ペイメントカード業界データセキュリティ標準

ペイメントカード業界データセキュリティ基準PCI DSS)は、カード会員データ(CHD)および/またはセンシティブ認証データ(SAD)の保存、処理、および伝送方法を規制するグローバルデータセキュリティ基準です。PCI DSSには、これらのデータに関連する組織の技術システムおよび運用システムの構成要素に関するガイドラインが含まれています。 [ 1 ]カード会員データとは、プライマリアカウント番号(PAN)、カード会員名、有効期限、サービスコードなどの情報を指します。センシティブ認証データとは、「フルトラックデータ(磁気ストライプデータまたはチップ上の同等のデータ)」、カード検証コード、PIN/PINブロックなどの情報を指します。[ 2 ]この基準は、ペイメントカード業界セキュリティ基準協議会( PCI SSC)によって管理されており、主要なペイメントカードブランドによってその使用が義務付けられています。PCI DSSは、組織がカード会員データを取り扱う際に使用するセキュリティ管理を改善・合理化し、クレジットカード詐欺を削減するために策定されました。加盟店やサービスプロバイダーを含むこれらの組織は、評価および検証プロセスを通じてPCI DSSへの準拠を証明する必要があります。加盟店やサービスプロバイダーがコンプライアンスを証明できない場合、ペイメントカードブランドは罰金やその他のペナルティを科します。コンプライアンスの検証は、組織の取引量に適した方法で、毎年または四半期ごとに実施されます。[ 3 ]

歴史

PCI DSSが導入される前は、決済カードの情報セキュリティは、VisaMastercardAmerican ExpressDiscoverJCBの5大決済カードブランドによって管理されていました。[ 4 ] [ 5 ]各社はそれぞれ異なる独立したセキュリティプログラムを採用していました。[ 6 ]

  • Visaのカード会員情報セキュリティプログラム[ 7 ] [ 6 ]
  • マスターカードのサイトデータ保護[ 6 ]
  • アメリカン・エキスプレスのデータセキュリティ運用ポリシー[ 6 ]
  • ディスカバーの情報セキュリティとコンプライアンス[ 6 ]
  • JCBのデータセキュリティプログラム[ 6 ]

それぞれの意図はほぼ同じで、加盟店がペイメントカードや関連するアカウント情報を扱う際に最低限のセキュリティレベルを満たすことを保証することで、カード発行会社に対する保護レベルをさらに高めることです。1990年代後半から2000年代初頭にかけてペイメントカード詐欺が増加すると、[ 8 ]主要なペイメントカードブランドは、これらの情報セキュリティ基準を合理化し、統一する必要性が高まっていると感じました。[ 9 ]各プログラムには、コンプライアンスの検証、評価、要件に関する独自の方法とガイダンスがありました。[ 6 ]既存の基準間の相互運用性の問題に対処するため、これらのペイメントカードブランドの共同作業の結果、2004年12月にPCI DSSバージョン1.0がリリースされました。[ 9 ]その後、主要なペイメントカードブランドは、Payment Card Industry Security Standards Council (PCI SSC) [ 10 ]を設立し、ポリシーを調整してPCI DSSを作成しました。[ 11 ] PCI DSSはそれ以来、世界中の多くの組織で実装され、遵守されています。[ 6 ]

MasterCard、American Express、Visa、JCB International、およびDiscover Financial Servicesは、2006年9月にPCI DSSの発展と開発を義務付ける世界的な管理・統治機関としてPCI SSCを設立しました。[ 12 ]独立した民間組織も、PCI SSC参加組織プログラムの一環としてPCI開発に参加できます。このプログラムに参加するには、組織はPCI SSC参加組織(PO)として登録する必要があります。各参加組織はSIG(Special Interest Group)に所属し、グループが義務付ける活動に貢献します。

PCI DSSは、PCIセキュリティ基準協議会(PCI SSC)によって定期的に更新される、常に更新される文書です。PCI SSCは、バージョン4.0などのメジャーアップデートを数年ごとにリリースしています。バージョン4.0.1などのマイナーアップデートはより頻繁にリリースされ、通常は小さな変更や明確化が追加されます。 [ 13 ]アップデートがリリースされると、組織には移行期間が与えられます。この期間中に、組織は新しい変更点を理解し、現在のバージョンへの準拠を確実にする必要があります。[ 13 ]移行期間中、組織は現在のバージョンまたは以前のバージョンのいずれかに準拠する必要があります。[ 14 ] PCI DSSには、以下のバージョンが公開されています。[ 15 ]

