JA Glossary

用語集 PCI SSC

用語集

用語集、略語、頭字語 Payment Card Industry (PCI) Security Standards Council。

a

アカウント

「ユーザID」、「アカウントID」、「アプリケーションID」とも呼ばれます。 コンピュータ・システム上で個人またはプロセスを識別するために使用される。認証クレデンシャルおよび認証ファクタを参照してください。

アカウントデータ

アカウントデータは、カード会員データおよび/または機密認証データから構成されます。カード会員情報と機密認証データを参照 してください。

アクワイアラ

「マーチャントバンク」、「アクワイアリングバンク」、「アクワイアリング金融機関」とも呼ばれます。 加盟店のためにペイメ ントカード取引を処理する事業体(通常は金融機関)で、ペイメントブランドによってアクワイアラとして定義されています。アク ワイアラは、加盟店のコンプライアンスに関するペイメントブランドの規則と手続きの対象となります。ペイメントプロセッサーを ご参照ください。

管理者アクセス

システム、ネットワーク、および/またはアプリケーションを管理するために、そのアカウントに与えられた昇格または増加した特 権です。 管理者アクセス権は、個人のアカウントまたはビルトインシステムのアカウントに割り当てられることがあります。管理アクセスを 持つアカウントは、特定のオペレーティングシステムや組織構造に応じて、「スーパーユーザ」、「ルート」、「管理者」、 「admin」、「sysadmin」、または「スーパーバイザ状態」と呼ばれることがよくあります。

AES

「アドバンストエンクリプションスタンダード」の頭字語です。 強力な暗号化技術を参照してください。

ANSI(アンシ)

「アメリカ国家規格協会」の頭字語です。

アンチマルウェア

様々な形態の悪意のあるソフトウェアを検出し、削除、ブロック、または封じ込めるように設計されたソフトウェアです。

AOC

「準拠証明書」の頭字語です。AOC は、コンプライアンスに関する自己問診または報告書に記録されている通り、加盟店およびサ ービスプロバイダが PCI DSS 評価結果を証明するための文書です。

APCM

「アジア太平洋共同体会議」の頭字語です。

APO’s

「準参加組織」の頭字語です。

アプリケーション

内部および外部(例えば、ウェブ)アプリケーションを含む、すべての購入、カスタム、および特注のソフトウェアプログラムまた はプログラム群を含みます。

アプリケーションとシステムアカウント

「サービスアカウント」とも呼ばれます。 コンピュータシステムまたはアプリケーションでプロセスを実行したり、タスクを実行したりするアカウントです。これらのアカウントは通常、特殊なタスクや機能を実行するために必要な高い権限を持ち、通常、個人で使用するアカウントではありません。

ASV

「承認されたスキャニングベンダ」の頭字語です。 PCI SSC が外部脆弱性スキャンサービスを実施することを承認した企業です。

監査ログ

「監査証跡」とも呼ばれる。 システムの活動を時系列に記録したものです。ある取引における操作、手順、または事象を取り巻 く、またはそれにつながる一連の環境および活動を、開始から最終結果まで、再構築、レビュー、および調査するのに十分な、独立 した検証可能な証跡を提供します。

認証

個人、装置、またはプロセスの身元を確認するプロセス。認証は通常、1 つまたは複数の認証要素で行われます。アカウント、認証 クレデンシャル、および認証要素を参照のことです。

認証クレデンシャル

ユーザ ID またはアカウント ID と、個人、デバイス、またはプロセスを認証するために使用される認証要素(複数可)の組み合わせで す。アカウントと認証要素を参照してください。

認証要素

"コンピュータシステム上で個人またはプロセスの身元を証明または検証するために使用される要素です。認証は通常、以下の認証要素のうち1つ以上を用いて行われます。

  • パスワードやパスフレーズなど、知っているもの。
  • トークンデバイスやスマートカードなど、あなたが持っているもの
  • バイオメトリクス要素など、あなた自身が持つもの。

