Comments
Description
Transcript
ペイメントアプリケーションデータセキュリティ 基準(PA-DSS)
PCI(Payment Card Industry) ペイメントアプリケーションデータセキュリティ 基準(PA-DSS) プログラムガイド バージョン 1.2 2008 年 10 月 文書の変更 日付 バージョン 説明 2008 年 10 月 1 日 1.2 内容を新しい PCI DSS v1.2 に合わせ、オリジナルの v1.1 の小さな 変更を反映した。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 1 目次 文書の変更 ................................................................................................................................................... 1 序文 .............................................................................................................................................................. 3 関連出版物 ................................................................................................................................................ 3 文書とセキュリティ要件の更新 .................................................................................................................... 3 用語........................................................................................................................................................... 3 PCI について ............................................................................................................................................. 4 PA-DSS の調整イニシアチブと概要 ........................................................................................................... 4 役割と責任................................................................................................................................................. 4 ベンダの考慮事項 - レビューの準備................................................................................................................ 7 PA-DSS が適用されるアプリケーション....................................................................................................... 7 レビューの前に........................................................................................................................................... 7 必要な文書と資料 ...................................................................................................................................... 8 PA-DSS レビューのタイムフレーム ............................................................................................................. 8 ペイメントアプリケーション認定セキュリティ評価機関 ................................................................................... 9 PA-QSA によって提供される可能性がある PA-DSS 関連サービス............................................................. 9 テスト全体での技術サポート ....................................................................................................................... 9 リリース合意書とレポートの提出 ................................................................................................................. 9 料金......................................................................................................................................................... 10 PA-DSS プロセスの概要 .............................................................................................................................. 11 図 1: PA-DSS レポート承認プロセス ........................................................................................................ 12 図 2: PA-DSS 掲載済みアプリケーションへの変更 ................................................................................... 13 図 3: PABP アプリケーションの適用除外と PA-DSS リストへの移行......................................................... 14 図 4: PA-DSS 年 1 回の再検証と期限切れアプリケーションの更新 .......................................................... 15 図 5: PA-QSA レポート レビューのための QA プログラム ......................................................................... 16 PA-DSS レポート承認プロセスの概要 .......................................................................................................... 17 掲載済みペイメントアプリケーションへの変更 ................................................................................................ 18 期限が切れたアプリケーションの更新 ........................................................................................................... 20 PABP 検証済みペイメントアプリケーションの移行と適用除外 ....................................................................... 21 品質保証プログラム...................................................................................................................................... 23 PA-DSS レポートプロセス ............................................................................................................................ 25 セキュリティ違反または侵害の際の通知........................................................................................................ 26 法的条項および条件..................................................................................................................................... 28 付録 A: 承認書および PA-DSS 検証済みペイメントアプリケーションのリストの要素 ..................................... 29 付録 B: 認定済みペイメントアプリケーションビルドの識別 ............................................................................ 