PayCard Industry Data Security Standard (PCI DSS) - V4 準拠レポート
このレポートには、サイトで見つかった PCI に関する問題が表示されます。多くの Web アプリケーションのぜい弱性によって、直接的または間接的に個人情報のセキュリティー・ブリーチ (抜け穴) が発生する可能性があり、それが規定違反とみなされる場合があります。
問題点
PCI データ・セキュリティー基準は、すべてのカード会社の機密データを保護するための単一のアプローチを提供します。この基準は、Visa と MasterCard のコラボレーションの結果作成されたものであり、共通の業界セキュリティー要件を作成することを目的としています。米国で業務を行う他のカード会社 (American Express®、Discover、JCB、Diners など) も、それぞれのプログラムにおいて PCI データ・セキュリティー基準を採用してきました。PCI は、カード所有者のデータがどこにあるとしても、それを保護し、メンバー、加盟店、およびサービス・プロバイダーが高い機密保護基準を維持することを意図しています。PCI DSS の脆弱性
| ID | 名前 |
|---|---|
| 要件 2 | すべてのシステムコンポーネントに安全な設定を適用します。 |
| 要件 2.2.2 | ベンダーのデフォルトアカウントが使用される場合、デフォルトパスワードは要件 8.3.6 ごとに変更されます。ベンダーのデフォルトアカウントを使用しない場合、そのアカウントは削除されるか無効になります。 |
| 要件 2.2.4 | 必要なサービス、プロトコル、デーモン、機能のみが有効になり、不要な機能はすべて削除されるか無効になります。 |
| 要件 2.2.6 | 誤用を防止するために、システムセキュリティパラメータが設定されます。 |
| 要件 4 | オープンなパブリックネットワークで送信する際に、強力な暗号化を使用してカード所有者データを保護します。 |
| 要件 5 | すべてのシステムとネットワークを悪質なソフトウェアから保護します。 |
| 要件 6 | 安全なシステムとアプリケーションを開発し、保守する。 |
| 要件 6.2.1 | 別注およびカスタムのソフトウェアは安全に開発されます。 |
| 要件 6.2.4.1 | ソフトウェア開発担当者がソフトウェア開発技術やその他の方法を定義し、使用しており、一般的なソフトウェア攻撃と、別注およびカスタムソフトウェアでの関連する脆弱性を防止または軽減することを目的としている。パラメータ、オブジェクト、障害、または挿入タイプの欠陥。 |
| 要件 6.2.4.2 | データやデータ構造への攻撃 (バッファやポインタの操作を含む) を含む、特注およびカスタムソフトウェアにおける一般的なソフトウェア攻撃と、関連する脆弱性を防止または軽減するために、ソフトウェア開発担当者が定義し、使用すること。 、入力データ、または共有データを参照してください。 |
| 要件 6.2.4.3 | 一般的なソフトウェア攻撃と、特注およびカスタムソフトウェアにおける関連する脆弱性を防止または軽減することを目的として、ソフトウェア開発担当者が定義し、使用しています。不適切な暗号実装、アルゴリズム、暗号セット、または動作モード。 |
| 要件 6.2.4.4 | アプリケーションの機能の悪用や回避を含むビジネスロジックへの攻撃を含むがこれらに限定されない、カスタム製品やカスタムソフトウェアでの一般的なソフトウェア攻撃と関連する脆弱性を防止または軽減するために、ソフトウェア開発担当者がソフトウェア設計手法またはその他の方法を定義して使用しています。 API の操作による機能、通信プロトコルとチャネル、クライアント側機能、その他のシステム/アプリケーション機能やリソース。これには、クロスサイトスクリプト (XSS) とクロスサイトリクエストフォージェリ (CSRF) が含まれます。 |
| 要件 6.2.4.5 | アクセス制御メカニズムへの攻撃 (ID の回避または乱用を含む) を含むがこれらに限定されない、カスタム製品およびカスタムソフトウェアでの一般的なソフトウェア攻撃と関連する脆弱性を防止または軽減するために、ソフトウェア開発担当者がソフトウェア開発技術またはその他の方法を定義し、使用している。認証、許可メカニズム、またはそのようなメカニズムの実装の脆弱性を利用する試み。 |
| 要件 6.3 | セキュリティの脆弱性が特定され、対処されている。 |
| 要件 6.3.3 | すべてのシステムコンポーネントは、適用可能なセキュリティ更新プログラムをインストールすることにより、既知の脆弱性から保護されています。 |
| 要件 6.4 | 公開されている Web アプリケーションを攻撃から保護します。 |
| 要件 6.5.6 | テストデータとテストアカウントは、システムを稼動させる前にシステムコンポーネントから削除されます。 |
| 要件 7 | 知る必要がある業務によってシステムコンポーネントとカード所有者データへのアクセスを制限します。 |
| 要件 7.1 | システムコンポーネントとカード所有者データへのアクセスを、必要な業務上必要なユーザーのみに制限します。 |
| 要件 7.2.2 | アクセス権は、次の基準に基づいて権限を持つユーザーを含めて割り当てられます: 役職と機能、および役職の実行に必要な最小の権限。 |
| 要件 7.2.6 | 保存されているカード所有者データの検索リポジトリへのすべてのユーザーアクセスは、次のように制限されます: アプリケーションまたはその他のプログラムによる方法。ユーザーロールと最小の権限に基づいて、アクセスと許可されるアクションを使用。保存されている CHD のリポジトリに直接アクセスしたり、そのリポジトリを照会したりできるのは、担当の管理者だけです。 |
| 要件 8.2.8 | ユーザーセッションが 15 分以上アイドル状態である場合、ユーザーは端末またはセッションを再度アクティブにするために再認証する必要があります。 |
| 要件 8.3.1 | ユーザーと管理者のシステムコンポーネントへのすべてのユーザーアクセスは、次の認証要素の少なくとも 1 つによって認証されます:トークンデバイス、スマートカードなど、ユーザーが持っているもの。あなたを表すもの (生体認証エレメントなど)。 |
| 要件 8.3.2 | すべてのシステムコンポーネントでは、強力な暗号化が使用され、送信時と保存中にすべての認証要素を読み取り不能にしています。 |
| 要件 8.6.2 | スクリプト、設定/プロパティファイル、別注やカスタムソースコードに、アプリケーションとシステムアカウントのパスワード/パスフレーズがハードコードされることはありません。 |
| 要件 11.4 | 外部と内部のペネトレーションテストが定期的に実行され、悪用可能な脆弱性とセキュリティの脆弱性は修正されます。 |