Payment Card Industry (PCI) Data Security Standard (DSS)

Payment Card Industry (PCI) Data Security Standard (DSS)

Azure は、Payment Card Industry Data Security Standards レベル 1 バージョン 3.2 に準拠しています。

マイクロソフトと PCI DSS

Microsoft Azure では、年 1 回、認定 Qualified Security Assessor (QSA) による PCI DSS 評価を実施しています。監査人が審査するのは Azure 環境です。この審査には、インフラ、開発、運用、管理、サポート、および対象サービスの検証が含まれます。PCI DSS では、取引量に応じて 4 つのレベルのコンプライアンスが指定されています。Azure は PCI DSS Version 3.2 サービス プロバイダー レベル 1 (年間取引量が最も多く、600 万件を超える) 準拠として認定されています。

評価の結果、QSA による Attestation of Compliance (AoC) と Report on Compliance (RoC) が発行されています。コンプライアンスの有効期間は、監査に合格して、査定人から AoC を受け取ったときから始まり、その AoC に署名された日付の 1 年後に終了します。QSA が Azure を PCI DSS v3.1 に準拠していると判定したことを示すために AoC があります。

カード所有者環境またはカード処理サービスを開発しようとしているお客様は、基礎となる多くの部分で Azure の検証を活用できるため、独自の PCI DSS 証明を取得するために費やす労力とコストを削減できます。

ただし、Azure の PCI DSS コンプライアンス ステータスが、顧客が Azure Platform で構築またはホストするサービスの PCI DSS 認定を直ちに意味するわけではありません。これを理解しておくことが重要です。PCI DSS 要件への対応についてはお客様自身が責任を負います。Azure カスタマー PCI ガイドには、PCI DSS の各要件の責任領域、その責任が Azure または顧客のどちらに適用されるか、または共有されるのかが規定されています。

Microsoft Cloud における PCI DSS のメリットをご確認ください。

Payment Card Industry (PCI) Data Security Standards (DSS) の背景解説をダウンロード

対象となるマイクロソフトのクラウド サービス

  • Azure および Azure Government 詳細リスト
  • Cloud App Security
  • Graph
  • Intune
  • Microsoft Flow クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power Apps クラウド サービス (スタンドアロン サービス、または Office 365 および Dynamics 365 ブランド プランあるいはスイートに搭載されているサービス)
  • Power BI クラウド サービス (スタンドアロン サービス、または Office 365 ブランド プランあるいはスイートに搭載されているサービス)

Azure 上で動作する PCI DSS ソリューションを入手

「Azure のセキュリティと PCI DSS コンプライアンスのブループリント」を使用すれば、クラウドでより迅速に PCI DSS ソリューションを構築してデプロイできます。リファレンス アーキテクチャ、デプロイメントのガイダンス、制御実装のマッピング、自動スクリプトなどを提供します。

Azure PCI DSS ブループリントの使用を開始する

PCI DSS の概要

Payment Card Industry (PCI) Data Security Standards (DSS) は、クレジット カードのデータを安全に管理して不正利用を防ぐ目的で策定されたグローバル情報セキュリティ基準です。クレジット カード主要 5 社 (Visa、MasterCard、American Express、Discover、ジェーシービー (JCB)) によるカード支払いを受け付ける、あらゆる規模の組織が PCI DSS 基準に従う必要があります。この PCI DSS への準拠は、支払いとカード所有者に関するデータを保存、処理、または転送するすべての組織に求められます。

コンプライアンスを一元管理する

Compliance Manager により、マイクロソフトのクラウド サービスを利用する際、リアルタイムのリスク評価を実施し、実用的なインサイトを提供して、コンプライアンス プロセスを簡素化することができます。

Compliance Manager を今すぐ試すセキュリティ、プライバシー、コンプライアンスに関するブログを読む

よく寄せられる質問

すべて展開

Azure AoC の表紙に記載されている「2016 年 4 月」の日付は、AoC テンプレートが発行された日付です。評価の日付については、セクション 2 を参照してください。提供されているリンク http://aka.ms/azure-pci をクリックすると、最新バージョンの Azure AoC に移動します。

Azure は、PCI カスタマーが活用する新しいサービスを継続してリリースしています。お客様のニーズに対応するため、Azure に対して毎年 2 つの PCI 評価を実施しています。コア AoC は Azure プラットフォーム、インフラ、そしてほとんどの Azure サービスを対象としています。アドオン AoC は新しい Azure サービスとコア アセスメントに含まれなかったほとんどの Azure サービスを対象としています。アドオン AoC はコア AoC に依存するため、両方の AoC を併用する必要があります。コア AoC は 3 月に発行され、その後アドオン AoC は毎年 6 月に発行されます。

Payment Application Data Security Standard (PA DSS) は PCI DSS に準拠する一連の条件で、Visa の Payment Application Best Practices に代わるものであり、他の主要カード発行元のコンプライアンス要件が統合されています。PA DSS は、カード承認または決済処理の一環として、カード所有者の支払いデータを保存、処理、または転送するサード パーティ アプリケーションを、ソフトウェア ベンダーが開発する際に役立ちます。PCI DSS コンプライアンスを効率的に実現するには、小売り業者が PA DSS 認定アプリケーションを使用する必要があります。PA DSS は Azure には適用されないので、ご注意ください。

「取得者」とは、カード決済を処理する銀行またはその他の事業者のことです。Azure がカード支払い処理をサービスとして提供することはないため、取得者を利用することはありません。

規模や取引数に関係なく、カード会員データを受信、転送、または保存するすべての企業に適用されます。つまり、顧客がクレジット カードまたはデビット カードを使用して企業に支払った場合は、必ず PCI DSS 要件が適用されます。企業は、12 か月間の取引量合計に基づいて 4 つのレベルのいずれかで検証されます。レベル 1 は年間取引件数が 600 万件を超える企業、レベル 2 は 100 ~ 600 万件、レベル 3 は 2 ~ 100 万件、レベル 4 は 2 万件未満の企業を対象としています。

PCI Security Standards Council が提供している情報により、具体的なコンプライアンス要件を把握できます。この委員会では、PCI DSS を使用してカード支払い取引環境を保護する方法および PCI DSS の適用方法の説明が記載されている「PCI DSS クイック リファレンス ガイド」(英語) を発行しています。また、PCI DSS コンプライアンスを評価するためのリソースも提供しています。

コンプライアンスには、Azure ではホストされていないシステムやプロセスの評価を含め、いくつかの要素があります。要件はそれぞれ、Azure サービスが使用される場所や、サービスがソリューション内でどのように利用されているかによって異なります。