32 付録 C: マイナーバージョン変更の自己証明................................................................................................ 33 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 2 序文 関連出版物 以下の文書がペイメントアプリケーション評価の基盤となります。 PCI(Payment Card Industry)ペイメントアプリケーションデータ セキュリティ基準 - 要件およびセキュリティ評価手順 PCI(Payment Card Industry)ペイメントアプリケーションデータ セキュリティ基準 - 移行手順 イメントアプリケーションデータセキュリティ基準の用語集、略 語、頭字語 PCI(Payment Card Industry)データセキュリティ基準 - QSA 文書はすべて、 検証要件 www.pcisecuritystandards.org で PCI(Payment Card Industry)データセキュリティ基準要件およ びセキュリティ評価手順 PA-DSS 要件およびセキュリティ 評価手順には、特定の技術要件が 記載されており、ペイメントアプリケ ーションの準拠を検証し、レビュー を文書化するために使用される評 価手順とテンプレートが含まれてい ます。QSA 検証要件に関する 2 つの文書は、評価を実施するため に PA-QSA が満たす必要がある 要件を定義します。 前述の文書と共に以下の文書が追加使用されます。 注: PCI(Payment Card Industry)データセキュリティ基準およびペ PCI(Payment Card Industry)データセキュリティ基準 - QSA 検証要件 - ペイメントアプリケーション認定セキュリティ評価機 関(PA-QSA)向けの補足事項 電子形式で入手できます。 文書とセキュリティ要件の更新 セキュリティは、攻撃の可能性との終わることのない競争です。その結果、ペイメントアプリケーションの評価に使 用されるセキュリティ要件を定期的にレビュー、更新、改善する必要が生じます。そのため、PCI SSC は、ペイメ ントアプリケーションのセキュリティ要件を 24 カ月ごとに更新するよう努力しています。 PCI SSC には、セキュリティ要件をいつでも変更、修正、または撤回する権利があります。このような変更が必要 な場合、PCI SSC は、参加組織やソフトウェアベンダで構成される PCI SSC のコミュニティと密接に連携して変 更による影響が少なくなるように努力します。 用語 本書における用語: "PCI SSC" は、PCI Security Standards Council, LLC(セキュリティ基準審議会)を表します。 "PABP" は、Visa の以前のペイメントアプリケーションベストプラクティス(PABP)プログラムを意味します。 ペイメントアプリケーションデータセキュリティ基準(以下、PA-DSS)はこのプログラムを基にしています。 "ペイメントブランド" は、PCI SSC のメンバーであるペイメントカードブランドを表します。現時点では、 American Express、Discover、JCB、MasterCard、Visa です。 "ペイメントアプリケーション" は、カード会員データを承認または決済の一部として保存、処理、または送信す るすべてのペイメントアプリケーションを幅広く表します。これらのペイメントアプリケーションは第三者に販売、 配布、またはライセンス供与されます。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 3 PCI について PCI SSC は、Payment Card Industry(PCI)の構成員の要望をすべてのレベルで反映して、セキュリティ要件、 セキュリティ評価手順、および PA-QSA によって検証されたペイメントアプリケーションの承認プロセスを調整お よび標準化します。PA-DSS と関連する PCI SSC 標準は、すべてのペイメントブランドによって承認される共通 セキュリティ評価フレームワークを定義します。 調整された要件は、ペイメント価値連鎖内のすべての利害関係者にメリットをもたらします。 顧客にとっては、安全なペイメントアプリケーションの選択の幅が広がります。 顧客は、必要なレベルの検証を満たした製品を使用しているという確信を持つことができます。 ベンダは、すべてのペイメントブランドによって承認されるペイメントアプリケーションレビューを 1 つ完了 するだけで済みます。 PCI SSC の詳細については、PCI SSC の Web サイト(www.pcisecuritystandards.org)を参照してください(以 下、Web サイト)。 PA-DSS の調整イニシアチブと概要 この PCI(Payment Card Industry)PA-DSS プログラムガイドは、以下の一連の標準に対するペイメントブランド の要件の調整を反映するものです。 ペイメントアプリケーションのセキュリティ要件および評価手順 注: PA-QSA によって検証されたペイメントアプリケーションの承認プロセス PABP 検証済みペイメントアプリケーションが PCI SSC リストに移行 するためのプロセス PA-DSS レポートは、PCI SSC によって直接レビュー PA-QSA の品質保証プロセス および承認されます。 ほとんどのベンダはカード会員データを保存、処理、または送信しないため、従来の PCI DSS 準拠はペイメント アプリケーションベンダに直接適用されない場合があります。ただし、これらのペイメントアプリケーションは顧客 によってデータの保存、処理、送信に使用され、顧客は PCI DSS に準拠することが要求されるため、ペイメント アプリケーションは顧客の PCI DSS 準拠を促進すべきで、妨げてはいけません。ペイメントアプリケーションが PCI DSS 準拠を妨げる可能性の例には次のようなものがあります。 1. 承認後に顧客のネットワークに保存される磁気ストライプデータ 2. ペイメントアプリケーションが適切に動作するために、アンチウィルスソフトウェアやファイアウォールなど、 PCI DSS が必要とする他の機能を無効にすることを顧客に要求するアプリケーション 3. アプリケーションに接続して顧客へのサポートを提供するための、ベンダによる安全でない方法の使用 安全なペイメントアプリケーションは、PCI DSS 準拠の環境にインストールされることで、完全な磁気ストライプデー タ、カード検証コードと値(CAV2、CID、CVC2、CVV2)、PIN と PIN ブロックの侵害につながるセキュリティ違反、 およびこれらの違反から生じる有害な不正行為の可能性を最小限に抑えます。 役割と責任 ペイメントアプリケーションコミュニティには複数の利害関係者が存在します。これらの利害関係者のうち、より直 接的に PA-DSS 評価プロセスに参加するのがベンダ、PA-QSA、PCI SSC です。評価プロセスに直接関与しない その他の利害関係者は、関連するビジネス決定を容易にするためにプロセス全体を理解しておく必要があります。 以下に、ペイメントアプリケーションコミュニティの利害関係者の役割と責任を定義します。評価プロセスに関与し ない利害関係者については、関連する責任が記載されています。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 4 ペイメントブランド American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc. は、 PCI SSC を設立したペイメントブランドです。これらのペイメントブランドは、PA-DSS 準拠に関連するプログラム の開発と実施に責任があります。以下が含まれますが、これらに限定されません。 PA-DSS 準拠のペイメントアプリケーションの使用についての要件、権限、または日程。 非準拠のペイメントアプリケーションの使用に関連する罰金または罰則。 ペイメントブランドは、PA-DSS および PCI SSC により掲載された検証済みペイメントアプリケーションを使用し て、準拠プログラム、権限、日程などを定義する場合があります。これらの準拠プログラムを通じて、ペイメントブ ランドは、掲載された検証済みペイメントアプリケーションの使用を推進します。 PCI(Payment Card Industry)セキュリティ基準審議会(PCI SSC) PCI SSC は、PCI DSS や PA-DSS を含め、ペイメントカード業界の基準を維持管理する標準化団体です。PADSS に関して、PCI SSC は次の役割を果たします。 PA-DSS 検証レポート(ROV)を一元管理するリポジトリ PA-DSS の ROV の品質保証(QA)レビューを実施してレポートの整合性と品質を確認 PA-DSS 検証済みペイメントアプリケーションを Web サイトに掲載。このリストは、2008 年 10 月を過ぎる まで、Web サイトには掲載されません。 PA-DSS レビューを実施する PA-QSA の資格認定とトレーニング PA-DSS 標準と関連ドキュメントを標準ライフサイクル管理プロセスに従って維持管理および更新 PCI SSC は検証の観点からレポートを承認しません。PA-QSA の役割は、評価日における PA-DSS に対する ペイメントアプリケーションの準拠を文書化することです。さらに、PCI SSC は、QA を実施して、PA-QSA による 正確で徹底的な PA-DSS 評価の文書化を保証します。 ソフトウェアベンダ ソフトウェアベンダ(以下、ベンダ)は、カード会員データを承認または決済の一部として保存、処理、または送信 するペイメントアプリケーションを開発し、これらのペイメントアプリケーションを第三者(顧客またはリセラー/インテ グレータ)に販売、配布、またはライセンス供与します。ベンダの責任は次のとおりです。 顧客の PCI DSS 準拠を促進し、妨げない PA-DSS 準拠のペイメントアプリケーションの作成(アプリケー ションは、PCI DSS 要件に違反する実装または構成設定を要求できません)。 ベンダがカード会員データを保存、処理、または送信する場合は常に PCI DSS 要件に準拠する(顧客の トラブルシューティング中など) ペイメントアプリケーションデータセキュリティ基準の要件に従って、各アプリケーションに固有の PA-DSS 実装ガイドを作成する PCI DSS に準拠する形でペイメントアプリケーションをインストールして構成する方法を顧客、リセラー、イ ンテグレータに教育する。 