ID(またはアカウント)と認証要素を合わせて、認証クレデンシャルと見なされます。 アカウント、認証クレデンシャルを参照してください。"

認証/オーソリゼーション

アクセス制御の文脈では、認可は、ユーザ、プログラム、またはプロセスに対するアクセスまたはその他の権利の付与です。オーソリゼーションは認証に成功した後に個人またはプログラムが何ができるかを定義します。 ペイメントカードトランザクションの文脈では、オーソリゼーションは、マーチャントがトランザクション応答(例えば、承認または拒否)を受信したときに完了するオーソリゼーションプロセスを指します。

b

BAU

「通常通りのビジネス」の頭字語 BAU は会社の通常通りの日常ビジネス業務です。

オーダーメイドとカスタムソフトウェアのこと。

オーダーメイドのソフトウェアは、事業体のために、事業体の仕様に従って第三者が開発したものです。
カスタムソフトウェアは、事業体が自社で使用するために開発するものです。

BoA

「諮問委員会」の頭字語です。

c

カードスキマー

ペイメントカードから情報を不正に取得および/または保存するために設計された、正規のカード読取装置に取り付けられることの 多い物理的な装置です。

カード検証コード

カードバリデーションコードまたはバリュー、カードセキュリティコードとも呼ばれる。PCI DSSの目的では、ペイメントカードの表面または裏面に印刷された3桁または4桁の値のことです。参加ペイメントブランドによっては、CAV2、CVC2、CVN2、CVV2、CIDと表記されることもあります。詳細については、参加ペイメントブランドにお問い合わせください。

カード会員

ペイメントカードの発行先である顧客、またはペイメントカードの使用を許可された個人です。「訪問者」を参照してください。

カード会員データ (CHD)

カード会員情報は、最低でも全桁数の PAN で構成されます。カード会員データは、全桁数の PAN に、カード会員名、有効期限、サ ービスコードのいずれかを加えた形式で表示されることもあります。 ペイメントトランザクションの一部として送信または処理される(ただし保存されない)その他のデータ要素については、機密認証 データを参照してください。

CDE

「カード会員データ環境」の頭字語。 CDE は以下のもので構成されます。

  • カード会員データまたは機密認証データを保存、処理、または伝送するシステムコンポーネント、人、および プロセスです。
  • カード会員データ(CHD)/機密認証データ(SAD)を保存、処理、または伝送しないが、カード会員データ(CHD)/機密認 証データ(SAD)を保存、処理、または伝送するシステム・コンポーネントに無制限の接続性を有するシステム・コンポーネン トです。

CERT

「コンピュータ緊急対応チーム」の頭字語です。

変更管理

システムおよびソフトウェアの変更について、実施前にその影響を検討し、テストし、承認するためのプロセスおよび手順です。

CIS

「インターネットセキュリティセンター」の頭字語です。

クリアテキストデータ

暗号化されていないデータです。

カラムレベル データベース暗号化

データベース内の特定の列の内容を、データベース全体の全内容と比較して暗号化する技術です(ソフトウェアまたはハードウェアのいずれか)。または、ディスク暗号化、ファイルレベル暗号化も参照してください。

商用オフザシェルフ (COTS)

特定の顧客またはユーザ向けに特別にカスタマイズまたは設計されていない在庫品であり、容易に使用できる製品の説明です。

代替コントロール

PCI DSS 付録 B および C を参照。

危殆化

「データ漏洩」または「データ侵害」とも呼ばれます。 カード会員データの不正な開示/盗難、改ざん、破壊が疑われるコンピュ ータシステムへの侵入です。

コンソール

サーバ、メインフレームコンピュータ、またはその他のシステムタイプにアクセスし、制御することを可能にする、直接接続された 画面および/またはキーボードです。ノンコンソールアクセスを参照してください。