バージョン日付説明
1.0 2004年12月15日
1.1 2006年9月 明確化と軽微な修正
1.2 2008年10月 明確性の向上、柔軟性の向上、そして進化するリスクと脅威への対応
1.2.1 2009年7月 基準と関連文書間の明確さと一貫性を高めるために設計された軽微な修正
2.0 2010年10月 PCI DSSとPA-DSS(決済アプリケーションデータセキュリティ基準)の関係についての説明、要件とテスト手順に関するいくつかの追加ガイドラインを提供した[ 16 ]
3.0 2013年11月 2014年1月1日から2015年6月30日まで有効
3.1 2015年4月 2016年10月31日をもって退職
3.2 2016年4月 2018年12月31日をもって退職
3.2.1 2018年5月 2024年3月31日以降に退職
4.0 2022年3月 2024年12月31日以降廃止[ 17 ]。v1.0以降最大の更新と改訂[ 5 ]:ファイアウォール用語の更新、多要素認証(MFA)を実装するための要件8の拡張、セキュリティを実証するための柔軟性の向上、リスクエクスポージャーの運用と管理を確立するためのターゲットを絞ったリスク分析[ 18 ]
4.0.1 2024年6月 現在、唯一有効なバージョンです。[ 19 ] [ 15 ]このバージョンへの準拠期限は2025年3月31日でした。[ 20 ]

軽微な改訂:誤植やその他の軽微な誤りを修正し、ガイダンスを更新して明確にし、ガイダンスの定義を削除して代わりに用語集を参照し、新たに定義された用語集用語と、以前は参照がなかった既存の用語集用語について用語集への参照を追加[ 21 ]

要件と管理目標

PCI DSSには12のコンプライアンス要件があり、これらは制御目標と呼ばれる6つの関連グループに分類されています。[ 1 ]

  1. 安全なネットワークとシステムを構築し維持する
  2. カード会員データを保護する
  3. 脆弱性管理プログラムを維持する
  4. 強力なアクセス制御対策を実施する
  5. ネットワークを定期的に監視およびテストする
  6. 情報セキュリティポリシーを維持する

PCI DSSの各バージョンでは、これら6つの要件グループがそれぞれ異なる方法で分類されていますが、12の要件自体は規格の発効以来変更されていません。各要件とサブ要件は、以下の3つのセクションに分かれています。

  1. PCI DSS 要件:要件を定義します。PCI DSS 承認は、要件が実装された時点で行われます。
  2. テスト: 適切な実装を確認するために評価者が実行するプロセスと方法論。
  3. ガイダンス: 要件の目的と対応するコンテンツについて説明します。これにより、要件を適切に定義するのに役立ちます。

PCI DSSバージョン4.0.1では、12の要件は次のとおりです。[ 2 ]

  1. ネットワーク セキュリティ制御をインストールして維持します。
  2. すべてのシステム コンポーネントに安全な構成を適用します。
  3. 保存されたアカウントデータを保護します。
  4. オープンなパブリック ネットワーク経由での送信中に、強力な暗号化を使用してカード所有者データを保護します。
  5. すべてのシステムとネットワークを悪意のあるソフトウェアから保護します。
  6. 安全なシステムとソフトウェアを開発および保守します。
  7. 業務上必要な範囲でシステム コンポーネントおよびカード所有者データへのアクセスを制限します。
  8. ユーザーを識別し、システム コンポーネントへのアクセスを認証します。
  9. カード所有者データへの物理的なアクセスを制限します。
  10. システム コンポーネントおよびカード所有者データへのすべてのアクセスをログに記録して監視します。
  11. システムとネットワークのセキュリティを定期的にテストします。
  12. 組織のポリシーとプログラムで情報セキュリティをサポートします。

最新情報と補足情報

PCI SSC (Payment Card Industry Security Standards Council) は、次のような要件を明確にするための補足情報を公開しました。

  • 情報補足: 要件 11.3 侵入テスト
  • 情報補足:要件 6.6 コードレビューとアプリケーションファイアウォールの明確化
  • PCI DSS を理解する - 要件の意図を理解する
  • PCI DSSワイヤレスガイドライン[ 22 ]
  • EMV環境におけるPCI DSSの適用性
  • PCI DSS の優先アプローチ
  • 優先アプローチツール
  • PCI DSS クイックリファレンスガイド
  • PCI DSS 仮想化ガイドライン
  • PCI DSS トークン化ガイドライン
  • PCI DSS 2.0 リスク評価ガイドライン
  • PCI DSSおよびPA-DSSの変更のライフサイクル
  • PCI DSS のスコープとセグメンテーションに関するガイダンス
  • PCI DSS v4.0リソースハブ[ 23 ]
  • PCI DSS 変更の概要: v4.0 から v4.0.1 [ 21 ]

