PA-DSS

ペイメントアプリケーションデータセキュリティ基準(PA-DSS)は、ペイメントカード業界セキュリティ基準協議会(PCI SSC)によって策定された世界的なセキュリティ基準です。[ 1 ] PA-DSSは、ペイメントアプリケーションを開発するソフトウェアベンダー に決定的なデータ基準を提供するために実装されました。この基準は、第三者向けに開発されたペイメントアプリケーションが、磁気ストライプCVV2PINなどの禁止されたセキュアデータを保存しないようにすることを目的としています。その過程で、この基準はソフトウェアベンダーに対し、ペイメントカード業界データセキュリティ基準( PCI DSS )に準拠したペイメントアプリケーションを開発することを義務付けています。

最終的にPA-DSSは2022年後半に廃止されましたが、PA-DSSアプリケーションを使用した既存の実装は必ずしもコンプライアンスステータスを失うわけではありません。[ 2 ] PCI評議会はその後、新しいソフトウェア検証プログラムであるPCIソフトウェアセキュリティフレームワークを確立しました。

要件

決済アプリケーションがPA-DSSに準拠しているとみなされるためには、ソフトウェアベンダーは自社のソフトウェアに以下の14の保護が含まれていることを確認する必要があります。[ 3 ]

  1. 完全なトラック データ、カード検証コードまたは値 (CAV2、CID、CVC2、CVV2)、または PIN ブロック データを保持しないでください。
  2. 保存されたカード所有者データを保護します。
  3. 安全な認証機能を提供します。
  4. 支払い申請アクティビティを記録します。
  5. 安全な支払いアプリケーションを開発します。
  6. 無線通信を保護します。
  7. 脆弱性に対処し、支払いアプリケーションの更新を維持するために支払いアプリケーションをテストします。
  8. 安全なネットワーク実装を容易にします。
  9. カード所有者のデータは、インターネットに接続されたサーバー上に保存してはなりません。
  10. 支払いアプリケーションへの安全なリモート アクセスを容易にします。
  11. パブリック ネットワーク上の機密トラフィックを暗号化します。
  12. コンソール以外のすべての管理アクセスを保護します。
  13. 顧客、再販業者、インテグレーター向けの PA-DSS 実装ガイドを維持します。
  14. 担当者に PA-DSS の責任を割り当て、担当者、顧客、再販業者、インテグレーター向けのトレーニング プログラムを維持します。

ガバナンスと執行

PCI SSCは、PA-DSS準拠が検証された決済アプリケーションのリストを作成し、準拠決済アプリケーションの開発に合わせて更新しています。これらの標準の策定と施行は、現在、PCI SSCの決済アプリケーション認定セキュリティ評価機関(PA-QSA)が担っています。PA-QSAは、決済アプリケーションのレビューを実施し、ソフトウェアベンダーがアプリケーションがPCI標準に準拠していることを確認できるよう支援しています。

歴史

PA-DSSは、当初Visa Inc.によってPABPという名称で管理され、2008年4月15日に開始され、2008年10月15日に更新されました。その後、PA-DSSは遡及的に「バージョン1.1」 [ 4 ]および「バージョン1.2」として区別されるようになりました。[ 5 ]

2009年10月にPA-DSS v1.2.1が3つの注目すべき変更点を伴ってリリースされました。[ 3 ]

  1. 「PA-DSS の範囲」では、PA-DSS プログラム ガイド v1.2.1 と内容を一致させて、PA-DSS が適用されるアプリケーションを明確にします。
  2. 実験室要件6において、「OWASP」のスペルを修正しました。
  3. 検証証明書のパート 2a で、「支払いアプリケーションの機能」を PA-DSS プログラム ガイドに記載されているアプリケーション タイプと一致するように更新し、パート 3b の年次再検証手順を明確にします。

2010年10月にPA-DSS 2.0がリリースされ、[ 6 ] 、v1.2.1からマイナーチェンジを更新し、新しいPCI DSS v2.0に準拠することを示しました。詳細については、「PA-DSS – PA-DSSバージョン1.2.1から2.0への変更概要」をご覧ください。

2013年11月にPA-DSS 3.0がリリースされ、[ 7 ] 「PA-DSS v2からの更新」と記載されています。変更の詳細については、「PA-DSS – PA-DSSバージョン2.0から3.0への変更の概要」を参照してください。[ 8 ]

2015年5月にPA-DSS 3.1がリリースされ[ 3 ]PA-DSS v3.0からの更新が示されました。変更の詳細については、「PA-DSS – PA-DSSバージョン3.0から3.1への変更の概要」を参照してください[ 9 ]

2016年5月に、PA-DSSプログラムガイドと標準のバージョン3.2がリリースされました。[ 10 ] [ 11 ] 詳細については、「PA-DSSバージョン3.1から3.2への変更の概要」を参照してください。[ 12 ]

補足情報

PCI SSC は、PA-DSS をさらに明確にする次のような追加資料を公開しています。

  • PA-DSS要件とセキュリティ評価手順。[ 13 ] [ 14 ] [ 15 ]
  • 過去の基準からの変更点。[ 9 ]
  • QSAのための一般的なプログラムガイド。[ 16 ]

参考文献

  1. ^ PCIセキュリティ標準協議会
  2. ^ PCIセキュリティ標準協議会
  3. ^ a b c「要件およびセキュリティ評価手順 バージョン3.1」(PDF) 。 2016年1月27日閲覧
  4. ^ 「Payment Application Data Security Standard (PA-DSS) V1.1」。PCI Security Standards Council。 2010年8月2日時点のオリジナルよりアーカイブ。
  5. ^ 「Payment Application Data Security Standard (PA-DSS) V1.2」。PCI Security Standards Council。 2010年8月2日時点のオリジナルよりアーカイブ。
  6. ^ 「Payment Card Industry (PCI) Payment Application Data Security Standard Requirements and Security Assessment Procedures: Version 2.0」(PDF) . PCI Security Standards Council . 2017年4月22日閲覧。
  7. ^ 「Payment Card Industry (PCI) Payment Application Data Security Standard: Requirements and Security Assessment Procedures: Version 3.0」(PDF) . PCI Security Standards Council . 2017年4月22日閲覧。
  8. ^ PA-DSS バージョン 2.0 から 3.0 への変更の概要
  9. ^ a b PA-DSSバージョン3.0から3.1への変更の概要
  10. ^ 「Payment Card Industry (PCI) Payment Application Data Security Standard (PA-DSS) v3.2: Program Guide」(PDF) . PCI Security Standards Council . 2016年5月. 2017年4月22日閲覧
  11. ^ 「Payment Card Industry (PCI) Payment Application Data Security Standard: Requirements and Security Assessment Procedures: Version 3.2」(PDF) . PCI Security Standards Council . 2017年4月22日閲覧。
  12. ^ 「PCIセキュリティ標準協議会公式サイト - PCIコンプライアンスの確認、データセキュリティおよびクレジットカードセキュリティ標準のダウンロード」(PDF)www.pcisecuritystandards.org2017年4月22日閲覧
  13. ^ PA-DSS 要件およびセキュリティ評価手順 v1.2.1
  14. ^ PA-DSS 要件およびセキュリティ評価手順 v2.0
  15. ^ PA-DSS 要件およびセキュリティ評価手順 v3
  16. ^ PA-DSS 3.2 プログラムガイド
「 https://en.wikipedia.org/w/index.php?title=PA-DSS&oldid=1323496732」より取得