『PCI PA-DSS 要件およびセキュリティ評価手順』に指定されている PA-DSS レビューに合格して、ペイメ ントアプリケーションが PA-DSS 要件を満たすことを保証する。 ベンダは、ペイメントアプリケーションと添付ドキュメントを PA-QSA に提出してレビューを受けます。評価に関連 する契約およびコストは、ベンダと PA-QSA との間で交渉されます。ベンダは、PA-QSA が PA-DSS 準拠レポート を PCI SSC に提出するための許可を与えます。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 5 PA-QSA PA-QSA は、PA-DSS レビューの実行者として PCI SSC から資格を与えられ、トレーニングを受けた QSA で す。一部の QSA は PA-QSA ではありません。QSA が PA-QSA になるには、追加の資格要件を満たす必要 があります。 PA-QSA の責任は次のとおりです。 セキュリティ評価手続きと PA-QSA 検証要件に従ってペイメントアプリケーションの評価を実行する ペイメントアプリケーションが PA-DSS 要件を満たしているかどうかに関して意見を提供する ROV 内で適切なドキュメントを提供して、ペイメントアプリケーションの PA-DSS への準拠を実証する 検証証明書(PA-QSA とベンダの両者が署名)と共に ROV を PCI SSC に提出する PA-QSA の作業に関する内部での品質保証プロセスを維持管理する ペイメントアプリケーションが準拠を実現したかどうかを述べるのは PA-QSA の責任です。PCI SSC は、技術的 な準拠の観点から ROV を承認しませんが、ROV に対する QA レビューを実施して、レポートに準拠の実証が 適切に文書化されていることを保証します。 リセラーとインテグレータ リセラーとインテグレータとは、ソフトウェアベンダなどに代わってペイメントアプリケーションの販売、インストール、 サービス提供を行う事業体です。PA-DSS 準拠ペイメントアプリケーションに関連するサービスを実行するリセ ラーとインテグレータの責任は次のとおりです。 PA-DSS 準拠ペイメントアプリケーションのみを PCI DSS 準拠環境に実装する(またはそのように加盟店 に指示する) ベンダが提供する『PA-DSS 実装ガイド』に従い、このようなペイメントアプリケーションを構成する(構成オ プションが提供されている場合) PCI DSS に準拠する形でこのようなペイメントアプリケーションを構成する(またはそのように加盟店に指 示する) 『PA-DSS 実装ガイド』と PCI DSS に従って、このようなペイメントアプリケーションに対するサービスを提 供する(トラブルシューティング、リモート更新の配信、リモートサポートの提供) リセラーとインテグレータは、評価のためにペイメントアプリケーションを提出しません。製品は、ベンダのみ提出 可能です。 顧客 顧客は、ペイメントトランザクションの承認または決済の一部としてカー ド会員データを保存、処理、または送信するために、第三者のペイメン トアプリケーションを購入または受領する加盟店、サービスプロバイダ などです。PA-DSS に準拠するアプリケーションを使用することを希望 する顧客の責任は次のとおりです。 注: PA-DSS 準拠のペイメントアプリケー ションだけでは、PCI DSS 準拠の保 証にはなりません。 PA-DSS 準拠のペイメントアプリケーションを PCI DSS 準拠の環境に実装する。 ベンダが提供する『PA-DSS 実装ガイド』に従い、ペイメントアプリケーションを構成する(構成オプショ ンが提供されている場合)。 ペイメントアプリケーションを PCI DSS に準拠する形で構成する。 環境とペイメントアプリケーションの両方の構成について PCI DSS の準拠状態を維持する。 2008 年後半に PCI SSC によってリストが投稿されると、顧客は検証済みのペイメントアプリケーションの一覧を 他の参考資料と共に Web サイトで参照できるようになります。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 6 ベンダの考慮事項 – レビューの準備 PA-DSS が適用されるアプリケーション PA-DSS において、ペイメントアプリケーションは、承認または決済の一部としてカード会員データを保存、処理、 または送信し、第三者に販売、配布、またはライセンス供与されるアプリケーションと定義されます。 特定のペイメントアプリケーションに PA-DSS が適用されるかどうかを判断するには、以下を参照してください。 通常ソフトウェアベンダによる大幅なカスタマイズが行われずに「そのまま」販売およびインストールされる ペイメントアプリケーションには PA-DSS が適用されます。 モジュールで提供されるペイメントアプリケーション(通常、"ベースライン" モジュールと、顧客の種類また は機能に固有のモジュールや顧客要求に従ってカスタマイズされたモジュールを含む)には PA-DSS が 適用されます。ベースラインモジュールがペイメント機能を実行する唯一のモジュールである場合は、PADSS はそのモジュールのみに適用される可能性があります(PA-QSA による確認後)。その他のモジュー ルもペイメント機能を実行する場合、PA-DSS はそれらのモジュールにも適用されます。ソフトウェアベンダ がペイメント機能を単一または少数のベースラインモジュールに分離し、ペイメント以外の機能にその他の モジュールを使用する方法は "ベストプラクティス" と見なされます。このベストプラクティス(ただし要件で はない)に従うと、PA-DSS の対象となるモジュールの数を限定することができます。 1 つの顧客用に開発され、その顧客のみに販売されるペイメントアプリケーションには PA-DSS は適用さ れません。このアプリケーションは、顧客の通常の PCI DSS 準拠レビューの対象となるためです。このよ うなアプリケーション("カスタムメイド" アプリケーションとも呼ばれる)は 1 つの顧客 (通常は大きな加盟店 またはサービスプロバイダ) のみに販売され、顧客が提供する仕様に従って設計および開発されます。 加盟店やサービスプロバイダによって開発されたペイメントアプリケーションが社内のみで使用される(第 三者に販売、配布、またはライセンス供与されない)場合、これらのアプリケーションには PA-DSS は適用 されません。この社内開発ペイメントアプリケーションは、加盟店またはサービスプロバイダの通常の PCIDSS 準拠の対象となるためです。 たとえば、上記の最後の 2 つの箇条書き項目の場合、社内開発または "カスタムメイド" ペイメントアプリケー ションが禁止されている機密扱いの認証データを保存するか、複雑なパスワードを許可するかは、加盟店または サービスプロバイダの通常の PCI DSS 準拠作業の対象となり、個別の PA-DSS 評価を必要としません。 次の一覧は、PA-DSS を目的としたペイメントアプリケーションではない(したがって PA-DSS レビューを受ける 必要がない)アプリケーションを示しています(ただし、これらに限定されません)。 ペイメントアプリケーションがインストールされるオペレーティングシステム (Windows、Unix など) 注: カード会員データを保存するデータベースシステム(Oracle など) (レポート目的、顧客サービス目的などで)カード会員データを保存するバッ クオフィスシステム プリケーションであるアプ リケーションのみを掲載し ます。 PCI SSC は、ペイメントア レビューの前に PCI DSS 要件と PA-DSS 要件、および Web サイトにある関連ドキュメントを確認します。 ペイメントアプリケーションが PA-DSS に準拠するための準備ができているかどうかを判断します。 • PA-DSS に従うペイメントアプリケーションの機能を PA-DSS 要件と比較して、その "ギャップ" を分 析します。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 7 • すべてのギャップを埋めます。 • 必要に応じて、PA-QSA はベンダのペイメントアプリケーションの評価前("ギャップ")分析を実行で きます。PA-QSA が公平な意見の妨げとなるような不備に気付いた場合、PA-QSA は、正式なレビ ュープロセスが開始する前に対応する必要があるペイメントアプリケーション機能の一覧をソフトウェ アベンダに提供します。 『PA-DSS 実装ガイド』が PA-DSS 要件を満たすかどうかを判断します。 必要な文書と資料 評価の要件として、ソフトウェアベンダは、適切な文書とソフトウェアを PA-QSA に提供する必要があります。 PA-DSS に関連するすべての情報と文書は、Web サイトからダウンロードできます。レビューの実施に関連する インストール CD、マニュアル、『PA-DSS 実装ガイド』など、ペイメントアプリケーションに関連するすべての完成 資料は、PCI SSC ではなく、Web サイトに掲載されている PA-QSA に送付する必要があります。レビュー固有 の情報は、PA-QSA から直接要求されます。 PA-QSA に提出するドキュメントおよびアイテムの例は次のとおりです。 1. ペイメントアプリケーションと、オペレータマニュアルまたは指示 2. シミュレートされたペイメントトランザクションを実行するために必要なハードウェアとソフトウェアアクセサリ 3. 第三者のアプリケーション開発者が使用できる、データ入出力に使用されるすべての関数を記述したドキ ュメント。具体的には、キャプチャ、承認、決済、およびチャージバックフローに関連する関数(アプリケーシ ョンに提供される場合)を記述する必要があります。(マニュアルは、この要件を満たすことができるドキュメ ントの一例です。) 4. アプリケーションのインストールと構成に関連する、またはアプリケーションに関する情報を提供するドキュ メント。このようなドキュメントの例は次のとおりです。 PA-DSS 実装ガイド ソフトウェアインストールガイドまたは指示(顧客に提供されるもの) ベンダのバージョン番号付与方式 変更を顧客に示す方法を記述した変更管理ドキュメント 5. 図やフローチャートなど、ペイメントアプリケーションレビューに役立つその他のドキュメント(PA-QSA は必 要に応じてその他の資料を要求する場合があります) PA-DSS レビューのタイムフレーム PA-DSS レビューを実施して、アプリケーションを完全に検証し、すべての項目を "対応"にするまでに必要な時 間は、状況によってさまざまです。時間の長さを決定する要因は次のとおりです。 アプリケーションがレビューの開始時にどれほど PA-DSS 準拠に近づいているか • レビューの開始時に『PA-DSS 実装ガイド』がどれほど準備されているか • 準拠を実現するためのペイメントアプリケーションに対する修正により、時間が長くなります。 