PCI セキュリティ・プログラムに欠けているものはありませんか？

情報セキュリティは複雑で、様々な注意を要しますから、コンプライアンス徹底を実施するのに簡単な方法はないと思った方がいいでしょう。

PCI DSS（Payment Card Industry Data Security Standard）は、顧客のクレジットカード支払いを取り扱うすべての企業のセキュリティ要件を設定します。PCI DSS の目標はデータ侵害を防ぐことですが、ただこのルールに準拠するだけでは十分なセキュリティが得られないことがあります。

PCI コンプライアンスを見直して、セキュリティ強化を図るには、どうすればいいでしょうか？以下のような点を考慮してみてください。

1. 使用テクノロジーをアップデート

当然なことであるにもかかわらず、最新プロダクトを使用することの重要性は見過ごされているようです。ホームデポでは、更新が必要と指摘されていたデータ違反防止対策を怠ったため、2014年には5,600万件のクレジットカードの信用が失墜しました。新テクノロジーの強化されたセキュリティ対策を活用し、ユーザーに最新情報を伝えるようにしてください。誰も使い方を知らなければ、新しいソフトウェアは無意味です。テクノロジーをアップデートすることに注意を払うことは、データ漏洩の脅威がますます増大しつつある昨今では特に、情報セキュリティにとって絶対に欠かせません。

2. コンプライアンス徹底がセキュリティの万全に直結しないことを認識

セキュリティ・プログラムが PCI DSS に準拠していることは、最大のプロテクションが施されていることと同義ではありません。PCI DSSは、企業がクレジットカード情報を保護するために最低限必要なことを詳述しています。最低限の努力を払うだけの企業に個人情報を提供するのは避けたいと思う人もいるでしょう。業界が求める PCI DSS 要件達成以上のセキュリティ方策を行っていたにもかかわらず、2013年にデータ漏洩が判明した Nieman Marcus の例を考慮すれば、コンプライアンス徹底が万全ではないことは明らかです。 

3. Web アプリケーションにも配慮

ネットワークのセキュリティにしっかり注意を払うのは当然ですが、Web アプリケーションが PCI コンプライアンスも義務付けられている場合は、Web アプリケーションにも留意する必要があります。Web アプリケーションに関する PCI DSS の最新の要件をチェックしてください。Web アプリケーションのセキュリティを確保するために、Web アプリケーションのセキュリティテストを実行することもできます。モバイルファイル転送ソフトウェアを使用して、携帯電話から、アプリケーションだけでなく、すべてのセキュリティ・アクティビティを処理してみてください。

4. 支払い情報を必要以上に長く保管しない

クレジットカード情報が長く保存されれば、それだけリスクが高くなります。クレジットカード情報は、転送されるかどうかにかかわらず、常に暗号化されている必要があります。違反の危険を避ける最善の方法は、情報を直ちに処理し、クレジットカード番号がどこにでも残っていないことを確認することです。