エッジにおける金融取引のセキュリティ確保:

PCI DSS準拠アプリケーションにおけるロバステル の使用

ホワイトペーパー – エグゼクティブサマリー

ブリーフ

すべての販売時点情報管理(POS)事業者は、機密性の高いカード会員データを保護する責任を負います。PCI DSS(ペイメントカード業界データセキュリティ基準)への非準拠は、多額の罰金、評判の毀損、さらにはクレジットカード決済処理能力の喪失につながる可能性があります。

ロバステル 、適切に設定および監視されることで、PCI DSS要件をサポートするために必要なセキュリティ機能を提供します。VLAN、ステートフルファイアウォール、IP/MACフィルタリング、VPN、イベントログ記録、RCMSベースのリモート管理などの機能により、ロバステル 小売店やサービスプロバイダーが顧客データを保護し、リスクを低減し、多様な導入環境(小売店舗やレストランからATM、一時的な販売場所まで)においてコンプライアンスを維持することをロバステル

学べる内容
  • PCI DSSの役割と、クレジットカードデータを扱うあらゆる事業体にとってコンプライアンスが必須である理由。
  • ファイアウォール規則、強力な認証、暗号化、脆弱性管理、継続的監視を含む、PCI DSSの主要要件
  • 「PCI準拠ルーター」が存在しない理由 ― そして準拠が決済エコシステム全体に依存する仕組み
  • ロバステル 、VLANセグメンテーション、ファイアウォール、暗号化通信といった高度なセキュリティ機能を通じてコンプライアンスにどのように貢献するか。
  • 設定と監視のための実践的な手順(パスワードポリシー、ファイアウォール設定、VLAN分離、外部ログ記録を含む)。

はじめに

販売時点情報管理(POS)事業者は、顧客および企業の機密情報を保護する上で厳格な要件の対象となります。金融機関は、クレジットカード情報を保管、処理、または送信するすべての企業がPCI-DSS(ペイメントカード業界データセキュリティ基準)に準拠することを要求しています。

法令遵守に失敗した企業は、罰金や訴訟の対象となり、クレジットカード処理業務の停止処分を受ける可能性すらあります。さらに深刻なのは、情報漏洩被害に遭った企業がニュースの見出しを飾ることになり、顧客、取引先、株主との信頼関係に重大な悪影響を及ぼすことです。

適切に設定、監視、保守ロバステル 、PCI-DSS 3.0の要件を満たします。有効化機能には、VLAN、ステートフルファイアウォール、MAC/IP/URLフィルタリング、認証/暗号化、イベントログ、イベントアラート、時刻同期、およびRCMSプラットフォームからの設定/アップグレード管理が含まれます。

ロバステル 小売POS市場向けのネットワーク接続ソリューションをロバステル 。当社の製品は、クレジットカード取引を処理する複数の小売POS分野で広く導入されており、具体的には以下の分野が含まれます:

  • 小売店
  • レストラン&バー
  • コンビニエンスストア
  • コーヒーショップ
  • キオスク
  • ATM
  • サービス提供場所
  • 娯楽・レクリエーション施設
  • 特別イベント
  • 臨時販売場所

PCIセキュリティ基準

概要

ペイメントカード業界(PCI)セキュリティ基準の目的は、カード会員データを保護することです。これらの基準は、カード処理エコシステムにおける脆弱性の低減に利害関係を持つ数百の業界参加者で構成されるPCIセキュリティ基準評議会(SSC)によって策定・公表されています。

PCI-SSCは、以下の5つのグローバル決済ブランドによって設立されました:

  • アメリカン・エキスプレス
  • ディスカバリー・フィナンシャル・サービス
  • JCBインターナショナル
  • マスターカード・ワールドワイド
  • Visa, Inc.
範囲

PCI SSCは以下の規格を公開しています:

PCIデータセキュリティ基準(DSS): カード会員データを保存、処理、および/または送信するあらゆる事業体に適用されます 。この基準は、カード会員データに含まれる、またはカード会員データに関連する技術的および運用上の要素をカバーします。事業者が決済カードを受け付けまたは処理する場合、PCI DSSに準拠する必要があります。

PIN取引セキュリティ要件(PTS):支払いカード金融取引に使用されるPIN(個人識別番号)入力端末を開発する製造業者に適用されます。

支払いアプリケーションデータセキュリティ基準(PA-DSS):カード会員データを承認または決済の一環として保存、処理、または送信するアプリケーションのソフトウェア開発者およびインテグレーターに適用されます。

ポイントツーポイント暗号化(P2PE):加盟店がカード会員データ環境の範囲を縮小し、年次PCI DSS評価を軽減するために適用されます。

コンプライアンス

クレジットカード取引を処理する加盟店は、PCI-DSSへの準拠責任を負います。「PCIコンプライアンス」は、加盟店が自社のシステムとプロセス全体がPCI-DSSの12要件に準拠していることを(外部監査または自己認証を通じて)成功裏に実証した時点で達成されます。

要件

PCI-DSSバージョン3.0は2013年11月に公開されました。PCI-DSSは、カード会員データを保護するために設計された技術的および運用上の要件の基盤を提供します。PCI-DSSは以下の高レベルの目標と要件を中心に構成されています:

