世界有数のEコマースプラットフォームであるShoplazzaは、ペイメントカードのデータ保護を規定する最新の必須セキュリティフレームワークであるPayment Card Industry Data Security Standard (PCI DSS) v4.0.1の認証を取得したことを発表した。この認定は、PCI DSS v3.2.1が2024年3月31日に正式に廃止され、v4.0.1がペイメントカード情報を取り扱う組織にとって唯一有効な標準となったことに伴うものです。
Shoplazzaは決済セキュリティコンプライアンスのベンチマークとなる
PCI DSS v4.0.1への完全準拠により、Shoplazzaはそのインフラとプロセスが、カード会員データを保護するための最高のグローバル基準を満たしていることを確認しました。PCI DSSに準拠していない場合、決済処理権限の制限または停止が行われるため、この認定はPayPalのような決済プロバイダーとのシームレスな統合を維持するために不可欠です。
「PCI DSS v4.0.1を採用することは、今日のデジタル環境ではオプションではなく、ビジネス上必要なことです。「ShoplazzaのCOOであるアリソンは、次のように述べています。「最新のセキュリティ管理を組み込むことで、加盟店は、自社の決済システムが主要なカードネットワークおよび決済プロバイダーの厳しい要件に準拠していることを認識しながら、中断することなく業務を行うことができます。
PCI DSS v4.0.1とは?
Payment Card Industry Security Standards Council(PCI SSC)が策定したPCI DSSは、ペイメントカード詐欺、データ漏洩、個人情報の盗難を防止するために策定された世界的に認知されたフレームワークです。2024年6月にリリースされるv4.0.1アップデートでは、以下のような主な目的と機能強化が導入されます:
-
ペイメント業界のセキュリティニーズに引き続き対応する。
-
継続的なプロセスとしてのセキュリティの推進
-
多様なセキュリティアプローチを使用する組織に対する柔軟性の向上
-
検証方法とサポート手順の強化
そのほか、技術的な課題やセキュリティ上の課題にも対応する。
-
クラウド環境とAPIセキュリティ:クラウドベースのインフラを保護し、APIセキュリティ対策を強化するための具体的なコントロールを導入する。
-
高度なフィッシングとマルウェア ますます巧妙化するフィッシング詐欺や悪意のあるソフトウェア攻撃に対抗するため、セーフガードの強化が盛り込まれている。
-
暗号化と鍵管理: 機密性の高い決済データを保護するため、より強力な暗号化プロトコルと、より厳格な鍵管理の実施が標準化されました。
主な更新内容PCI DSS v4.0 と v3.2.1 の比較
PCI DSS v3.2.1と更新されたv4.0.1との主な相違点を次の表に示します。
|
側面
|
PCI DSS v3.2.1
(2024年3月31日までに完全リタイア)
|
PCI DSS v4.0( 2025年3月31日までに完全発効)
|
|
コンプライアンスの枠組み
|
定義されたアプローチ: これはデフォルトの方法で、PCI SSC が設定した詳細な管理策とテスト手順に従うことを組織に義務付け、正当な場合にのみ代償的な管理策を認めます。
|
カスタマイズされたアプローチ:革新的な技術(動的暗号化、クラウドネイティブセキュリティなど)を活用してセキュリティ目標を達成することができます。ただし、各カスタマイズされたコントロールの対象リスク分析と評価文書の提出が必要です。
|
|
パスワードポリシー
|
最低7文字、90日以内の変更が必要
|
最低文字数が12文字に増加(システム制約がある場合は8文字)。動的なアカウントセキュリティ分析メカニズムを導入し、パスワード/パスフレーズを少なくとも90日ごとに1回変更する必要なし。
|
|
多要素認証(MFA)
|
具体的には、要件8.3は、企業ネットワーク外から発信される(ユーザー、管理者、または第三者による)リモート・ネットワーク・アクセスに対するMFAを義務付けている。
|
MFA は、管理者アカウントおよびシステムアカウントを含む、カード会員データ環境(CDE) にアクセスするすべてのアカウントに対して必須であり、認証セキュリティが強化されます。
|
コンプライアンス違反のリスク: コンプライアンスが重要な理由
PCI DSS v4.0.1を採用しなかった場合、企業は深刻なリスクにさらされます:
-
セキュリティ侵害: セキュリティ侵害: 旧式のシステムは、e スキミングやフィッシングなどの現代の脅威に対して脆弱であり、世界的な企業に年間数兆ドルの損失をもたらしています。例えば、StatistaのMarket Insightsでは、世界のサイバー犯罪コストは2024年の9兆2200億ドルから2028年には13兆8200億ドルに急増すると予測している。
-
規制上の罰則: 非準拠の企業は、取引処理の制限、罰金、あるいは支払処理権限の喪失に直面する。
-
ビジネスの中断: PCI DSS 基準に準拠できない場合、グローバルな決済プロバイダやアクワイアラとの提携が妨げられ、市場拡大が制限される可能性があります。
Shoplazzaはどのように加盟店のコンプライアンスを簡素化しますか?
ShoplazzaのPCI DSS v4.0.1準拠により、加盟店は第三者認証の負担から解放されます。プラットフォームを活用することで、販売者は以下のことが可能になります:
-
Shoplazzaがエンドツーエンドの決済セキュリティを管理する間、ビジネスの成長に集中することができます。
-
PayPalのようなペイメントプロバイダーとシームレスに統合し、トランザクションフロー全体がPCI準拠であることを認識できます。
-
暗号化されたデータ転送、リアルタイムの不正監視、自動化された脆弱性管理など、強固なセキュリティ機能を利用できます。
加盟店のための次のステップ
PCI DSS v3.2.1が2024年3月31日に終了し、v4.0.1が2025年3月31日までに完全義務化されるため、加盟店は準拠を優先することが求められます。Shoplazzaの認定プラットフォームは、独立した実装の複雑さを伴わずに、安全で準拠した決済処理を求める企業に、即座に対応できるソリューションを提供します。
