戻る
一覧へ
次へ
PCI DSS v3.2.1において、取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組のうち、適切なものはどれか。
ここで、用語の定義は次のとおりとする。
[用語の定義]
加盟店とは、クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロパイダとは、他の事業体の委託でカード会員データの処理、保管、伝送に直接かかわる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには、カード表面又は署名欄に印字されている、3桁又は4桁の数値がある。
| 加盟店におけるカードセキュリティコードの取扱方法 | サービスプロパイダにおけるカードセキュリティコードの取扱方法 | |
| ア | 暗号化して加盟店に保管する。 | 暗号化してサービスプロパイダのシステム内に保管する。 |
| イ | 平文で加盟店内に保管する。 | 保管しない。 |
| ウ | 平文でサービスプロパイダのシステム内に保管する。 | 保管しない。 |
| エ | 保管しない。 | 保管しない。 |
答え エ
【解説】
PCIデータセキュリティ基準(PCI DSS v3.2.1)に「保存される会員データを保護する」として『機密認証データは、フルトラックデータ、カード検証コードまたは値、PIN データから構成されます。承認後の機密認証データの保存は禁止されています。このデータからペイメントカードを偽造し、不正トランザクションを作成することができるため、このデータは悪意のある者にとって非常に貴重です。』と書かれています。
ここで、カード検証コードがカードセキュリティコードになります。
【キーワード】
・PCIデータセキュリティ基準