ガイドの大幅な書き直しにより、時間が長くなります。 PA-QSA が高品質の PA-DSS ROV を準備し、PCI SSC に提出するかどうか • PCI SSC がレポートを複数回レビューする場合、対処のためのコメントをその都度 PA-QSA に提 供します。これにより時間が長くなります。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 8 ペイメントアプリケーションがすべての PA-DSS 要件を迅速に正しく満たすことができるという想定に基づいて計 算されている場合があるため、PA-QSA によって提供されるレビュー タイムフレームは見積時間と考えてください。 レビューまたは承認プロセス中に問題が見つかった場合は、PA-QSA、ソフトウェア ベンダ、場合によっては PCI SSC も含めたディスカッションが必要になります。このようなディスカッションは、レビュー時間に影響を与え、遅 延が発生することもあれば、レビューが時期尚早に終了されることもあります(たとえば、ベンダが準拠の実現に 必要なペイメントアプリケーションの変更を行わないと決定した場合)。 ペイメントアプリケーション認定セキュリティ評価機関 PCI SSC は、PA-DSS 評価を実施するための資格をペイメントアプリケーション認定セキュリティ評価機関(PAQSA)に与え、トレーニングを行います。PA-QSA は Web サイトに掲載されます。PA-DSS 評価を実施できるも のとして PCI SSC が承認済みの評価者は、ここに掲載されている評価機関だけです。 PA-QSA の価格と料金は PCI SSC が設定するものではありません。これらの料金は PA-QSA と顧客との間で 交渉されます。PA-QSA を決定する前に、複数の PA-QSA 会社の話を聞き、自社のベンダ選択プロセスに従う ことをお勧めします。 PA-QSA によって提供される可能性がある PA-DSS 関連サービス これらのサービスはいずれも、PCI SSC が要求または推奨するものではありません。このリストは、PA-QSA に よって提供される可能性があるサービスの種類の例を示すために含まれています。これらのサービスに関心が ある場合、利用と価格については PA-QSA にお問い合わせください。PA-DSS 関連サービスの例は次のとおり です。 PA-DSS に従ったペイメントアプリケーションの設計に関するガイダンス ソフトウェアベンダのソフトウェア設計のレビュー、電子メールや電話での質問への応答、要件を明確化す るための会議電話への参加 『PA-DSS 実装ガイド』の準備に関するガイダンス 正式な PA-DSS 評価を開始する前の評価前("ギャップ" 分析)サービス ギャップ(非準拠領域)が評価中に発見された場合に、ペイメントアプリケーションを PA-DSS 準拠の状態 にするためのガイダンス テスト全体での技術サポート 評価中に発生する可能性がある質問に対応する技術担当者を割り当てることをベンダにお勧めします。レビュー 中、プロセスを迅速に進めるために、ベンダの担当者は、問題について話し合い、PA-QSA からの質問に対応で きるよう "待機" していてください。 リリース合意書とレポートの提出 PA-QSA が PCI SSC に PA-DSS レポートをリリースする前に、ベンダは PCI SSC の「Payment Card Industry PA-DSS ベンダリリース合意書」(以下、リリース合意書)に署名し、レビューのための PCI SSC へのレ ポートのリリースを許可する必要があります。リリース合意書は、PA-DSS レポートと共に、PA-QSA によって PCI SSC に直接提出する必要があります。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 9 料金 PA-QSA の PA-DSS 評価に関連する料金および日程はすべて、PA-QSA とペイ メントアプリケーションベンダとの間で交渉され、ベンダはすべての料金を PAQSA に直接支払います。 ベンダは、PCI SSC ペイメントアプリケーションリストに掲載されるペイメントアプリ ケーションごとに年間 1,250 ドルの掲載料金を課せられます。 年 1 回の再検証プロセス(後の「年 1 回の再検証」セクションを参照してください) の一部として、 PCI SSC からソフトウェアベンダに対し、請求日時点に PCI SSC によって掲載されているそのベンダのすべてのペイメントアプリケーションに対して 掲載料金が毎年課金されます。請求日は、最初に掲載されたときの四半期に基づ いて、四半期単位で設定されます。たとえば、4 月 1 日に、ソフトウェアベンダは 3 月 31 日に終了する四半期の時点で掲載されていたペイメントアプリケーションご とに 1,250 ドルを課金されます。検証は行われるが、製品を Web サイトに掲載し ないことをソフトウェアベンダが選択するアプリケーションについては、課金されま せん。ベンダは、料金を回避するために掲載を操作することは許可されません。つ まり、ベンダはリストへのアプリケーションの掲載を取りやめ、請求の後に再掲載 を要求することはできません。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 注: ベンダは、すべての PADSS 評価料金を PA-QSA に直接支払います(これら の料金はベンダと PA-QSA との間で交渉されます)。 PCI SSC は、四半期に一 度、すべての掲載料金をベ ンダに請求し、ベンダはこ れらの掲載料金を PCI SSC に直接支払います。 2008 年 10 月 ページ 10 PA-DSS プロセスの概要 PA-DSS レビュープロセスは、ベンダによって開始されます。Web サイトには、ベンダが PA-DSS レビュープロ セスの交渉を行うために必要な関連文書がすべて用意されています。ベンダは、PCI SSC リストから PA-QSA を選択し、コストと NDA について PA-QSA と交渉します。次に、ベンダはペイメントアプリケーションソフトウェア、 マニュアル、その他の必要な文書を PA-QSA に提出します。PCI SSC は、承認書を発行し、各ペイメントアプリ ケーションのプロセスが正常に完了したことを確認します(以下、PA-DSS 承認書)。ペイメントアプリケーションが 承認されると、その製品は Web サイトに掲載されます。 以降のページの図と説明は、PA-DSS プログラムの以下のコンポーネントを詳述したものです。 プロセス 図 ページ番号 PA-DSS レポート承認プロセス 図1 12 PA-DSS 掲載済みアプリケーションへの変更 図2 13 PABP アプリケーションの適用除外と PA-DSS リストへの移行 図3 14 PA-DSS 年 1 回の再検証と期限切れアプリケーションの更新 図4 15 PA-QSA レポート レビューのための QA プログラム 図5 16 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 11 図 1: PA-DSS レポート承認プロセス PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 12 図 2: PA-DSS 掲載済みアプリケーションへの変更 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 13 図 3: PABP アプリケーションの適用除外と PA-DSS リストへの移行 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 14 図 4: PA-DSS 年 1 回の再検証と期限切れアプリケーションの更新 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 15 図 5: PA-QSA レポート レビューのための QA プログラム PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 16 PA-DSS レポート承認プロセスの概要 PA-QSA は、PA-DSS セキュリティ評価手順に従ってペイメントアプリケーションのレ ビューを実施し、ベンダと共有されるレポートを作成します。レポートのすべての項目 が '対応' になると、ベンダはリリース合意書に署名し、レポートは PA-QSA から PCI SSC に送付されます。レポートの一部の項目が '対応' でない場合、ベンダはレポート で強調されているこれらの項目に対応する必要があります。たとえば、これにはユーザ 文書の更新やソフトウェアの更新が含まれる場合があります。PA-QSA がすべての 文書化された問題点がベンダによって解決されたことを確認したら、ベンダはリリース 合意書に署名し、レポートは PA-QSA から PCI SSC に送付されます。 PCI SSC に提出するす べての PA-DSS レポー トとその他の資料は英 語で記述する必要があ ります。 PCI SSC は、レポートを受領し、品質保証の観点からレビューします。レポートが QSA 検証要件と関係書類に 記載されている品質保証要件を満たす場合、PCI SSC は PA-DSS 承認書をベンダに送付し、月の 10 日までに 終了したアプリケーションについては、その月末までに PCI SSC リストにアプリケーションを追加します。レポート に品質の問題がある場合は、PCI SSC はこれらの問題について PA-QSA に連絡します。PCI SSC との問題を 解決するのは PA-QSA の責任です。PA-QSA の判断を裏付けるドキュメントを反映するようにレポートを更新す るだけで、問題が解決される場合もあります。ただし、PA-QSA による追加テストの実施を必要とする問題の場 合は、PA-QSA は再テストが必要なことをベンダに通知し、ベンダとの間でテストをスケジュールする必要があり ます。 レポート承認のプロセスフローは図 1 に詳しく示されています。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 17 掲載済みペイメントアプリケーションへの変更 ベンダは、以前に掲載されたペイメントアプリケーションをさまざまな理由で更新します。たとえば、補助機能の追 加やベースラインまたはコアアプリケーションのアップグレードなどです。 PA-DSS の観点から、変更シナリオには基本的に 3 つの種類があります。 1. 掲載済みペイメントアプリケーションへのマイナー変更が PA-DSS 要件に影響しない。この場合、新しい バージョンが掲載されるためには、ソフトウェアベンダは変更内容を文書にして PA-QSA のレビューを受 ける必要があります。