ネットワークセグメンテーションとPCIコンプライアンス

ペイメントカード業界データセキュリティ標準（PCI DSS）コンプライアンスジャーニーの範囲を策定する際の出発点は、ネットワークセグメンテーションから始まります。 これには、データセキュリティのニーズに焦点を合わせたコントロールを作成するだけです。

PCIネットワークセグメンテーション標準を満たすには、最初に標準の目的と目的を理解する必要があります。

カード会員データ環境（CDE）とは何ですか？

PCI DSSは、個人のデビットカードまたはクレジットカードに関連付けられている個人を特定できるデータとしてカード会員データ（CHD）の概要を示します。 この定義には、プライマリアカウント番号（PAN）、サービスコード、カード所有者名、有効期限、およびその他の機密性の高いカード認証データも含まれます。 簡単に言えば、CDHは、個人のカードに不正な請求を行ったり、身元を盗んだりするために使用できる情報で構成されています。

カード会員データ環境は、この情報の処理、保存、または送信に関与するコンピューターまたはネットワークシステムで構成されます。 CDHには、サーバー、ネットワークデバイス、コンピューティングデバイス、アプリケーションなどの関連するシステムコンポーネントが含まれます。 これらは、仮想コンポーネント、セキュリティサービス、ネットワークコンポーネント、アプリケーション、サーバータイプ、およびCDEに接続されているその他のものである可能性があります。 システムまたは従業員がCHDにアクセスできる場合、これは会社の他の側面から分離する必要があります。

PCIDSSとネットワークセグメンテーション

ネットワークセグメンテーションでは、システムを介して情報が送信される方法を確認する必要があります。 CDEは川として、カード会員データは急流を航行するカヌーとして見る必要があります。 河川には通常、ボート用の複数のアクセスポイントがあります。 同様に、ネットワークにはさまざまなデータアクセスポイントがあります。 それらは、支流がつながっている川のようなものです。 CHDがネットワーク内のパスをフロートできる限り、ダムを建設するか、その支流を保護する必要があります。

たとえば、接続はPCI DSSによって、ワイヤレス、仮想化、および物理的であると定義されています。 その川の下流のどの時点でも、CHDは入ることができます。 ワイヤレス接続には、Bluetooth接続とLANを含めることができます。 物理的な接続はUSBドライブにすることができます。 仮想化された接続には、通常、仮想マシンや仮想ファイアウォールなどの共有リソースが組み込まれています。 CHDが危険にさらされないように、これらのデータアクセスポイントを保護することをお勧めします。

企業がシステムをスコープする方法

PCI DSSスコーピングでは、CDEリバーにあるすべてのデータアクセスポイントと支流を批判的に評価する必要があります。 PCI DSS評価は、CHDを受信する方法と場所の分類から始まります。 CDE川の銀行を上下に歩きながら、すべての支払いチャネルとカード会員データを受け入れる方法を正確に特定する必要があります。 その後、収集から破壊、廃棄、転送までの情報の旅をたどります。

また、データが保存、処理、または送信されるCDE上の場所を特定してマークする必要があります。 この識別には、誰がデータを処理するかだけでなく、情報がどのように処理されるかを理解することも含まれる場合があります。 また、データ環境を保護するために導入したプロセスとテクノロジーを文書化する必要があります。

ネットワークを介した情報の流れを追跡した後、CDEに影響を与えるすべてのプロセス、人、およびシステムコンポーネントが組み込まれていることを確認してください。 これは重要なステップであり、CHDとやり取りする人の先を見る必要があるため、前のステップとは異なります。 代わりに、データ環境を推進する人とシステムコンポーネントに焦点を当てる必要があります。

データリバーを確認したら、情報を保護するためのコントロールを作成する必要があります。 これは、ほとんどの川が踊り場を備えているのとまったく同じ方法です。これは、ボート乗りが特定の地点に入るのを防ぐことを目的としています。 これを視野に入れるには、コントロールが不可欠です。 同様に、重要な情報がどこに行くことができ、誰がそれにアクセスできるかを制限する方法を見つける必要があります。

これを行うには、ダムのデータセキュリティバージョンを設定する必要があります。 これには、暗号化方式とファイアウォールの設定が含まれる場合があります。 制御を確立したら、プロセス、システムコンポーネント、および人員を保護するためにそれを適用する必要があります。 最も重要なことは、コントロールを監視して、行った変更がCDEとともに進化することを確認する必要があります。

範囲外のシステムはありますか？

範囲外のシステムは、Payment Card Industry Security Standard Council（PCI SSC）によって、CDEシステムにアクセスできないシステムとして定義されています。 特に、範囲外のシステムはまれになっています。 PCI SSCは、システムコンポーネントがCHDを保存、処理、または送信してはならないことを規定しています。 同様に、CHDに接触するネットワークセグメントに接続しないでください。

サードパーティおよびサービスプロバイダーは、PCIセキュリティ標準への準拠の範囲内です。 彼らはあなたの川の森のレンジャーに似ています。 あなたのビジネスパートナーになることによって、彼らはあなたにリモートサービスを提供します。 それらは継続的にデータ環境に関与するため、CHDを危険にさらす可能性のあるリスクをもたらす可能性があります。 これは、サードパーティの監視に参加すること、およびベンダーのエコシステムを管理することの重要性を浮き彫りにします。

編集者注： Ken Lynchは、エンタープライズソフトウェアのスタートアップのベテランであり、労働者を仕事に駆り立てるものと、仕事をより魅力的にする方法に常に魅了されてきました。 ケンはまさにそれを追求するために相互主義を設立しました。 彼は、より社会的志向の企業市民を作成するために、従業員を会社のガバナンス、リスク、およびコンプライアンスの目標に関与させるというこのミッションベースの目標で、Reciprocityの成功を推進してきました。 ケンはMITでコンピュータサイエンスと電気工学の理学士号を取得しています。 詳細については、ReciprocityLabs.comをご覧ください。

これについて何か考えがありますか？ コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項：

• PCIDSSログ管理
• SOC2監査の範囲
• 監査要件–米国の民間企業
• リスク管理計画–それは何のためですか？
• 内部監査の有効性データ分析戦略