ブログ

PCI DSS レベル 1 準拠のサービスを提供する準備が整っています

F5 サムネイル
F5
2020年10月29日公開
pcids1 さん

本日、Volterra が PCI DSS レベル 1 に準拠したサービスを顧客に提供できることを大変嬉しく思います。 私たちのチーム全体が、この機能を実現するために、過去数か月にわたって膨大な作業を達成しました。

PCI の厳格な標準に準拠することにより、Volterra のサービスを使用してミッションクリティカルなapplicationsを実行する顧客は、当社のセキュリティが最高レベルで維持され、独立して検証されていることを確信できます。

このブログ投稿では、PCI DSS とは何か、そしてそれがお客様にどのようなメリットをもたらすのかについて、さらに詳しく説明します。

PCI DSS とは何ですか?

PCI DSS (Payment Card Industry データ セキュリティ Standard) は、カード所有者データの管理を強化してペイメントカード詐欺を減らすために設計された情報セキュリティ標準です。

この規格は、2006 年に American Express、Discover、JCB International、MasterCard、Visa Inc. によって設立された PCI SSC (Payment Card Industry Security Standards Council) によって管理されています。

この規格は、カード所有者のデータを保管、送信、または受け入れるあらゆる組織に適用されます。

PCI DSS 認証レベルと要件

PCI DSS コンプライアンスには 4 つのレベルがあり、組織が毎年処理するトランザクションの数と決済ブランドによって評価されるリスクのレベルによって決まります。

Volterra は現在、レベル 1 の認定を受けています。これは最高かつ最も厳格なレベルであり、これにより年間 600 万件を超えるトランザクションを処理できます。

レベル 1 の評価は、QSA (認定セキュリティ評価者) によって毎年実行される外部の独立した監査で構成されます。

PCI DSS では、6 つの制御目標に編成され、カバーすべき 250 項目を超える 12 の要件が指定されています。

pcidss2

PCI DSS認証の対象となるVolterraのサービス

Volterra の分散クラウド サービス プラットフォームには、ネットワークおよびapplication層のセキュリティに加え、オンライン企業向けの分散型サービス拒否 (DDoS) 保護が含まれています。 PCI DSS 認証プロセスでは、Volterra のグローバル インフラストラクチャ全体 (VoltConsole、Volterra コントロール プレーン、すべてのデータ センター) に加え、セキュリティ ポリシー、ソフトウェア開発プロセスなども監査されています。

PCI DSS の目的はカード所有者のデータを保護することであるため、Volterra の認定は VoltMesh サービスに重点を置いています。 VoltMesh は顧客のオリジン サーバー (販売業者または決済サービス プロバイダー) と最終消費者の間のリバース プロキシとして機能するため、Volterra はカード所有者のデータをいかなる方法でも処理または保存しません。 Volterra は、エンド コンシューマーからオリジン サーバーへのすべての通信 (PAN (プライマリ アカウント番号)、セキュリティ コード、有効期限が含まれる可能性があります) を不透明なデータとして扱います。つまり、データにカード所有者データが含まれているかどうかはわかりません。また、カード所有者データの有無に関して特別な処理は適用されません。 Volterra のレベル 1 認定により、Volterra のグローバル インフラストラクチャによって顧客トラフィックに対して実行されるすべてのアクションが PCI DSS 要件に準拠していることが保証されます。

お客様にとってのメリット

Volterra は、クライアントがapplicationsとサービスを迅速かつ安全に提供できるようにする分散クラウド サービスを提供します。 PCI DSS の厳しい要件に準拠することにより、当社はすべてのお客様に対して、当社のプロセス、ポリシー、インフラストラクチャ、ソフトウェア開発方法論に関する独立した業界で認められたセキュリティ レビューを提供しています。

電子商取引業者、PSP (決済サービス プロバイダー)、およびより一般的にはカード所有者データを保存、送信、または受け入れるすべての顧客にとって、Volterra レベル 1 認定は、各社の PCI DSS 準拠を大幅に促進します。 さらに、Volterra の VoltMesh サービスは、Webapplicationファイアウォール (WAF) を提供することで、顧客が PCI 要件 6.6 を満たすのに役立ちます。

次は何ですか?

当社では、セキュリティ、機密性、可用性の管理が AICPA Trust サービス基準に従って実施されていることを証明するために、AICPA SOC 2 タイプ II 認証プロセスをすでに開始しています。

PCI DSS または Volterra のコンプライアンス プログラムに関するご質問がございましたら、お気軽にお問い合わせください。Volterra のコンプライアンス証明書 (AOC) はリクエストに応じて提供されます。