詳細については、「PA-DSS 要件に影響しない場合」セクションを参照してください。 2. 掲載済みペイメントアプリケーションへの変更が PA-DSS 要件に影響する可能性がある。この場合、新 しいバージョンが掲載されるためには、ソフトウェアベンダはペイメントアプリケーションの新しいバージョ ンを提出して完全な PA-DSS レビューを受ける必要があります。詳細については、「PA-DSS 要件に影 響を与える可能性がある場合」セクションを参照してください。 3. 掲載済みペイメントアプリケーションへの変更なし。この場合は、年 1 回の証明書類のみが必要です。詳 細については、「掲載済みペイメントアプリケーションへの変更がない場合」セクションを参照してください。 以前に掲載されたアプリケーションに対して更新が行われ、ベンダが更新されたペイメントアプリケーション情報を リストに反映させることを希望する場合、ベンダは変更の詳細を PA-QSA に提出する必要があります。できるな ら、ペイメントアプリケーションを最初にレビューした PA-QSA に提出してください。 PA-QSA は、ペイメントアプリケーションの再評価が必要かどうかを判断します。この決定は、アプリケーションに 加えられた変更がアプリケーションのセキュリティに影響を与えるかどうかに基づいて行われます。もう 1 つの考 慮事項は、行われた変更の範囲または深さです。たとえば、変更が補助機能にのみ影響し、コアペイメントアプリ ケーションには影響しない場合があります。 掲載済みのペイメントアプリケーションに PA-DSS 要件に影響を与える可能性が ある変更が加えられた場合や、ベンダが PA-DSS 承認書や Web サイトの情報 の変更を希望する場合、ベンダは変更を適切に文書にして PA-QSA に提出し、 完全な評価が実施される必要があるかどうかを判断してもらう必要があります。文 書化された変更が PA-DSS 要件に影響しないという点で PA-QSA がベンダに同 意する場合、PA-QSA はソフトウェアベンダにその旨を連絡し、ソフトウェアベンダ は変更の自己証明書を準備して署名します。PA-QSA も署名し、PCI SSC に提 出します。PCI SSC は、変更された PA-DSS 承認書と Web サイトに更新内容を 反映します。詳細については、以下の「PA-DSS 要件に影響しない場合: 新しい PAーDSS レビュー不要」を参照してください。 注: ペイメントアプリケーショ ンベンダがペイメント機 能をモジュール化できる 場合は、変更がペイメン ト機能とセキュリティに 影響しないため、再評価 を最小限に抑えることが できます。 掲載済みアプリケーションへの変更のプロセスフローは図 2 に詳しく示されています。 PA-DSS 要件に影響しない場合: 以前に掲載されたペイメントアプリケーションが変更されたが、その変更がマイナーなものと見なされ、セキュリテ ィにマイナスの影響を与えない場合は、変更文書(以下、変更分析書)を PA-QSA に提出してレビューを受ける ことができます。ベンダには、最初の評価で使用した同じ PA-QSA を使用することを強くお勧めします。 ソフトウェアベンダから PA-QSA に提出される変更分析書には、以下の情報を最低限含めてください。 ペイメントアプリケーションの名前 ペイメントアプリケーションのバージョン番号 現在 PCI SSC のリストに掲載されている関連ペイメントアプリケーションの名前とバージョン番号 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 18 変更の説明 変更が必要な理由の説明 カード会員データとペイメント機能が影響を受けるかどうか、および影響の内容の詳細 変更がどのように機能するかの詳細 PA-DSS セキュリティ要件がマイナスの影響を受けないことを検証するためにベンダによって実行され るテストの説明 PA-DSS 要件がマイナスの影響を受けない仕組みと理由の説明 このバージョン番号がこれは "マイナー" 変更であることをどのように示すかを含め、この変更がベンダ のバージョン管理方法にどのように適合するかについての説明 該当する場合は、プログラミングプラクティス/モジュール手法の使用、およびこのような使用によって要 件へのマイナス影響をどのように防止しているかについての説明 ベンダによって変更分析書に記載されている変更がペイメントアプリケーションにマイナスの影響を与えないとい う点に PA-QSA が同意する場合、(i)PA-QSA はソフトウェアベンダにその旨を通知し、(ii)ソフトウェアベンダは 変更の自己証明書を準備して署名し、PA-QSA に送付し、(iii)PA-QSA は署名により同意を示し、変更分析書と 共に PCI SSC に転送し、(iv)PCI SSC は品質保証目的で書類とドキュメントをレビューします。 PA-DSS 要件に影響しないと仮定して: 変更された PA-DSS 承認書がベンダに発行されます 新しい情報に従って、Web サイトの PA-DSS 検証済みペイメントアプリケーションのリストが更新され ます この新しく掲載されたアプリケーションとバージョン番号の有効期限は、"親" ペイメントアプリケーション の有効期限と同じです。 変更の自己証明書の品質に問題がある場合、PCI SSC はそれらの問題を PA-QSA に伝え、問題は前述のプ ロセスに従って解決されます。 PA-DSS 要件に影響する可能性がある場合: 新しい PA-DSS レビューが必要 ペイメントアプリケーションへの変更が PA-DSS 要件に影響する場合、ペイメントアプリケーションは新たに PADSS 評価を受ける必要があります。PA-QSA は、承認を受けるために新しい PA-DSS レポートを PCI SSC に 提出します。この状況では、ベンダが最初に変更のドキュメントを PA-QSA に提出し、PA-QSA が現在の PADSS 要件に従って、変更の性質がペイメントアプリケーションセキュリティに影響するかどうかを判断する場合が あります。 掲載済みペイメントアプリケーションへの変更がない場合:年 1 回の再検証が必要 年 1 回、リストに記載されている再検証日までに、ソフトウェアベンダはパート 3b を完成させた検証証明書を提 出する必要があります。検証証明書は、PA-DSS 付録 C にあります。 年 1 回の再検証のプロセスフローは図 4 に詳しく示されています。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 19 期限が切れたアプリケーションの更新 アプリケーションの有効期限が近付くと、PCI SSC はソフトウェアベンダに有効期限が近いことを通知します。ベ ンダが検討できるオプションは 2 つあります。 1. ベンダはアプリケーションの販売の継続を希望しています。その場合は、PA-QSA に連絡し、ペイメントア プリケーションを再評価してもらいます。 2. ベンダはアプリケーションの販売を継続する予定がありません。その場合、PCI SSC は、有効期限以降、 ペイメントアプリケーションの掲載状態を "新しい導入に対して条件を満たさない" に変更します。 ベンダがアプリケーションの販売継続を選択した場合、アプリケーションが再び PA-DSS 評価プロセスを通過す ると、PCI SSD リストで "新しい導入に対して条件を満たす" という状態が維持され、新しい有効期限が割り当て られます。 期限切れアプリケーションの更新のプロセスフローは図 4 に詳しく示されています。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 20 PABP 検証済みペイメントアプリケーションの移行と適用除外 2008 年 10 月 15 日までの PABP リストの PABP アプリケーションの適用除外 PCI SSC は、既存の PABP 準拠アプリケーションを PCI SSC リスト の適用外(移行中)とします。この適用除外の手法により、以前に評価 され、PABP に準拠すると判断されたアプリケーションは、より新しい PA-DSS 準拠のペイメントアプリケーションが利用可能になるまで導入 を継続できます。 アプリケーションの評価に使用された要件のバージョンに応じて、 PABP アプリケーションの有効期限には段階的な手法が適用されまし た。PCI SSC リストに "新しい導入に対して条件を満たす" 状態を維持 するためには、PABP 準拠アプリケーションは規定の期間内に PADSS の評価を受ける必要があります。PABP 準拠アプリケーションが 既定の期間内に PA-DSS の評価を受けない場合、そのアプリケーショ ンは PCI SSC リストに残りますが、状態は "新しい導入に対して基準 を満たさない" となります。 注: PCI SSC リストは、"新しい導入" と " 既存の導入" を区別します。ペイメント アプリケーションの導入後の寿命は最 大 10 から 15 年と長くなる場合が 多々あります。PCI SSC は、ペイメン トアプリケーションの導入が複雑でコス トのかかるプロセスである、また加盟 店やアクワイアラーが数年ごとにペイ メントアプリケーションを更新すること は現実的ではないと認識しています。 次の表は、いくつかの PABP バージョンおよび現在の PA-DSS v1.1 に従った PA-DSS レビューについて、PADSS 検証済みペイメントアプリケーションのリストに含める有効期限と注意事項を示したものです。 期限前の PCI SSC 掲載内容 検証に関する注 意事項 導入に関する注意事項 24 カ月 PABP に従って 検証済み PABP 1.3 18 カ月 PABP 1.3 より前 PA-DSS 1.1 期限後の PCI SSC 掲載内容 検証に関す る注意事項 導入に関する注意 事項 新しい導入に対して条 件を満たす PABP に従 って検証済 み 新しい導入に対して 条件を満たさない PABP に従って 検証済み 新しい導入に対して条 件を満たす PABP に従 って検証済 み 新しい導入に対して 条件を満たさない 12 カ月 PCI 前アプリケ ーション 新しい導入に対して推 奨されない PCI 前アプリ ケーション 新しい導入に対して 条件を満たさない 標準への変 更後 3 年間 PA-DSS に従っ て検証済み 新しい導入に対して条 件を満たす PA-DSS に 従って検証 済み 新しい導入に対して 条件を満たさない バージョン 有効期限 PABP 1.4 PABP アプリケーションの適用除外および移行のプロセスフローは、図 3 に詳しく示されています。 移行中に PABP レビューを受けるペイメントアプリケーション 6 ヶ月間の猶予期間は PA-DSS バージョン 1.1 のリリースによって始まり、PA-QSA は新しい標準を理解し、ト レーニングを受け、PA-DSS に対するレビューを実施するための資格を得ます。