたは iframe するウェブテクノロジを使用することが必要です。SAQ A-EP を完了する加盟店は、自社のウェブページが安全であり、支払いプロセスに脆弱性がないことを確認する必要があります。
SAQ B
SAQ B は、カード処理にスタンドアロン型ダイヤル発信端末を使用している加盟店向けで、電子カード会員 データは保存されません。この SAQ は、トランザクション処理にインターネット接続を使用しない、シンプルなカード処理設定を行う事業者に適しています。
SAQ B の対象となる加盟店は、端末周辺の物理的環境のセキュリティ確保と、端末自体が PCI 基準に準拠していることを確認することに重点を置いています。SAQ B の回答は、物理的なセキュリティ対策と隔離された決済端末を中心に展開されます。
SAQ B-IP
SAQ B-IP は、カード会員データを電子的に保存しないスタンドアロン IP 接続端末を使用する加盟店を対象としています。SAQ B とは異なり、これらの端末はインターネット経由でペイメントプロセッサーに接続するため、トランザクションデータを保護するための追加のセキュリティ管理が必要となります。
SAQ B-IP を完了するには、加盟店は IP 接続端末周辺のネットワーク環境を保護し、ファイアウォー ルを実装し、脆弱性から保護するためにソフトウェアを定期的に更新する必要がある。インターネット対応の決済処理において、端末とネットワークのセキュリティを維持することに重点を置いています。
SAQ C
SAQ C は、カード会員データを保存せずに、インターネットに接続されたペイメントアプリケーションシス テムを持つ加盟店を対象としています。これは、スタンドアロン端末を使用する事業者よりも複雑なペイメントシステムを持つが、データを電子的に保存しない事業者に適用される。
SAQ C の資格には、決済ソフトウェアの使用と、トランザクション処理用のインターネット接続が含まれる。セキュリティ対策は、オンライン上の脅威からシステムを保護すること、ペイメントソフトウェアを保護すること、安全なインターネット接続を確保することに重点を置いている。
SAQ C-VT
SAQ C-VTは、クレジットカードデータを保存せずに、サードパーティが提供するインターネットベースの仮想端末ソリューションにカード会員データを手動で入力する加盟店向けです。このシナリオには、カード決済を手作業で処理するコールセンターや通信販売事業者が含まれることがよくあります。
SAQ C-VT を完了した加盟店は、仮想端末環境が安全であることを確認し、データを保護するためのアクセス制御を実装し、ウイルス対策ソフトウェアを定期的に更新する必要があります。SAQ C-VT は、データが手動で入力されるが保存されない環境に対するサイバーセキュリティ対策を強調している。
SAQ P2PE-HW
SAQ P2PE-HW は、有効性が確認され、PCI SSC にリストアップされた P2PE(Point-to-Point Encryption)ソリューション内のハードウェア決済端末を使用する加盟店に適用されます。これは、決済端末内でデータを直接暗号化することにより、PCI DSS 要件の範囲を大幅に縮小します。
SAQ P2PE-HW の資格には、承認された P2PE ハードウェアデバイスの使用が必要です。この SAQ を完了するには、これらのデバイスの使用を証明し、トランザクションの安全な取り扱いと処理に重点を置いた P2PE 指示への準拠を実証する必要があります。
マーチャント向けSAQ D
加盟店向けの SAQ D は、カード会員データを保存、処理、または送信する加盟店を対象としており、他の SAQ タイプのカテゴリには当てはまりません。これは最も包括的な SAQ であり、カード会員データを直接取り扱うことに関連するリスクが増加するため、PCI DSS 要件をすべて網羅しています。
加盟店向けの SAQ D を完了するには、ネットワークセキュリティ、データ保護対策、およびアクセス制御を含む、組織の支払処理環境の徹底的な評価が必要です。そのため、細部への厳密な注意と包括的なセキュリティ対策が求められます。
サービス・プロバイダー向けSAQ D
加盟店向けの SAQ D と似ていますが、サービスプロバイダを対象とするこの SAQ は、加盟店に代わってカード会員データを管理する事業体を対象としています。この SAQ は、ホスティングおよび支払処理からデータ保管までのサービスを対象としています。
SAQ D を完了したサービスプロバイダは、保存データの保護、ネットワークの保護、およびアクセス制御の管理に重点を置いて、該当するすべての PCI DSS 要件を満たしていることを証明する必要があります。この SAQ は、サービスプロバイダが顧客のカード会員データの安全な環境を維持することを保証します。
PCI SAQ バージョン 3 の新機能
PCI DSS セルフアセスメント質問票(SAQ)のバージョン 3 では、より明確なガイダンスを提供し、組織のアセスメン トプロセスを簡素化することを目的として、いくつかの重要な更新が行われています。更新内容は以下のとおりです:
- 更新された形式: SAQ は、各 PCI DSS 要件を評価するために組織が実行すべき具体的なテスト活動を説明する「予想されるテスト」欄など、より直感的な形式を採用しました。これは、企業が準拠状況をより正確に判断できるようにすることを目的としています。
- 回答オプション:以前の「特別」列は、2 つの新しい列に分割されました:「これにより、PCI DSS 要件に対するより正確な回答が可能になります。
- ガイダンスと構成:各SAQの冒頭には、質問票の適切な記入方法に関するガイダンスが追加されました。さらに、SAQ 文書の構成は、より一貫性を持たせるために再編成され、包括的な証 明を確実にするために、コンプライアンス証明書(AOC)の第 3 部と第 4 部が質問票のセクションに続くようになりました。