商人レベル

カード会員データを保存、処理、送信する加盟店はPCI DSS基準の対象となり、PCI準拠とみなされる必要があります。PCI DSSフレームワークでは、これらの事業体を加盟店レベルに分類し、準拠するために企業が完了する必要がある報告の種類を決定します。[ 6 ]企業の加盟店レベルは、データセットのサイズ、つまり企業が年間に行う取引数によって決まります。[ 24 ]アクワイアラーまたは決済ブランドは、独自の裁量で組織を報告レベルに手動で配置できます。[ 25 ]すべての決済カードブランドが4つの加盟店レベルすべてを使用しているわけではなく、各レベルの取引量は決済カードブランド間で異なる場合があります。[ 4 ]たとえば、Visaには3つの加盟店レベルしかありません。[ 26 ]一般的に受け入れられている4つの加盟店レベルは次のとおりです。[ 4 ] [ 6 ]

  • レベル1 – 年間600万件以上の取引
  • レベル2 – 年間100万~600万件の取引
  • レベル3 – 年間取引件数2万件から100万件、すべてのeコマース事業者
  • レベル4 – 年間取引件数2万件未満

カード発行会社は、コンプライアンスレベルの表とサービスプロバイダーの表を維持しています。[ 27 ] [ 28 ]

サービスプロバイダーレベル

PCI DSSによれば、カード会員データを保存、処理、送信したり、顧客のアカウントデータにアクセスしたりするサードパーティサービスプロバイダーは、PCI DSS基準の対象となります。[ 2 ]サービスプロバイダーには、決済ソフトウェアベンダー、サービスとしてのソフトウェア(SaaS)、データセンター、その他の同様の事業体が含まれます。[ 2 ]サービスプロバイダーは、評価プロセスを通じてPCI DSSへの準拠を証明する必要があります。サービスプロバイダーが完了する必要がある報告プロセスの種類は、サービスプロバイダーの種類によって異なります。[ 10 ]サービスプロバイダーは、準拠に必要な報告を決定するレベルに分類されます。[ 29 ] 2つのサービスプロバイダーレベルは次のとおりです。[ 29 ]

  • レベル1:
    • すべてのサードパーティプロセッサ(TPP)
    • すべてのステージングデジタルウォレットオペレーター(SDWO)
    • すべてのデジタルアクティビティサービスプロバイダー(DASP)
    • すべてのビジネス決済サービスプロバイダー(BPSP)
    • すべてのトークンサービスプロバイダー(TSP)
    • すべての3-Dセキュアサービスプロバイダー(3-DSSP)
    • すべての分割払いサービスプロバイダー(ISP)
    • すべての加盟店決済ゲートウェイ(MPG)
    • 年間30万件以上のMastercardとMaestroの取引を行っているすべてのAML/制裁サービスプロバイダー、データストレージエンティティ(DSE)、および決済ファシリテーター(PF)
  • レベル2:
    • 年間のMastercardとMaestroの合計取引数が30万件以下のすべてのAML/制裁サービスプロバイダー、DSE6、PF
    • すべてのターミナルサービス業者(TS)

コンプライアンス

ペイメントカードブランドは、定期的に、加盟店とサービスプロバイダーの両方にPCI DSS準拠を実証することを求めています。[ 26 ] PCI DSS準拠には、PCI DSSのすべての要件に準拠するセキュリティ制御を実装し、準拠の検証を達成するためのPCI DSS評価プロセスに合格することが含まれます。[ 4 ]主要なクレジットカードブランドは、準拠検証を取得しない加盟店に罰金を科すことで、PCI DSS準拠を強制しています [ 4 ]加盟店とサービスプロバイダーは支払い処理業者とペイメントカードブランドと、そのような罰金や料金を概説したB2B契約を締結しています。[ 5 ]加盟店の準拠違反が発生した場合、ペイメントカードブランドはアクワイアリング銀行に罰金を科し、アクワイアリング銀行は準拠していない加盟店に罰金またはその他の罰則を科します。[ 31 ] PCI DSS準拠の取得と評価プロセスのナビゲートは複雑な場合があり、そのため多くの企業これに苦労しています。 Verizonの2018年決済セキュリティレポートによると、中間コンプライアンス検証において、47.5%の組織がPCI DSSに準拠していませんでした。コンプライアンスを達成した組織の数は2010年代初頭まで着実に増加していましたが、近年ではこの増加率は低下している可能性があります。[ 32 ]