また、ベンダはこの期間を利用 して PA-DSS を理解し、新しいペイメントアプリケーションの開発において新しい PA-DSS 要件に対応できます。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 21 この猶予期間中、ペイメントアプリケーションは引き続き PABP バージョン 1.4 に対する評価を受けることができ ます。猶予期間は 2008 年 10 月 15 日まで延長されます。PABP 準拠検証のためにこの日以降に提出されるレ ポートは受け付けられません。1 2008 年 10 月 15 日以降に送信される、PABP バージョン 1.4 に基づいたレポートは、PA-DSS 移行手続きを 通過する必要があります。PA-QSA は、PABP レポート結果を使用できますが、PCI SSC への提出には PADSS 移行手続きに従った差分評価を含める必要があります。 ベンダは、新しい標準のリリース後いつでも、PA-DSS に従ったペイメントアプリケーションの評価を選択すること ができます。 PA-DSS 移行手続き PA-DSS 移行手続きは、PABP 検証済みペイメントアプリケーション2 の Visa のリストから PA-DSS 検証済みペ イメントアプリケーション3. の PCI SSI リストにアプリケーションを移行するときに、ペイメントアプリケーション認定 セキュリティ評価機関(PA-QSA)が適用できる場合に使用するものです。 注: PCI SSC は、PABP バージョン 1.3 と 1.4 に従って検証されたペイメントアプリケーションを "適用除外" して、 PA-DSS レビューを要求するまでの期間(それぞれ 18 カ月、24 カ月)、PA-DSS 検証済みアプリケーションのリ ストに掲載 (移行)しているところです。 これらの移行手続きは、以下のシナリオで適用できます。 移行手続きの完了が必須: ペイメントアプリケーションが受けている PABP 注: レビューが 2008 年 10 月 15 日までに Visa Inc. によって完了および承 認されない場合は、PCI SSC が PA-DSS に従って検証済みであるとこれ らのアプリケーションを再認識するようにするために、これらの移行手続き を完了することが必須です。PABP のみに従って行われたレビューは 2008 年 10 月 15 日以降は承認されませんので注意してください。 PABP レビューを実施するた めに使用したのと同じ PAQSA 会社を使用して PADSS 移行手続きを実行してく ださい。 移行手続きの完了が任意: 上記の注のとおり、ペイメントアプリケーションベンダが "適用除外" の対象のア プリケーションを所有しているが、PABP バージョン 1.3 または 1.4 アプリケーションを "PA-DSS に従って 検証済み" としてリストに載せたい場合は、これらの移行手続きを使用する必要があります。PCI SSC が PABP バージョン 1.3 および 1.4 アプリケーションを検証済みであると認識できるようにするために、PAQSA は、『PA-DSS プログラムガイド』に従って手続きを実行し、レポートを提出します。 PA-DSS 移行手続きの詳細については、Web サイトの PABP から PA-DSS への移行手続きを参照してくだ さい。 1 ペイメントアプリケーションが PABP バージョン 1.4 に対して評価され、2008 年 10 月 15 日より前に提出されたものの、レ ポートの品質に問題がある場合は、例外が適用されます。そのアプリケーションは、品質の問題が解決されるまで、PABP バ ージョン 1.4 に従ってレビューを続けることができます。この種の例外は、2009 年 4 月 15 日まで許可されます。 2 ペイメントアプリケーションベストプラクティス(PABP)、バージョン 1.3 または 1.4 に従ってレビュー済み 3 ペイメントアプリケーションデータセキュリティ標準(PA-DSS)、バージョン 1.1 に従ってレビュー済み PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 22 品質保証プログラム PCI SSC は、品質保証目的で PA-QSA からのレポートをレビューします。QSA 検証要件と PA-QSA 合意書に 記述されているとおり、PA-QSA は PCI SSC が設定した品質保証基準を満たす必要があります。以下で、QA プログラムのさまざまな段階について説明します。 QA プログラムのプロセスフローは図 5 に詳しく示されています。 新規 PA-QSA 向けサンプリングプログラム PA-QSA からの ROV をレビューするために、PCI SSC では段階的なサンプリングプロセスが使用されます。最 初は多くのレポートがレビューされ、PA-QSA が品質を示すにつれ、サンプリングレートは小さくなります。品質基 準を満たし続けた PA-QSA は、(サンプリングレートがさらに低い)熟練 QSA 向けサンプリングプログラムに移 行します。PA-QSA が品質基準を満たす限り、特別なサンプリングを受けることができます。 ただし、PA-QSA が品質基準を満たさない場合は、以下の措置が講じられます。 警告書 - PA-QSA が品質を改善する必要があることを示す最初の書類として PA-QSA に提供されます。 改善 - 品質基準がまた満たされない場合は、PA-QSA は改善段階に置かれ、罰則措置が開始される可 能性があります。 取り消し - 品質基準がまだ満たされない場合は、PA-QSA が取り消され、承認済み PA-QSA の PCI SSC リストから削除されます。 熟練 PA-QSA 向けサンプリングプログラム PA-QSA が熟練 PA-QSA 向けサンプリングプログラムに移行すると、そのレポートに対して特別なサンプリング が実行されます。品質基準を満たし続ける限り、特別なサンプリングは続きます。 This is intended to be the “steady state” that PA-QSAs operate in. 品質の問題が発生し、基準が満たされない場合、PA-QSA は新規 PA-QSA 向けサンプリングプログラムに逆戻 りします。 改善 改善期間中、PA-QSA はレビューの実行を許可されますが、すべてのレポートは PCI SSC によって QA レビューさ れます。PCI SSC は、改善期間中に提出および再提出されるすべてのレポートに対してそれぞれ 500 ドルを課 金します。 また、PA-QSA は、PA-QSA によるレポートの品質向上方法を詳述した修正案を PCI SSC に提出する必要が あります。PCI SSC は、PA-QSA とオンサイト訪問して QA プログラムを監査しなければならない場合もあります。 この場合の費用は PA-QSA が負担します。 PA-QSA が改善期間中に品質基準を満たした場合は、新規 PA-QSA 向けのサンプリングプログラムに戻ります。 PA-QSA が改善期間中に品質基準を満たさない場合、PA-QSA は取り消しへと移行します。 PA-DSS 検証済みペイメントアプリケーションの PCI SSC リストペイメントに含まれているペイメントアプリケーシ ョンが PA-QSA エラーが原因で侵害された場合、その PA-QSA は直ちに改善状態へと移行します。PA-QSA が新規 PA-QSA 向けサンプリングプログラムに戻るためには、品質基準を満たす必要があります。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 23 取り消し PA-QSA が取り消されると、承認済み PA-QSA の PCI SSC リストから削除されます。PA-QSA が取り消される と、その PA-QSA はペイメントアプリケーションのレビューを実行できなくなります。PA-QSA は取り消しに対して 抗議できますが、QSA 検証要件と付属ドキュメントに記載されている要件を満たす必要があります。PCI SSC に は、不正な評価の業績を要求する権利があります。 新規 PA-QSA 向けサンプリングプログラムに再加入する前に、1,250 ドルの再掲載料金が課せられます。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 24 PA-DSS レポートプロセス PCI SSC は、ROV に記載されている結果のみを基にしてレポートの承認を行います。レポートの受領時に、以 下が適用されます。 PCI SSC は、レポートをレビューし、(一般には受領から 30 日以内に)条件を満たしているかどうかを判 断します。 PA-QSA に関して問題や疑問が確認されない場合、PCI SSC はソフトウェアベンダに掲載料金を請求し ます。掲載料金を受領すると、PCI SSC は PA-DSS 承認書を発行し、ペイメントアプリケーションとベンダ の情報を Web サイトに掲載します。 疑問または問題が発生し、PA-QSA に送付された場合は、完成し条件を満たす変更報告書または回答書 ("変更報告書")の受領時に、上記のプロセスが再開されます。プロセスの再開は、以前に識別されたが未 解決のままだった項目すべてに対応し、条件を満たす変更報告書を受領するまで発生しません。PCI SSC は、一般に、受領から 14 日以内に変更報告書をレビューします。 その他の疑問または問題が発生した場合は、条件を満たす回答を受け取るまでサイクルは繰り返されま す。回答を受け取った時点で、PCI SSC は、PA-DSS 承認書を発行し、情報を Web サイトに掲載します。 PA-DSS 承認書の発行までの間いつでも、その他の問題または疑問が発生する可能性があります。 既存の掲載済みアプリケーションバージョンへの変更に関連するレポートについては、ベンダの変更の自己証明 書に基づいて、上記と同じ PA-DSS レポート承認プロセスが行われ、問題または疑問が発生しない限り、PCI SSC は、上記と同じような方法で、変更された PA-DSS 承認書を発行し、変更された情報を Web サイトに掲載 します。 PCI SSC 承認書および Web サイトへの掲載には、以下の情報が最低限含まれます。それぞれの情報について は、「付録 A: PA-DSS 検証済みペイメントアプリケーションのアプリケーション要素」で詳しく説明します。 ペイメントアプリケーションベンダ 注: ペイメントアプリケーション識別子 承認番号 検証に関する注意事項 PCI SSC は、ペイメントアプリケーション が要件の一部を満たすことによる "部分 承認" を許可しません。 