目標

要件

安全なネットワークとシステムの構築および維持
  • カード会員データを保護するため、ファイアウォール設定を導入し維持する;
  • システムパスワードやその他のセキュリティパラメータには、ベンダー提供のデフォルト値を使用しないでください。

システムパスワードやその他のセキュリティパラメータには、ベンダー提供のデフォルト値を使用しないでください。
  • 保存されたカード所有者データを保護する;
  • カード会員データの送信を、公開された公共ネットワーク上で暗号化する。

脆弱性管理プログラムを維持する
  • すべてのシステムをマルウェアから保護し、アンチウイルスソフトウェアまたはプログラムを定期的に更新してください。
  • 安全なシステムおよびアプリケーションを開発し、維持する。

強力なアクセス制御対策を実施する
  • 業務上の必要性に基づきカード会員データへのアクセスを制限する
  • システムコンポーネントへのアクセスを識別し認証する
  • カード保有者データへの物理的アクセスを制限する。

ネットワークを定期的に監視およびテストする
  • ネットワークリソースおよびカード保有者データへのすべてのアクセスを追跡および監視する
  • セキュリティシステムとプロセスを定期的にテストする。

情報セキュリティポリシーを維持する
  • 全従業員を対象とした情報セキュリティに関する方針を維持する。
認証

PCI SSCが基準を策定する一方で、各決済カード金融機関は独自のコンプライアンスプログラムを有しています。一般的に、加盟店は自己評価質問票(SAQ)を通じて、またはQSA(認定セキュリティ評価者)やASV(承認スキャンベンダー)などの認定評価者を通じてコンプライアンスを認証できます。

加盟店は、自社の決済カード金融機関と連携し、必要な認証形態を決定する責任を負います。

ロバステル PCIコンプライアンスに関するロバステル

概要

PCI SSCは、PIN入力端末以外のネットワーク機器向けの認証基準を一切公開していません。したがって、「PCI準拠ルーター」というものは存在しません。

「PCI準拠」となるためには、加盟店は自社のシステム全体(POS端末、ネットワーク機器、サーバー、アプリケーション、ポリシー、手順)がPCI-DSS 3.0に準拠していることを確認する必要があります。その取り組みの一環として、加盟店はネットワーク機器(ロバステル を含む)が適切に設定・管理され、PCI-DSSへの全体的な準拠が確保されていることを確認しなければなりません。

ロバステル 、エンドロバステル を設定および管理する方法についてロバステル 。同様に、ロバステル ツーエンドのカード決済システムを構成する他のデバイス、サーバー、アプリケーションに対しても一切の制御権ロバステル 。したがって、PCIコンプライアンスは、加盟店が自社のシステム全体においてのみ取得可能です。 加盟店は、エンドツーエンドシステムの認証をQSA(認定セキュリティ評価機関)またはASV(承認スキャンベンダー)から取得する責任も負います。

ロバステル 、複数のPCI準拠システムで利用されています。本セクションでは、エンドツーエンドシステムのPCI準拠達成に他のお客様が活用したロバステル の概要を説明します。

リファレンス実装

以下のリファレンス実装は、以下を含む適度に複雑なトポロジーを表しています:

  • POS端末向けイーサネット接続
  • 従業員用コンピューターおよびプリンター向けのイーサネットおよびWi-Fiアクセス
  • 他のデバイス向けのイーサネットおよびWi-Fiアクセス
  • お客様向けのWi-Fiアクセス。
推奨事項

Wi-Fi: この インターフェースは、イーサネットやPPPインターフェースと同様にファイアウォールで保護され、セグメント化できます。WPA/WPA2/WEPセキュリティおよびMACアドレスフィルタリングもサポートされています。

セルラー:セルラー PPP インスタンスは WAN インターフェースとして表示され、必要に応じてファイアウォール設定やセグメント化が可能です。インターフェースは管理接続を許可しないように設定することもできます。

  1. 適切なファームウェアでルーターを設定する
  2. デフォルトのパスワードを変更する
  3. ルーターの侵入経路を封鎖する
  4. ファイアウォールを設定する
  5. VLANによって異なるデバイスに異なるネットワークセグメントを設定する
  6. POS端末とは別のWi-Fiセグメントを設定する
  7. 安全なWAN接続を構築する
  8. 外部SysLogサーバーとの通信を設定する
  9. 外部タイムサーバーとの通信を設定する
  10. RCMSでデバイス使用状況を監視する

PCI DSS アプリケーション向け推奨ロバステル

R2010

R2010 製品ページ

R2011

R2011 製品ページ

R1510

R1510 製品ページ

R1520

R1520 製品ページ

R3000

R3000 製品ページ

R3000-Lite

R3000-Lite 製品ページ

ロバステルとの提携:コンプライアンスを 重視したIoT

PCI準拠は単なる技術の問題ではありません。決済システムのあらゆる層の安全性を確保することです。ロバステル、小売・銀行・サービス環境における当社の専門知識と実績ある導入事例と相まって、カード会員データを保護しながら業務を円滑に維持する確かな基盤を提供します。ロバステル 提携し、PCI準拠戦略を強化し、あらゆる取引を保護しましょう。