消費者

商品、サービス、またはその両方を購入する個人のカード所有者です。

クリティカルシステム

事業者が特に重要であると判断したシステムまたは技術のことです。例えば、重要なシステムは、事業活動の遂行やセキュリティ機 能の維持に不可欠である場合があります。重要なシステムの例としては、セキュリティシステム、公衆向けのデバイスとシステム、 データベース、 カード会員データを保存、処理、または伝送するシステムなどがよく挙げられます。

暗号化アルゴリズム

"暗号化アルゴリズム "とも呼ばれます。 平文データを暗号化されたデータに変換するため、またはその逆のために使用される、明確に指定された可逆的な数学的プロセスです。強力な暗号化技術を参照してください。

暗号キー

暗号アルゴリズムと組み合わせて使用されるパラメータで、次のような操作に使用されます。

  • 平文データを暗号文データに変換する。
  • 暗号文データを平文データに変換すること。
  • データから計算されたデジタル署名。
  • データから計算されたデジタル署名を検証すること。
  • データから計算された認証コード、または
  • 共有秘密の交換契約。

強力な暗号化技術を参照してください。

暗号鍵の生成

鍵の生成は、鍵管理の中の機能の 1 つです。以下の文書は、適切な鍵の生成に関する公認のガイダンスを提供しています。

  • NIST 特別刊行物 800-133:暗号鍵生成のための推奨事項
  • ISO 11568-2 金融サービス - 鍵管理 (小売) - パート 2:対称型暗号、その鍵管理およびライフサイクル
    • 4.3 鍵の生成
  • ISO 11568-4 金融サービス - 鍵管理(小売) - 第 4 部:非対称暗号システム - 鍵の管理およびライフサイクル
    • 6.2 鍵のライフサイクル段階 - 生成
  • 欧州決済理事会 EPC 342-08 アルゴリズムの使用および鍵管理に関するガイドライン
    • 6.1.1 鍵の生成 [対称型アルゴリズムの場合]
    • 6.2.1 鍵の生成[非対称アルゴリズムの場合] 4.2.1 鍵の生成[非対称アルゴリズムの場合]。

暗号鍵の管理

暗号鍵の確立および維持(必要に応じて古い鍵を新しい鍵に置き換えることを含む)を支援する一連のプロセスおよびメカニズムで す。

暗号期間

暗号鍵が定義された目的のために使用できる時間帯です。多くの場合、鍵が有効な期間と鍵によって生成された暗号文の量によって 定義され、業界のベストプラクティスやガイドライン(例えば、NIST 特別刊行物 800-57)に従って定義されています。

カスタマイズアプローチ

PCI DSS編:PCI DSSの導入と検証のための8つのアプローチ」を参照。

CVSS

「共通脆弱性スコアリングシステム」の頭字語です。 詳しくは、ASV プログラムガイドを参照してください。

d

データフロー図

事業体のアプリケーション、システム、ネットワーク、および外部関係者との間を通じてデータがどのようにどこを流れるかを示す 図です。

デフォルトアカウント

システム、アプリケーション、またはデバイスにあらかじめ定義されたログインアカウントで、システムを初めて使用するときに最 初のアクセスを許可します。インストールプロセスの一部として、追加のデフォルトアカウントがシステムによって生成されること もあります。

デフォルトのパスワード

システム、アプリケーション、またはデバイスにあらかじめ定義されたシステム管理、ユーザ、またはサービスアカウントに関するパスワードです。通常はデフォルトアカウントに関連付けられます。デフォルトのアカウントとパスワードは公開されており、よく知られているため、容易に推測されます。

定義されたアプローチ

PCI DSS編:PCI DSSの導入と検証のための8つのアプローチ」を参照。

ディスク暗号化

デバイス(ハードディスクやフラッシュドライブなど)上のすべての保存データを暗号化するための技術です(ソフトウェアまたは ハードウェア)。また、特定のファイルや列の内容を暗号化するために、ファイルレベル暗号化または列レベルデータベース暗号化 も使用されます。

