PCI-DSS とは？

PCI-DSSは6つのカテゴリに編成された12のコア要件を定義しています。安全なネットワークの構築と維持、カード会員データの保護、脆弱性管理プログラムの維持、強力なアクセス制御措置の実装、ネットワークの定期的な監視とテスト、情報セキュリティポリシーの維持。この標準はカード決済処理に関与するすべてのエンティティに適用されます。加盟店、プロセッサー、アクワイアラー、イシュアー、サービスプロバイダー。

要件3と4は特に暗号化に関連しています。要件3は保存されたカード会員データの保護（特定の暗号化、ハッシュ化、切り捨て方法を使用）を義務付け、要件4はオープンな公共ネットワーク上での転送中のカード会員データの暗号化を要求します。要件7は最小知識（need-to-know）の原則でのアクセスを適用し、要件8はすべてのシステムアクセスに対して固有の識別と強力な認証を義務付けます。コンプライアンスはトランザクション量に応じて自己評価アンケートまたは現地監査によって検証されます。

PCI-DSSコンプライアンスは、カード会員データ環境（CDE）自体を超えて、CDEのセキュリティに影響を与える可能性のあるすべてのシステムにまで及びます。これには決済システムのクレデンシャルがどのように管理および共有されているかが含まれます。メールや暗号化されていないチャネルで決済処理システムのデータベースパスワードやAPIキーを共有することは、強力なアクセス制御と暗号化に関するPCI-DSSの要件の精神と文字の両方に違反します。

Vaulted における PCI-DSS の使われ方

VaultedはPCI-DSSコンプライアンスをサポートするために、決済システムとカード会員データ環境に関連するクレデンシャルを共有するための暗号化された一時的なチャネルを提供します。チームがデータベースクレデンシャル、決済ゲートウェイAPIキー、またはPCI対象システムのアクセストークンを共有する必要がある場合、Vaultedはデータが送信前にAES-256-GCMでクライアントサイドで暗号化され、使用後に自動削除されることを保証します。これはPCI-DSS要件4（転送中のデータの暗号化）および要件7（必要に応じてアクセスを制限）に沿っており、メールの永続的な平文シークレットを自己消滅型のゼロナレッジリンクに置き換えます。