PCI SSC、電子商取引におけるセキュリティガイドラインを更新

ニュースソース:infosecuritynews

以下の文章は、2017年2月2日に公開されたPCI Council Updates E-Commerce Guidance for Firmsを要約したものです。


オンラインでのクレジットカード利用のセキュリティ基準を制定する業界団体であるPCI SSC(Payment Card Industry Security Standards Council)は、電子商取引におけるセキュリティガイドラインとして2013年1月に発行した「PCI DSS E-commerce Guidelines」を、2017年1月に更新し「Best Practices for Securing E-commerce guidance」として新たにに発行したました。
ガイドラインの更新内容には、「オンライン加盟店へのSSL/TLSの手引き」、「認証局(CA)の選び方」、「証明書の種類の分類」、「オンライン加盟店からサービスプロバイダへのデジタル証明書と暗号化に関する質問リスト」などの情報が含まれます。

PCI SSCはガイドラインにおいて、2018年6月までにすべてのオンライン加盟店が「TLS 1.1」以上の暗号化を使用することを義務付けています。
新しいガイドラインには、PCI DSS準拠の達成方法に関する情報、さまざまな実装方式ごとの複雑さのレベルを示すチャートなども含まれています。
ベストプラクティスには、「すべてのデータの格納場所を把握すること」、「不要なデータを削除すること」、「すべてのスタッフに対するセキュリティ教育の強化」などが示されています。

今回のガイドラインの更新は、オンライン上の不正行為への対策として行われました。
PCI最高技術責任者のTroy Leach氏によると、電子商取引のオンライン加盟店を主な標的としたハッカーによる犯罪は、EMVチップカードを備えたCNP(Card Not Present、非対面カード取引)にまで拡大しています。
PCI SSCの委員会は、今後もオンライン加盟店へのセキュリティ対策の支援を独自に行う意向を示しています。