脆弱性管理

PCI スキャンサービス
とは何ですか?

PCI スキャンサービスとは何ですか?

PCI スキャンサービス(PCI 脆弱性評価)とは、企業の IT (情報技術)アーキテクチャに潜在する脆弱性をチェック、特定して PCI コンプライアンスに違反していないかどうかを自動的に確認する高度なテストのことです。このテストは PCI ASV(Approved Scanning Vendor / 認定スキャンベンダ)と呼ばれる組織によって実施されるもので、少なくとも四半期に一度実施する必要があります。

PCI DSS(Payment Card Industry Data Security Standard / クレジットカード業界のデータセキュリティ基準)は、決済取引を受け入れ、または処理する組織に対する技術要件および運用要件を集めたものです。これらの規格はクレジットカード会社(Visa、MasterCard、American Express など)がカード会員データの統制を強化してクレジットカードの不正利用を削減するために定めたもので、クレジットカード会社によって管理されています。

PCI コンプライアンスは、クレジットカード情報を処理するのに適切なセキュリティが施されていることを示す要件として PCI DSS が定める 12 の要件を満たした組織に与えられます。コンプライアンスの検証は、処理されるトランザクションの量に見合った方法で年 1 回または四半期に 1 回実施されます。トランザクション量の少ない組織では自己評価、トランザクション量の多い組織では外部の評価者によるレビュー、トランザクション量が特に多い組織では内部に評価者を設置してコンプライアンス監査を定期的に実施して報告することが求められます。