DMZ

「非武装地帯」の略語です。 事業体内部のプライベートネットワークに追加のセキュリティ層を提供する、物理的または論理的な サブネットワークです。

DNS

ドメインネームシステムの頭字語です。

DORA

「デジタル運用レジリエンス法」の頭字語です。

デュアルコントロール

機密性の高い機能または情報を保護するために、2 つ以上の別々の主体(通常は個人)が協調して動作するプロセスです。両主体 は、脆弱な取引に関わる物質の物理的保護に等しく責任を負います。一人の人間が材料(例えば、暗号鍵)にアクセスしたり、使用 したりすることは許されない。手動による鍵の生成、運搬、積込み、保管、および取り出しの場合、デュアルコントロールでは、鍵 の知識を各事業体に分割することが必要です。「スプリットナレッジ」を参照してください。

e

E コマース(ウェブ) リダイレクトサーバ

e コマース取引の際、決済処理のために顧客のブラウザをマーチャントのウェブサイトから別の場所にリダイレクトさせるサーバの ことです。

ECC

「楕円曲線暗号」 の頭字語です。 「強力な暗号化技術」を参照してください。

暗号化

暗号アルゴリズムによってデータを(可逆的に)変換して暗号文を生成すること、すなわちデータの情報内容を隠すことです。「強 力な暗号化技術」を参照。

暗号化アルゴリズム

暗号化アルゴリズムを参照してください。

事業体

PCI DSS の文脈で PCI DSS の評価を受ける事業体、組織、または事業を表すために使用される用語です。

f

ファイル整合性監視 (FIM)

重要なファイルの変更、追加、削除をチェックし、変更を検出した場合に通知する変更検出ソリューションです。

ファイルレベルの暗号化

特定のファイルの全内容を暗号化するための技術です(ソフトウェアまたはハードウェア)。ディスク暗号化と列レベルのデータベース暗号化を参照することもできます。

ファイアウォール

ネットワークリソースを不正なアクセスから保護するためのハードウェアおよび/またはソフトウェア技術です。ファイアウォール は、一連のルールやその他の基準に基づいて、異なるセキュリティレベルのネットワーク間でコンピュータのトラフィックを許可ま たは拒否します。

フォレンジック

"コンピュータフォレンジック "とも呼ばれます。 情報セキュリティに関連して、データ侵害の原因を特定するために、コンピュー タ資源から証拠を収集する調査ツールや分析技術を適用することです。 支払データの漏洩に関する調査は、通常、PCI 法科学捜査官(PFI)によって実施されます。

FTP

ファイル転送プロトコルの頭字語です。 インターネットなどの公衆ネットワークを通じて、あるコンピュータから別のコンピュー タにデータを転送するために使用されるネットワークプロトコルです。FTP は、パスワードやファイルの内容が保護されずに平文で 送信されるため、安全でないプロトコルとして広く認識されています。FTP は、SSH やその他の技術によって安全に実装すること ができます。

g

GEAR

「グローバル・エグゼクティブ・アセッサー・ラウンドテーブル」の頭字語です。

h

ハッシュ化

データを固定長のメッセージダイジェストに変換して保護する方法です。ハッシュは、非機密のアルゴリズムが任意の長さのメッセ ージを入力とし、固定長の出力(通常「ハッシュコード」または「メッセージダイジェスト」と呼ばれる)を生成する一方通行(数 学)関数です。ハッシュ関数には、以下のような性質が求められます。
  • ハッシュコードのみから元の入力を決定することは計算上不可能であること。
  • 同じハッシュコードを与える 2 つの入力を見つけることは計算上不可能であること。

HSM

「ハードウェアセキュリティモジュール」または「ホストセキュリティモジュール」の頭字語です。 暗号鍵管理機能および/また はアカウントデータの復号に使用される、安全な暗号サービスのセットを提供する、物理的および論理的に保護されたハードウェア デバイスです。

i

IDS

「侵入検知システム」の頭字語です。

インデックス・トークン

ある PAN に対応するランダムな値のテーブルからのランダムな値です。

インタラクティブログイン

アプリケーションまたはシステム アカウントに直接ログインするための認証資格情報を提供する個人のプロセス。インタラクティブログインを使用すると、その個人が実行したアクションの説明責任や追跡可能性がなくなります。