コンプライアンス検証

コンプライアンス検証には、セキュリティ管理策と手順がPCI DSSに従って実装されているかどうかの評価と確認が含まれます。検証は、外部機関による年次評価または自己評価を通じて行われます。[ 33 ]評価プロセスには、以下のステップが含まれます。[ 2 ]

  1. PCI DSS 評価の範囲を確認します。
  2. 環境の PCI DSS 評価を実行します。
  3. PCI DSS のガイダンスと指示に従って、評価に該当するレポートを完成させます。
  4. 該当する場合、サービスプロバイダーまたは販売業者のコンプライアンス証明書をすべて完了します。
  5. 該当する PCI SSC ドキュメントとコンプライアンス証明書を、要求されたその他のドキュメントとともに、要求元組織 (決済ブランドやアクワイアラーなどのコンプライアンス プログラムを管理する組織 (加盟店の場合)、またはその他の要求者 (サービス プロバイダーの場合)) に提出します。

コンプライアンスに関する報告書

コンプライアンス報告書(ROC)は、PCI認定セキュリティ評価機関(QSA)によって作成され、PCI DSS規格への準拠を独立して検証することを目的としています。ROCが完了すると、完了したテストの詳細な説明が記載されたROCレポートテンプレートと、ROCが完了したこととROCの全体的な結論を文書化したコンプライアンス証明書(AOC)の2つの文書が作成されます。

自己評価アンケート

PCI DSS自己評価質問票(SAQ)は、中小規模の加盟店およびサービスプロバイダーが自社のPCI DSS準拠状況を評価するための検証ツールです。SA​​Qには複数の種類があり、それぞれエンティティの種類と決済モデルに応じて質問の長さが異なります。各SAQの質問には「はい」または「いいえ」で回答し、「いいえ」と回答したエンティティは、今後の実装について回答する必要があります。ROCと同様に、SAQに基づく準拠証明書(AOC)も作成されます。

セキュリティ評価者

PCI セキュリティ標準協議会は、評価活動を実行する企業および個人を認定するプログラムを運営しています。

認定セキュリティ評価者

認定セキュリティ評価者(QSA)は、PCIセキュリティ基準協議会によって認定された個人であり、他の組織のPCI DSS準拠を検証します。QSAは、PCIセキュリティ基準協議会によって認定されたQSA会社によって雇用され、スポンサーシップを受ける必要があります。[ 34 ] [ 35 ]

内部セキュリティ評価者

内部セキュリティ評価者(ISA)とは、PCIセキュリティ基準協議会(PCI SSC)からスポンサー組織向けの認定を取得し、組織のPCI自己評価を実施できる個人です。ISAプログラムは、レベル2加盟店がマスターカードのコンプライアンス検証要件を満たすのを支援するために設計されました。[ 36 ] ISA認定資格を取得すると、個人は所属組織の評価を実施し、PCI DSSコンプライアンスのためのセキュリティソリューションと管理策を提案できるようになります。ISAは、QSAとの協力と参加を担当します。[ 33 ]

コンプライアンスとコンプライアンスの検証

PCI DSSは、カード所有者データや機密認証データを処理、保管、転送する、またはそのような情報のセキュリティに影響を与える可能性のあるすべての事業体に実装されなければなりませんが、[ 2 ] PCI DSS準拠の正式な検証はすべての事業体に義務付けられているわけではありません。VisaMastercardは、加盟店とサービスプロバイダーにPCI DSSに従って検証されることを義務付けています。Visaはまた、技術革新プログラム(TIP)を提供しています。これは、資格のある加盟店が毎年のPCI DSS検証評価を中止できるようにする代替プログラムです。加盟店は、 EMVポイントツーポイント暗号化の使用など、詐欺に対する代替予防策を講じている場合は、資格があります。

発行銀行はPCI DSSの認証を受ける義務はありませんが、機密データをPCI DSSに準拠した方法で保護する必要があります。加盟店契約銀行はPCI DSSに準拠し、監査によってその準拠を検証する必要があります。セキュリティ侵害が発生した場合、侵害発生時にPCI DSSに準拠していなかった組織は、カードブランドまたは加盟店契約銀行から追加の罰則(罰金など)の対象となる可能性があります。