導入に関する注意事項 マイナーバージョン変更の自己証明(該当する場合) 年 1 回の再検証日 有効期限 PA-QSA 会社 ペイメントアプリケーションの種類 ペイメントアプリケーションのターゲット市場(該当する場合) ペイメントアプリケーション固有の地域またはロケール(該当する場合) PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 25 セキュリティ違反または侵害の際の通知 ベンダは、このセクションに記載された手続きを使用して、掲載済みアプリケーションに関連して発生するセキュリ ティ違反または侵害を PCI SSC に通知する必要があります。 通知とタイミング ベンダのその他の法的義務にかかわらず、ベンダは PCI SSC が掲載したベン ダのペイメントアプリケーションに関連するセキュリティ違反または侵害を直ちに PCI SSC に通知する必要があります。 また、違反が与えた、与える可能性がある、または将来的に与える影響(可能性 または実際の影響)について直ちにフィードバックを提供する必要があります。 注: 通知は、ベンダがセキュリティ 違反または侵害を発見してか ら 24 時間以内に行う必要が あります。 通知形式 セキュリティ違反または侵害に関するベンダからの最初の通知は、PCI SSC PA-DSS コーディネータに対して電 話で行い、その後、セキュリティ違反または侵害の完全な詳細を説明する電子メール、FAX、または書簡を送付 する必要があります。 通知の詳細 セキュリティ違反または侵害の通知に続き、ベンダは、そのセキュリティ違反または侵害に関連するすべての情 報を PCI SSC PA-DSS コーディネータに提供する必要があります。これには以下が含まれます(これらに限定さ れない)。 侵害されたアカウントの数(わかる場合) セキュリティ違反または侵害を詳述するレポート セキュリティ違反または侵害を調査するために実行されたすべてのレポートまたは評価 PCI SSC には、リリース合意書の条項での合意に従い、将来のセキュリティ違反または侵害を軽減または防止 することを目的としたセキュリティ違反または侵害の評価をサポートまたは実施できるように、これらの情報およ びその他の情報を共有する権利があります。 セキュリティ違反または侵害に続く措置 PA-DSS 検証済みペイメントアプリケーションのリストに掲載されている特定の製品または製品グループに関連 したセキュリティの脆弱性または実際の侵害を PCI SSが認識した場合、PCI SSC は以下の措置を講じます。 すべてのペイメントブランドにセキュリティの脆弱性または侵害が発生したことを通知します。 フォレンジックレポートを取得して、侵害がどのように発生したかを正確に評価しようとします。 ベンダに連絡して、製品にセキュリティの脆弱性がある、または侵害されたことを通知し、可能な場合は、 実際の脆弱性や侵害に関連する情報を共有します。 ベンダの作業をサポートして、さらなる侵害を軽減または防止しようとします。 1)セキュリティの脆弱性の修正、2)ベンダの顧客に発行するガイドラインドキュメントの作成に関する作業 でベンダをサポートして、脆弱の可能性を通知し、さらなるセキュリティ違反や侵害を軽減または防止する ためにどのような措置を講じるべきかを詳細に示します。 適切な法執行機関と協力して、さらなる侵害を軽減または防止します。 PA-QSA を使用して侵害の原因を特定するために、内部で、またはリリース合意書の条項に基づいて、侵 害を受けた製品に対する評価をサポートまたは実施します(あるいはその両方)。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 26 承認の取り消し PCI SSC には、ペイメントアプリケーションが現在の脅威に対して十分な保護を提供していないことや PA-DSS 要件に準拠していないことが明確な場合、ペイメントアプリケーションの承認を取り消し、PA-DSS 検証済みペイ メントアプリケーションのリストからそのペイメントアプリケーションを削除する権利があります。PCI SSC がペイメ ントアプリケーションにセキュリティの脆弱性がある、または侵害が発生したと見なす場合、PCI SSC は、そのペ イメントアプリケーションの承認を取り消す意図があることを書面でベンダに通知します。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 27 法的条項および条件 PCI SSC の承認は、PA-QSA によってレビューされるペイメントアプリケーションと同一であるペイメントアプリケー ション/バージョンにのみ適用されます。ペイメントアプリケーションの一部が PA-QSA によってテストされたものと は異なる場合は、ペイメントアプリケーションが書類に記載されている基本製品記述に準拠する場合でも、ペイメ ントアプリケーションは PCI SSC によって承認されたものと見なされず、PCI SSC によって承認されたものとして 推進されることもありません。たとえば、ペイメントアプリケーションが PA-QSA によってテストされたものと同じ名 前またはバージョン番号であるが、実際には PA-QSA によってレビューされたペイメントアプリケーションと同一 でない場合、ペイメントアプリケーションは承認済みとして見なされず、推進もされません。 どのベンダまたはその他の第三者も、ペイメントアプリケーションを "PCI 承認済み" または "PCI SSC 承認済み" と表したり、PCI SSC が全部であれ一部であれ、ベンダまたはそのペイメントアプリケーションについて承認した と記載したり暗示したりしてはいけません。PCI SSC との書面による合意または PA-DSS 承認書で明示されて いる場合を除きますが、その場合も明示されている条項および制限に従うものとします。PCI SSC の承認に対す るその他の参照はすべて、PCI SSC によって固く禁じられています。 許可された場合、承認は PCI SSC の目標の実現にとって重要な特定のセキュリティおよび運用特性を保証する ために PCI SSC によって提供されますが、承認には、どのような状況であろうと、特定の製品またはサービスの 機能、品質、またはパフォーマンスに関する保証は含まれません。PCI SSC は、第三者によって提供される製品 またはサービスを保証しません。承認では、いかなる状況であろうと、商品性の暗黙保証、目的または非侵害へ の適合性を含め(ただし、これらに限定されません)、PCI SSC からの製品保証が含まれたり暗示されたりするこ とはありません。これらはすべて、PCI SSC によって明示的に放棄されます。承認を受けた製品とサービスに関 するすべての権利と改善措置は、製品またはサービスを提供する関係者によって提供されるもので、PCI SSC またはペイメントブランドによって提供されることはありません。 PCI SSC が書面によって同意しない限り、PCI SSC が第三者に提供する、このドキュメントに記載されているす べての所有権とサービスは「現状のまま」「あらゆる瑕疵があるまま」一切無保証で提供されます。 PCI PA-DSS プログラムガイド v. 1.2 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 28 付録 A: 承認書および PA-DSS 検証済みペイメントアプリケーシ ョンのリストの要素 ペイメントアプリケーションベンダ このエントリは、検証済みペイメントアプリケーションのペイメントアプリケーションベンダを示します。 ペイメントアプリケーション識別子 ペイメントアプリケーション識別子は、検証済みペイメントアプリケーションを表す関連情報を表すために PCI SSC によって使用され、次の情報で構成されます。 ペイメントアプリケーションの名前 ペイメントアプリケーションのバージョン番号 検証済みペイメントアプリケーションを安全に使用するために、取得顧客またはその指定したエージェントには、 ペイメントアプリケーション識別子で提供される情報に正確に一致する情報を持つペイメントアプリケーションのみ を購入して導入することを強くお勧めします。ペイメントアプリケーション識別子の例(2 つのコンポーネント): コンポーネント 説明 アプリケーション名 Acme Payment 600 アプリケーションバージョン 番号 PCI 4.53 アプリケーションバージョン番号 アプリケーションバージョン番号は、PA-DSS 評価でレビューされた特定のアプリケーションバージョンを表します。 アプリケーションバージョン番号を構成するフィールドでは、固定の英数字と可変の英数字が組み合わされる場 合があります。 注: PA-DSS で、ベンダのバージョン管理方法について PA-DSS ROV に含める内容の詳細については、「検証レ ポートについての指示と内容」セクションを参照してください。 顧客には、アプリケーションバージョンに含まれる英数字が PA-DSS 検証済みペイメントアプリケーションのリ ストまたは PCI SSC が発行したベンダの PA-DSS 承認書に示されているアプリケーションバージョン番号に 正確に一致するペイメントアプリケーションのみを購入して導入することを強くお勧めします。 承認番号 PCI SSC は、承認時点で承認番号を割り当てます。この番号は、アプリケーションの掲載が続く間、同じです。 検証に関する注意事項 検証に関する注意事項は、レビューが Visa の PABP プログラムに従ったものか PCI SSC の PA-DSS プ ログラムに従ったものかを表し、該当する PABP または PA-DSS のバージョンを明記するために PCI SSC によって使用されます。例については、「導入に関する注意事項」の表を参照してください。 PCI PA-DSS プログラムガイド v. 1.2, 承認書 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 29 導入に関する注意事項 導入に関する注意事項は、ペイメントアプリケーションが新しい導入に対して条件を満たしているかどうかを 示すために PCI SSC によって使用され、以下に示すようにペイメントアプリケーションの有効期限に関連し ます。詳細については、22 ページの完全な表も参照してください。 期限前の PCI SSC 掲載内容 期限後の PCI SSC 掲載内容 検証に関する注意事項 導入に関する注意事項 検証に関する注意事項 導入に関する注意事項 PABP に従って検証済み 新しい導入に対して条件 を満たす PABP に従って検証済み 新しい導入に対して条 件を満たさない PCI 前アプリケーション 新しい導入に対して推奨 されない PCI 前アプリケーション 新しい導入に対して条 件を満たさない PA-DSS に従って検証済み 新しい導入に対して条件 を満たす PA-DSS に従って検証 済み 新しい導入に対して条 件を満たさない マイナーバージョン変更の自己証明(該当する場合) マイナーバージョン変更の自己証明は、該当する場合に、このドキュメントの「PA-DSS 要件に影響しない場合」 セクションに記載されているマイナーアプリケーション変更のプロセスを踏むアプリケーションを表すために使用さ れます。 