平成31年 春期 情報セキュリティマネジメント 午前 問14

PCI DSS v3.2.1において、取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組のうち、適切なものはどれか。
ここで、用語の定義は次のとおりとする。

[用語の定義]
加盟店とは、クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロパイダとは、他の事業体の委託でカード会員データの処理、保管、伝送に直接かかわる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには、カード表面又は署名欄に印字されている、3桁又は4桁の数値がある。

加盟店におけるカードセキュリティコードの取扱方法 サービスプロパイダにおけるカードセキュリティコードの取扱方法
暗号化して加盟店に保管する。 暗号化してサービスプロパイダのシステム内に保管する。
平文で加盟店内に保管する。 保管しない。
平文でサービスプロパイダのシステム内に保管する。 保管しない。
保管しない。 保管しない。


答え エ


解説
PCIデータセキュリティ基準(PCI DSS v3.2.1)に「保存される会員データを保護する」として『機密認証データは、フルトラックデータ、カード検証コードまたは値、PIN データから構成されます。承認後の機密認証データの保存は禁止されています。このデータからペイメントカードを偽造し、不正トランザクションを作成することができるため、このデータは悪意のある者にとって非常に貴重です。』と書かれています。
ここで、カード検証コードがカードセキュリティコードになります。


キーワード
・PCIデータセキュリティ基準

キーワードの解説
  • PCIデータセキュリティ基準(Payment Card Industry Data Security Standard、PCI DSS)
    クレジットカード情報および取り引き情報を保護するために、JCB、AMEX、Discover、MasterCard、VISAの5社の国際ペイメント会社ブランド共同で策定した、クレジット業界におけるグローバルセキュリティ基準です。
    PCIDSSには、クレジットカード情報および取り引き情報を保護するために、“安全なネットワークの構築・維持”、“カード会員情報の保護”、“脆弱点を管理するプログラムの維持”、“強固なアクセス制御手法の導入”、“定期的なネットワークの監視およびテスト”、“情報セキュリティポリシーの保有”の分野で12要件が規定されています。

もっと、「PCIデータセキュリティ基準」について調べてみよう。

戻る 一覧へ 次へ