PCI DSSへの準拠を義務付けたり強制したりする管理機関はありませんが、PCI DSSの要件が国、州、または地域の法律と矛盾する場合は、その法律が適用されます。[ 2 ]欧州連合(EU)の一般データ保護規則(GDPR)は、個人データを管理する法的基準です。GDPRでは、カード所有者データは個人データの一種とみなされるため、GDPRはカード所有者データに関してPCI DSSと同様のセキュリティ管理基準を有しています。[ 37 ]そのため、多くの欧州組織にとって、PCI DSS違反はGDPR違反にも該当することが多く、主要なペイメントカードブランドと欧州連合の両方から罰金が科される可能性があります。[ 31 ] [ 37 ]これらのGDPR違反の罰金は、最大「2,000万ユーロまたは年間世界売上高の4%」(いずれか大きい方)となります。[ 31 ]

米国の法律

PCI DSSへの準拠は米国連邦法では義務付けられていないが、[ 38 ]米国の一部の州の法律ではPCI DSSに直接言及しているか、同等の規定を設けている。2007年にミネソタ州は、取引の承認後48時間以上経過した一部の種類のペイメントカードデータを保持することを禁止する法律を制定した。[ 39 ] [ 40 ]ネバダ州は2年後にこの標準を州法に組み込み、その州で事業を行う商人に現在のPCI DSSへの準拠を義務付け、準拠している事業体を責任から免除した。ネバダ州法ではまた、商人が他の承認されたセキュリティ標準によって責任を回避することも認められている。[ 41 ] [ 42 ] 2010年にワシントン州もこの標準を州法に組み込んだ。ネバダ州の法律とは異なり、事業体はPCI DSSに準拠する必要はないが、準拠している事業体はデータ漏洩が発生した場合の責任から免除される。[ 43 ] [ 42 ]法学者のエドワード・モースとヴァサント・ラヴァルは、PCI DSSへの準拠を法律で定めることで、カードネットワークはカード発行会社から加盟店に詐欺のコストを再配分したと述べています。[ 42 ]

論争と批判

大手クレジットカード会社は、違反に対して罰金を科します。一部の事業主、特に中小企業の経営者[ 44 ]は、不正行為が発生していない場合でもクレジットカード会社が企業に罰金を科すため、PCI DSSシステムを批判しています。ユタ州パークシティにある小さなレストラン「Cisero's Ristorante and Nightclub」のオーナー、スティーブン・マコーム氏とセオドラ・「シシー」・マコーム氏は、2つのフォレンジック会社が証拠を発見できなかった違反行為により罰金を科されました。彼らは、PCI DSSシステムは、カード会員データのセキュリティ確保のためではなく、大手カード会社が加盟店から利益を上げるために存在すると主張しています[ 45 ] 。

当時マイケルズCIOだったマイケル・ジョーンズは、PCI DSSについて米国議会の小委員会で証言した。 [ 46 ]

[PCI DSS要件]は、導入に多大な費用がかかり、遵守も複雑で、解釈と施行の両面において最終的に主観的なものとなります。PCIコンプライアンスの「要件」は12項目しかないとよく言われますが、実際には220項目を超える下位要件があり、その中には小売業者にとって非常に大きな負担となるものもあり、その多くは解釈の余地があります

PCI DSSの支持者は、たとえ最低基準がセキュリティ問題を根絶するのに十分ではないとしても、PCI DSSは企業にITセキュリティへのより一層の注意を促しうると主張している。ブルース・シュナイアー氏は、この基準を支持する発言をした。

SOX法、HIPAA、GLBA、クレジットカード業界のPCI、各種情報開示法、欧州データ保護法など、規制は業界が企業を叩き潰すための最良の手段であり、効果を発揮しています。規制は企業にセキュリティをより真剣に受け止めさせ、より多くの製品やサービスの販売を促進します。[ 47 ]

PCI Council ゼネラルマネージャーの Bob Russo 氏は、全米小売業協会の異議に対して次のように回答しました。

PCIは、特異性と高レベルの概念を構造的に組み合わせたものであり、利害関係者が認定セキュリティ評価機関(QSA)と協力して、PCI標準の意図を満たす適切なセキュリティ管理策を自社の環境内で決定する機会と柔軟性を提供します。[ 48 ]

元ビザ最高企業リスク責任者エレン・リッチーは2018年に「侵害時にPCI DSSに準拠していなかったことが判明した侵害対象組織はまだない」と述べた。[ 49 ]しかし、2008年のハートランド・ペイメント・システムズ(PCI DSS準拠として検証済み)の侵害では、1億件以上のカード番号が侵害された。[ 50 ]その頃、ハンナフォード・ブラザーズTJXカンパニーズ(PCI DSS準拠として検証済み)も同様に侵害を受けたが、これはアルバート・ゴンザレスと名前が明らかにされていない2人のロシア人ハッカーの共謀によるものとされている。[ 51 ] [ 50 ] 2013年12月、データ侵害により4000万件以上のターゲット顧客アカウントが侵害された。[ 52 ] [ 50 ]当時のターゲットの執行副社長兼最高財務責任者であるジョン・マリガンは、2013年9月の侵害の数か月前にターゲットがPCI準拠の認定を受けていたことを確認した。[ 53 ]事件のニュースは広まり、PCI DSSの妥当性に疑問が投げかけられた。