年 1 回の再検証日 年 1 回の再検証日は、ソフトウェアベンダの年 1 回の検証証明期限を示すために PCI SSC によって使用され ます。年 1 回の再検証は、PA-DSS 付録 C、パート 3b にある検証証明書の一部です。 有効期限 PAーDSS 検証済みペイメントアプリケーションの有効期限までに、ベンダはアプリケーションの承認を維持するた めに現在の PA-DSS 要件に対する再検証を受ける必要があります。有効期限は、上記のとおり、「導入に関す る注意事項」に関連します。 PCI SSC は、PCI DSS の更新と同時に、24 カ月サイクルで PA-DSS を更新するよう努めます。PA-DSS 検証済みペイメ ントアプリケーションの承認は、その後の PA-DSS 要件の更 新の発効日から 3 年で期限が切れます。目的は、承認の有 効期間を最小限の 3 年とし、即座の変更を必要とする可能性 がある深刻な脅威に対応することです。 注: バージョン 1.1 に対して行われた PA-DSS 評 価は、通常の有効期限プロセスに従い、PADSS バージョン 1.2 に対して行われるレビュー と同じ有効期限を受け取ります。 For example:PA-DSS バージョン 1.1 およびバージョン 1.2 の有効期限は同じになります。次の PA-DSS バー ジョン(バージョン 1.2 に続くバージョン)は 2010 年 10 月頃に予定されるため、PA-DSS バージョン 1.1 および 1.2 に対するレビューは 2013 年 10 月に失効します。 現在のところ、導入時点で検証済みリストに掲載されていた PA-DSS 検証済みペイメントアプリケーションには終 了日はありません。承認の有効期限が切れている導入済みのペイメントアプリケーションは、引き続き使用できま す。有効期限タイムフレームは、既存の導入ではなく、新しい購入/導入に関連付けられています。 PCI PA-DSS プログラムガイド v. 1.2, 承認書 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 30 PA-QSA 会社 このエントリは、検証を実施し、ペイメントアプリケーションが PA-DSS に準拠すると判断したペイメントアプリケー ション認定セキュリティ評価機関の会社名を示します。 ペイメントアプリケーションの種類 ペイメントアプリケーションの種類は、以下のいずれかを示します。 POS(Point of Sale) 決済 ミドルウェア CNP(Card-Not-Present) AFD(Automated Fuel Dispenser) ゲートウェイ その他 ショッピングカート ターゲット市場 ターゲット市場は、該当する場合、ペイメントアプリケーションのターゲット市場を示します。たとえば、以下の ようなものがターゲット市場になります。 小売 注: 駐車場のキオスク ガス/石油 電子商取引 これは、ペイメントアプリケーションが特定 の市場向けに設計されたもので、ソフトウェ アベンダによる市販を目的としていないこ とを示すためのものです。 ペイメントアプリケーション固有の地域またはロケール(該当する場合) ペイメントアプリケーション固有の地域またはロケールは、特定の地域またはロケール向けに開発され、その地 域またはロケールでのみ使用可能なペイメントアプリケーションを示します。 PCI PA-DSS プログラムガイド v. 1.2, 承認書 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 31 付録 B: 認定済みペイメントアプリケーションビルドの識別 注: 将来の検討用。 認定済みのペイメントアプリケーションビルドはこの時点では要件ではありませんが、ソフトウェアベンダと PAQSA が協力して、ペイメントアプリケーションビルドを認定し、デジタル署名するための方法を開発することを奨 励します。PCI SSC には、将来的に認定済みアプリケーションを要求する権利があります。 たとえば、次のような方法を開発できます。 ベンダは、一般リリース用の認定ビルドを明確に識別します。PA-QSA によって PA-DSS 準拠として認定された ビルドには、配信用にパッケージ化する際にソフトウェアベンダと QSA の両方によって指紋を付ける、つまりデジ タル署名(コード署名)することが理想的です。少なくとも、配信は、名前、バージョン、ビルド番号、日付時刻スタ ンプによって明確に識別し、MD5 ダイジェストと対応するビルドヘッダで確認できるようにしてください。この方法 により、"既知の信頼チェーン" による配信の保証に関する PA-DSS 要件 7.2 が強化されます。また、これにより、 ペイメントブランド関連の PA-DSS プログラムをサポートし、顧客の認識や信頼を高めることができます。 PCI PA-DSS プログラムガイド v. 1.2, 認定済みペイメントアプリケーションビルドの識別 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 32 付録 C: マイナーバージョン変更の自己証明 提出に関する指示 ペイメントアプリケーションベンダとペイメントアプリケーション認定セキュリティ評価機関(PA QSA)は、ペイメント アプリケーションデータセキュリティ基準(PA-DSS)に対するペイメントアプリケーションの変更状態を明らかにす るものとして本書を完成させる必要があります。ペイメントアプリケーションベンダは、すべての該当するセクション を完成させ、変更分析書とこの自己証明書を PA-QSA に提出します。 提供されたドキュメントをレビューした後、PA-QSA は該当するセクションを完了し、レポートの暗号化と提出に関 する PCI SSC からの指示に従い、すべての必要なドキュメントと共に PCI SSC に提出します。 パート 1: ペイメントアプリケーションベンダ情報 会社名: 名前: 役職: 電話番号: 電子 メール: 会社住所: 市区 町村: 都道府県: 国: 郵便 番号: URL: パート 1a: ペイメントアプリケーション情報: 現在 PCI SSC リストに掲載されている "親" ペイメントアプリケーションの名前とバージョン番号 既存のバージョン番号: 既存のアプリケーション名: PCI SSC 承認番号: 新しいペイメントアプリケーションの名前とバージョン番号(該当する場合): 新しいアプリケーション名: 新しいバージョン番号: 変更の説明(該当する場合): ペイメントアプリケーション機能(当てはまるものすべてにチェック): POS(Point of Sale) ショッピングカート CNP(Card-Not-Present) ミドルウェア 決済 ゲートウェイ: AFD(Automated Fuel Dispenser) その他(指定してください): アプリケーションのターゲット市場: PCI PA-DSS プログラムガイド v. 1.2, マイナーバージョン変更の自己証明 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 33 パート 2. ペイメントアプリケーション認定セキュリティ評価機関(PA-QSA)の会社情報 会社名: PA-QSA リーダーの 名前: 役職: 電話番号: 電子 メール: 会社住所: 市区 町村: 都道府県: 国: 郵便 番号: URL: パート 3. 変更状態の確認 パート 3a: ペイメントアプリケーションベンダ証明 内部での変更分析と変更分析書に基づき、(PA Vendor Name) は (date) 現在でこのドキュメントのパート 1a に記載されたアプリケーションとバージョンについて以下の状態を主張します(該当するフィールドにチェック)。 上述の "親" アプリケーションには、同じく上述の新しいアプリケーションを作成するためのマイナー変更 のみが加えられました。その結果、PA-DSS 要件には影響しません すべての変更は、パート 2 に記載されている PA-QSA に提供される付属の変更分析書に正確に記録 されました この自己証明に含まれるすべての情報は、変更の分析結果をすべての重要な点において公平に表して います。 取引承認の後の磁気ストライプ(つまり追跡)データ4、CAV2、CVC2、CID、または CVV2 データ5、また は PIN データ6がアプリケーションが生成するファイルまたは機能に保存されているという証拠は見つか りませんでした。 パート 3b: ペイメントアプリケーション認定セキュリティ評価機関(PA-QSA)の証明: パート 1 に記載されているペイメントアプリケーションベンダによって提供される変更分析書に基づき、(PAQSA Name) は、(date) 現在でこのドキュメントのパート 1a に記載されているアプリケーションとバージョンに ついて以下の状態を主張します(該当するフィールドをチェック)。 変更分析書のレビューに基づき、上述のアプリケーションに対してマイナー変更のみが行われ、PADSS 要件には影響しないというベンダの主張がドキュメントによって立証されていることに同意します。 4 磁気ストライプデータ(追跡データ) - カードを提示する取引中に、承認のために使用される磁気ストライプにエンコードされたデータ。保持できる追跡 データの要素は、アカウント番号、有効期限、名前のみです。 5 カードを提示しない取引を検証するために使用される、署名欄またはペイメントカードの前面に印字されている 3 または 4 桁の値。 6 PIN データ - カードを提示する取引中に、カード会員によって入力される個人識別番号、または取引メッセージ内に存在する暗号化された PIN ブロッ ク、あるいはその両方。 PCI PA-DSS プログラムガイド v. 1.2, マイナーバージョン変更の自己証明 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 34 パート 3c.PA-QSA とアプリケーションベンダによる承認 PA-QSA リーダーの署名 Ç 日付 Ç PA-QSA リーダー名 Ç 役職 Ç アプリケーションベンダ役員の署名 Ç 日付 Ç アプリケーションベンダ役員名 Ç 役職 Ç アプリケーションベンダ会社代表Ç PCI PA-DSS プログラムガイド v. 1.2, マイナーバージョン変更の自己証明 Copyright 2008 PCI Security Standards Council LLC 2008 年 10 月 ページ 35