PCI Compliance(PCIコンプライアンス)とは

この記事を読んで頂いている方は、PCI Compliance(PCIコンプライアンス)について知識がある方だと思おうので、説明するまでもないかもしれませんが、知らない方のために簡単に説明しておくと、JCB、American Express(アメリカンエキスプレス)、Discover(ディズカバー)、MasterCard(マスターカード)、VISAのクレジットカード会社5社が一定以上のセキュリティレベルを確保するために策定したクレジット業界のセキュリティ標準です。

PCI Complianceには様々なコンプライアンス基準が定められており、この基準が満たせているかどうかというのがセキュリティレベルの指標とされています。

全部で下記の12の指標が規定されています。(今後、変わる可能性はあります)

安全なネットワークの構築と維持
 要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する
 要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

カード会員データの保護
要件3: 保存されたカード会員データを保護する
要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する

脆弱性管理プログラムの整備
要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する
要件6: 安全性の高いシステムとアプリケーションを開発し、保守する

強固なアクセス制御手法の導入
要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる
要件9: カード会員データへの物理アクセスを制限する

ネットワークの定期的な監視およびテスト
要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11: セキュリティシステムおよびプロセスを定期的にテストする

情報セキュリティポリシーの整備
要件12: すべての担当者の情報セキュリティポリシーを整備する.

PCI Complianceはどういった時に必要

では、PCI Complianceがどういったときに求められるのか?

特に関係するのはネットショップなどを運営されている方です。ネットショップにクレジットカード決済のシステムを導入しようとするときなどに、システムの管理会社や取り扱うクレジットカード会社からネットショップを運営しているサーバーがPCI Complianceの基準を満たしているか確認をされることがあります。

場合によっては、確認した結果を自分から提出しなければならないこともあります。

PCI Complianceが満たされているかスキャンする無料ツールもありますが、正式な認定を取る場合は認定機関に依頼する必要があります。大抵の場合はここまでする必要もなく、ネットショップを運営しているサーバーを基準が満たせている状態にし、システムの管理会社側でスキャニングしてもらうことが多いとは思います。

HostGatorは、PCI Complianceの基準を満たしているか?

応えはYESです。

共有サーバーを含め全プランでPCI Complianceの基準が満たされています。対応表は下記のページを参照ください。

HostGatorで使用できるモジュールやソフトウェア一覧

しかし、先日、HostGatorのサポートとお話をした際、PCI Complianceの基準は満たしているがスキャンするツールによってはエラーで返されてしまう場合があるようです。エラーで返された場合は、スキャン結果をサポートに提出して頂ければできる限りの対応はするが、必ずしも全OKとなる保証はないとのことでした。

また、共有サーバーの場合は、サーバー上のシステムのアップデートはHostGator側が行うので問題ないが、VPSやDedicatedサーバーの場合は、システムのアップデートは自分自身でする必要があるので、アップデートをしていないことでスキャン結果がエラーとなることもあるので、その点に関しては自分自身で注意する必要があります。

ただ、他のレンタルサーバー会社の共有サーバープランはPCI Complianceを満たしていない、サポートも対応外としているところが多い中、HostGatorは上記のような問題はあるものの基本的には対応しているという点は嬉しい所ですね。