評価では、特定の時点における加盟店およびサービスプロバイダーのPCI DSSへの準拠状況を調査します。多くの場合、代表的なシステムとプロセスで準拠を実証できるよう、サンプリングが用いられます。加盟店およびサービスプロバイダーは、年間の検証・評価サイクルを通じて、すべてのシステムとプロセスにおいて準拠を達成、実証、維持する責任を負います。加盟店およびサービスプロバイダーによるPCI DSS準拠の不備が、今回の違反の原因となった可能性があります。Hannaford Brothersは、2か月にわたる社内システムの侵害を認識した翌日に、PCI DSS準拠の検証を受けました。

コンプライアンス検証はレベル1から3の加盟店にのみ必須であり、レベル4ではカードブランドとアクワイアラーによってはオプションとなる場合があります。Visaの加盟店向けコンプライアンス検証の詳細によると、レベル4加盟店のコンプライアンス検証要件(「年間2万件未満のVisa電子商取引取引を処理する加盟店、および年間100万件までのVisa取引を処理するその他のすべての加盟店」)はアクワイアラーによって設定されます。2005年から2007年の間に発生したペイメントカード侵害の80%以上はレベル4加盟店に影響を及ぼし、これらの加盟店は全取引の32%を処理していました。[ 54 ]

参照

参考文献

  1. ^ a b「PCI DSSクイックリファレンスガイド」(PDF)。2020年11月12日時点のオリジナルよりアーカイブ(PDF) 。 2020年11月12日閲覧
  2. ^ a b c d e f g「Payment Card Industry Data Security Standard: Requirements and Testing Procedures Version 4.0.1. June 2024」(PDF) . PCI Security Standards Council, LLC . 2025年10月25日閲覧
  3. ^ 「Payment Card Industry (PCI) データセキュリティ基準の要件とセキュリティ評価手順 バージョン3.2.1 2018年5月」(PDF)。PCI Security Standards Council, LLC。2018年9月1日時点のオリジナルよりアーカイブ(PDF) 。 2018年9月4日閲覧
  4. ^ a b c d e「PCIコンプライアンスガイド:決済データの保護と詐欺防止」 www.jpmorgan.com . 2025年11月22日閲覧
  5. ^ a b c「PCIセキュリティコンプライアンスと標準の歴史」 Verizon Business . 2025年10月26日閲覧
  6. ^ a b c d e f g h i j Chippagiri, Srinivas; Ramesh, Apoorva (2025). 「PCI DSS:ペイメントカードセキュリティにおける実装、有効性、および法的影響に関する批判的分析」国際コンピュータサイエンス、エンジニアリング、情報技術科学研究ジャーナル11 (1): 1258– 1266. doi : 10.32628/CSEIT251112115 .
  7. ^ブラックウェル、クライヴ 2008年11月)「PCIデータセキュリティ標準を用いたオンラインクレジットカードデータの管理」2008年第3回国際デジタル情報管理会議。pp.  838– 843。doi : 10.1109 /ICDIM.2008.4746843。ISBN 978-1-4244-2916-5– IEEE Xplore 経由。
  8. ^ 「クレジットカード詐欺|防止と検出戦略|ブリタニカ」 www.britannica.com 202510月26日閲覧
  9. ^ a b「PCIコンプライアンスの歴史:始まりと今後の方向性 | MRC」merchantriskcouncil.org . 2025年10月26日閲覧
  10. ^ a b Laredo, Vanesa Gil (2008年4月1日). 「PCI DSSコンプライアンス:戦略の問題」 . Card Technology Today . 20 (4): 9. doi : 10.1016/S0965-2590(08)70094-X . ISSN 0965-2590 . 
  11. ^ Liu, Jing; Xiao, Yang; Chen, Hui; Ozdemir, Suat; Dodle, Srinivas; Singh, Vikas (2010). 「ペイメントカード業界のデータセキュリティ基準に関する調査」. IEEE Communications Surveys & Tutorials . 12 (3): 287– 303. doi : 10.1109/SURV.2010.031810.00083 . S2CID 18117838 . 
  12. ^ 「About Us」 . PCI Security Standards Council . 2022年4月2日時点のオリジナルよりアーカイブ2022年12月15日閲覧。
  13. ^ a b Goodspeed, Lindsay. 「Updated PCI DSS v4.0 Timeline」 . blog.pcisecuritystandards.org . 2025年11月16日閲覧