これらの変更は、SAQ の明確性と実用性を高め、組織の自己評価プロセスを支援し、PCI DSS 基準への準拠をより正確に反映させることを目的としています。
PCI DSS SAQの提出方法
適切な SAQ が完成したら、必要な検証書類とともに、指示に従って加盟店のアクワイアリングバンクまたはペイメントブランドに提出する必要があります。このプロセスには通常、回答の正確性とコンプライアンス状況を確認する自己評価証明書への署名が含まれます。
具体的な提出方法については、プロセスが異なる可能性があるため、各組織はアクワイアリングバンクまたはペイメントブランドに問い合わせること。
正しいSAQの選び方
適切な PCI 自己問診(SAQ)を選択するために、SAQ の種類、該当する加盟店のタイプ、アカウントデータの範囲、および電子的なアカウントデータの保存が許可されているかどうかをまとめた表を以下に示します。
| SAQの種類 | マーチャントの種類 | 口座データの範囲 | 電子口座データ保管の許可 |
| SAQ A | すべてのカード会員データ機能を PCI DSS 準拠の第三者サービスプロバイダに委託する加盟店。通常、E コマース事業者は、決済のために顧客をリダイレクトします。 | 自社のシステムまたは施設内でカード会員データを直接扱わない、処理しない、または送信しない。 | いいえ |
| SAQ A-EP | eコマースの加盟店は、ウェブテクノロジーを使用して、クレジットカードのデータを直接扱うことなく、顧客を安全に支払い処理機関にリダイレクトする。 | デジタル環境は、支払取引のセキュリティに影響を与えるが、カード会員データを保存、処理、または伝送することはない。 | いいえ |
| SAQ B | カード会員データを電子的に保存しない、スタンドアロン型のダイヤル発信端末を使用している加盟店。 | 物理的なセキュリティ対策に重点を置いた、インターネット接続のない決済処理セットアップ。 | いいえ |
| SAQ B-IP | カード会員データを電子的に保存していない、スタンドアロンの IP 接続端末を持つ加盟店。 | インターネットに接続された端末は、取引データを保護するためのネットワーク・セキュリティ管理を必要とする。 | いいえ |
| SAQ C | インターネットに接続された決済アプリケーションシステムを持つ加盟店。 | スタンドアロン型端末よりも複雑なシステムで、オンライン脅威対策に重点を置いている。 | いいえ |
| SAQ C-VT | 加盟店は、インターネットベースの仮想端末ソリューションにカードデータを手作業で入力する。 | 手作業で支払いを処理するコールセンターや通信販売事業者は、仮想端末のセキュリティに重点を置いている。 | いいえ |
| SAQ P2PE-HW | PCI SSCに準拠したP2PEソリューション内のハードウェア決済端末を使用している加盟店。 | 決済端末内のデータを暗号化することで、PCI DSSの適用範囲を縮小し、安全な取り扱いと処理に重点を置く。 | いいえ、データは暗号化されています。 |
| マーチャント向けSAQ D | カード会員データを保存、処理、または送信する加盟店で、他の SAQ タイプの対象外。 | カード会員データを直接取り扱うため、すべてのPCI DSS要件を包括的にカバー。 | はい |
| サービス・プロバイダー向けSAQ D | 加盟店に代わってカード会員データを管理するサービスプロバイダー。 | 加盟店向けの SAQ D と似ていますが、サービスプロバイダを対象としており、包括的な PCI DSS 要件をカバーしています。 | はい |
PCI DSS準拠Exabeam Fusion SIEM
結局のところ、PCI DSS コンプライアンスは、監査人に何を行っているかを証明することがすべてです。DLP、エンドポイント、脆弱性スキャン、ネットワーク、アイデンティティの各ベンダーがパズルのピースを提供する一方で、Exabeam Fusion SIEMは、イベントとアラートにコンテキストとリスクスコアリングを追加してエンドツーエンドの PCI DSS コンプライアンスの全体像を示すことで、すべてをまとめて攻撃の全体像を把握するのに役立ちます。
Exabeam Fusion SIEMは、PCI 資産で発見された脆弱性に関するレポートをセキュリティ・チームに提供します。このレポートでは、ファイアウォール、ルータ、スイッチ、および脆弱性データを生成するその他のデバイスが生成する脆弱性スキャンの詳細データを調べます。カード会員データ環境の脆弱性スキャンは、悪意のある個人によって発見され悪用される可能性のあるネットワーク内の潜在的な脆弱性を明らかにします。組織は、このレポートを使用して、修正が必要なカード会員システ ムの特定の高度な脆弱性または重要な脆弱性を特定します。
Fusion SIEMはまた、IDS、IPS、DLPシステムから動中または静止中に発見されたクレジットカード・データを調査し、ネットワーク経由または許可されていないリムーバブル・ストレージ・デバイスへのクレジットカード・データの不正送信の可能性を可視化します。顧客はこのレポートを使用して送信元を特定し、さらに調査して修正することができます。カード会員データ環境は、IDS、IPS、および DLP ベースのテクノロジを使用して、クレジットカードデータの不正な送信を監視する必要があります。
クレデンシャルの異常や異常なアクティビティや動きから、クレジットカード・データへのアクセスや送信に至るまで、Exabeamはあらゆるクレデンシャル、データの動き、アクティビティに対して「正常」という明確なビューを提供し、SOCのワークフローを合理化し、侵害された内部者や悪意のある内部者が発生した場合の対応を支援するだけでなく、エコシステム内でのマルウェアやランサムウェアの横方向の動きを検出します。
詳細はこちらExabeam Fusion SIEM.