  14. ^ 「PCI DSS バージョン 4.0 実装タイムライン」 . BDO . 2022年11月9日. 2025年11月16日閲覧
  15. ^ a b「ドキュメントライブラリ」。PCIセキュリティ標準協議会。2020年11月7日時点のオリジナルよりアーカイブ2020年11月12日閲覧。
  16. ^「PCIデータセキュリティ基準:PCI DSSバージョン1.2.1から2.0への変更点の概要(2010年10月)」(PDF)。PCIセキュリティ基準協議会(PCI Security Standards Council, LLC)。2025年10月25日閲覧。
  17. ^マローン、アリシア. 「Just Published: PCI DSS v4.0.1」 . blog.pcisecuritystandards.org . 2025年10月25日閲覧
  18. ^ 「決済の未来を守る:PCI SSCがPCIデータセキュリティ基準v4.0を公開」。PCIセキュリティ基準協議会(PCI SSC)。2022年3月31日。2022年4月9日時点のオリジナルよりアーカイブ。 2022年4月8日閲覧
  19. ^ 「よくある質問」 . PCIセキュリティ標準協議会. 2022年9月20日時点のオリジナルよりアーカイブ。 2025年10月25日閲覧
  20. ^ 「PCI DSS将来日付コントロール:セキュリティ戦略を形成する7つの重要な変更」 Barr Advisory 2025年2月7日2025年10月25日閲覧
  21. ^ a b「PCIデータセキュリティ基準:PCI DSSバージョン4.0から4.0.1への変更点の概要。2024年8月」(PDF)。PCIセキュリティ基準協議会。 2024年12月31日閲覧
  22. ^ 「情報補足:PCI DSSワイヤレスガイドライン」(PDF) 2011年8月26日。2018年10月31日時点のオリジナルよりアーカイブ(PDF) 。 2018年8月8日閲覧
  23. ^ 「PCI DSS v4.0 リソースハブ」2023年3月23日時点のオリジナルよりアーカイブ2023年3月24日閲覧。
  24. ^ 「PCI DSS加盟店レベル:コンプライアンス初心者向けガイド」 nationalprocessing.com 2024年10月20日2025年10月24日閲覧
  25. ^ 「PCIセキュリティ標準協議会公式サイト - PCIコンプライアンスの確認、データセキュリティおよびクレジットカードセキュリティ標準のダウンロード」 www.pcisecuritystandards.org 2019年9月2日時点のオリジナルよりアーカイブ。 2007年2月21日閲覧
  26. ^ a b「アカウント情報セキュリティ(AIS)プログラムとPCI」corporate.visa.com . 2025年11月23日閲覧
  27. ^ “ヨーロッパのビザ” . 2019年2月9日時点のオリジナルよりアーカイブ2019年2月8日閲覧。
  28. ^ 「加盟店が知っておくべきこと | 決済データ処理と安全な取引 | Mastercard」www.mastercard.us2019年2月9日時点のオリジナルよりアーカイブ2019年2月8日閲覧
  29. ^ a b「Mastercard Site Data Protection (SDP) Program & PCI」Mastercard . 2025年9月29日時点のオリジナルよりアーカイブ2025年11月23日閲覧。
  30. ^ 「PCIコンプライアンス要件 | ビジネスおよび金融サービス」bfs.ucsb.edu . 2025年11月22日閲覧
  31. ^ a b c「PCI DSS | 概要と遵守方法 | IT Governance UK」 itgovernance.co.uk . 2025年11月23日閲覧
  32. ^ 「2018年決済セキュリティレポート」Verizon Enterprise . 2025年11月23日閲覧
  33. ^ a b PCIセキュリティ基準審議会. 「Payment Card Industry (PCI) Data Security Standard Requirements and Security Assessment Procedures Version 3.2」(PDF) . PCIセキュリティ基準審議会、LLC. 2023年7月19日時点のオリジナルよりアーカイブ。 2018年9月4日閲覧
  34. ^ 「Qualified Security Assessors」 . PCI Security Standards Council. 2023年5月18日時点のオリジナルよりアーカイブ。 2023年5月18日閲覧
  35. ^ 「認定セキュリティ評価者(QSA)の資格要件」(PDF)。PCIセキュリティ標準協議会。
  36. ^ 「必要のないPCI認証の支払いは避けよう」 FierceRetail 2010年5月12日。 2022年5月17日時点のオリジナルよりアーカイブ2018年3月26日閲覧。
  37. ^ a b Elluri, Lavanya; Nagar, Ankur; Joshi, Karuna Pande (2018年12月). 「GDPRおよびPCI DSSコンプライアンスの自動化のための統合ナレッジグラフ」. 2018 IEEE International Conference on Big Data (Big Data) . pp.  1266– 1271. doi : 10.1109/BigData.2018.8622236 . ISBN 978-1-5386-5036-3
  38. ^ 「PCI DSS(Payment Card Industry Data Security Standard)| IT Governance USA」 itgovernanceusa.com . 2025年10月25日閲覧
  39. ^ James T. Graves, 「ミネソタ州のPCI法:データセキュリティにおける法定義務への小さな一歩」 2020年8月6日アーカイブWayback MachineにてWilliam Mitchell Law Review 34, no. 3 (2008): 1115-1146
  40. ^ “MINN. STAT. § 325E.64” . 2019年10月10日時点のオリジナルよりアーカイブ2019年10月10日閲覧。
  41. ^ “NEV. REV. STAT. § 603A.215” . 2019年10月1日時点のオリジナルよりアーカイブ2019年10月10日閲覧。
  42. ^ a b c Edward A. Morse; Vasant Raval, Private Ordering in Light of the Law: Achieving Consumer Protection through Payment Card Security Measures Archived August 6, 2020, at the Wayback Machine DePaul Business & Commercial Law Journal 10, no. 2 (Winter 2012): 213-266
  43. ^ “2010 Wash. Sess. Laws 1055, § 3” (PDF) . 2019年7月28日時点のオリジナルよりアーカイブ(PDF) . 2019年10月10日閲覧
  44. ^ Boese IV, Robert F. (2020). 「中小企業のPCI DSSコンプライアンスの課題」 . Utica College ProQuest Dissertations & Theses . ProQuest 2378961709 – ProQuest経由. 
  45. ^ゼッター、キム. 「クレジットカード会社のセキュリティ基準と罰金をめぐる稀な法的闘争」 . Wired . ISSN 1059-1028 . 2025年11月29日閲覧 
  46. ^米国議会(2009年3月31日)「ペイメントカード業界のデータ標準はサイバー犯罪を減らすのか?下院国土安全保障委員会の新たな脅威、サイバーセキュリティ、科学技術小委員会における公聴会、第111回議会第1会期」国土安全保障省デジタルライブラリ。 2025年10月26日閲覧
  47. ^ 「ブルース・シュナイアーが10年間のセキュリティ動向を振り返る」。Schneier on Security、2008年1月15日。2019年3月3日時点のオリジナルよりアーカイブ2019年3月8日閲覧。
  48. ^ 「PCIコンプライアンスはセキュリティ対策に悪影響を与えるか?」 www.brighttalk.com 2021年4月18日時点のオリジナルよりアーカイブ2020年10月9日閲覧。
  49. ^ Vijayan, Jaikumar (2009年3月19日). 「PCIセキュリティ基準に対する侵害後の批判は的外れ、Visa幹部が発言」 Computerworld . 2018年9月4日時点のオリジナルよりアーカイブ。 2018年9月4日閲覧
  50. ^ a b c Williams, Branden R.; Chuvakin, Anton A.; Milroy, Derek (2015). PCIコンプライアンス:効果的なPCIデータセキュリティ標準コンプライアンスの理解と実装第4版(オンライン版))。マサチューセッツ州ウォルサム:Syngress。ISBN 978-0-12-801579-7
  51. ^ Salim, Hamid M. (2014).サイバーセーフティ:サイバーセキュリティリスク管理へのシステム思考とシステム理論アプローチ(学位論文). マサチューセッツ工科大学. hdl : 1721.1/90804 . 2021年4月18日時点のオリジナルよりアーカイブ。 2020年10月8日閲覧
  52. ^ Press, Associated (2013年12月19日). 「Target、データ侵害が数百万枚のクレジットカードに影響した可能性があると発表」 . The Guardian . ISSN 0261-3077 . 2025年10月26日閲覧。 
  53. ^ロックフェラー会長宛多数派スタッフ報告書(2014年)。 2013年のターゲット社データ侵害における「キルチェーン」分析。米国上院商務・科学・運輸委員会。
  54. ^ 「コンプライアンスの検証 | 情報セキュリティ」caribbean.visa.com . 2025年11月3日閲覧
「 https://en.wikipedia.org/w/index.php?title=Payment_Card_Industry_Data_Security_Standard&oldid=1331220173」より取得