IPS

「侵入防御システム 」の頭字語です。

ISA

「内部セキュリティ評価者」の頭字語です。

ISO

「国際標準化機構」の頭字語です。

イシュア

「発行銀行」または「発行金融機関」とも呼ばれます。発行銀行や発行プロセサーなど、ペイメントカードを発行し、発行サービス を実施、促進、または支援する事業体です。ただし、これらに限定されません。

イシュイングサービス

イシュイングサービスの例としては、オーソリゼーション、カードパーソナライゼーションなどが挙げられるが、これらに限定され ません。

k

鍵管理者

秘密鍵、秘密鍵、キーシェア、またはキーコンポーネントに関する鍵管理の職務を、ある事業体に代わって行うことを委任され、かつその責任を負う者としての役割です。

鍵管理システム

ハードウェアとソフトウェアの組み合わせで、デバイスやアプリケーションの暗号鍵を生成、配布、管理するための統合的なアプローチを提供するものです。

鍵付き暗号ハッシュ

ランダムに生成される秘密鍵を組み込んだハッシュ関数で、ブルートフォース攻撃への耐性と秘密認証の完全性を提供します。
適切な鍵暗号ハッシュアルゴリズムには、以下のものが含まれるが、これらに限定されません。HMAC、CMAC、GMAC。有効な暗号強度は少なくとも128ビットです(NIST SP 800-131Ar2)。
HMAC、CMAC、GMAC の詳細については、それぞれ以下を参照してください。NIST SP 800-107r1、NIST SP 800-38B、NIST SP 800-38D)。
NIST SP 800-107 (リビジョン1)を参照してください。承認されたハッシュアルゴリズムを使用するアプリケーションのための推奨事項§5.3 を参照のこと。

KMO

「キー管理操作」の頭字語です。

l

LAN

「ローカルエリアネットワーク」の頭字語です。

LDAP

「ライトウェイトディレクトリアクセスプロトコル 」の頭字語です。

最小特権

職務上の役割と責任を果たすために必要な最小レベルの権限です。

法的例外

地域または地域の法律、規制、または規制要件による法的制限で、PCI DSS 要件を満たすことがその法律、規制、または規制要件に違反する場合。契約上の義務または法的助言は、法的な制限ではありません
法的例外の報告については、以下の PCI DSS v4.x ドキュメントを参照してください。

  • コンプライアンスに関するレポート(ROC)テンプレート および関連する コンプライアンスの証明。
  • 自己評価アンケート(SAQ)および関連するコンプライアンス証明書

注: 事業体が複数の場所で事業を行っている場合、法的な例外は、法律、規制、または規制要件が適用される地域に対してのみ請求でき、そのような法律、規制、または規制要件が適用されない地域については請求できません。

ログ

監査ログを参照してください。

論理的アクセス制御

情報または情報処理資源を、許可された者またはアプリケーションのみが利用できるように制限する仕組みのことです。物理的アクセス制御を参照してください。

m

MAC

暗号技術において、「メッセージ認証コード」の頭字語です。「強力な暗号化技術」を参照してください。

磁気ストライプデータ

トラックデータを参してください。

マスキング

PAN のセグメントを表示または印刷する際に隠す方法です。マスキングは、ビジネス上 PAN 全体を表示する必要がない場合に使用 されます。マスキングは、画面、紙の領収書、印刷物などに表示される PAN の保護に関連します。 電子的に保存、処理、送信される場合の PAN の保護については、トランケーションを参照してください。

メディア

電子記憶装置、リムーバブル電子メディア、および紙の報告書を含むが、これらに限定されない物理的なマテリアルです。

加盟店

PCI DSS の目的では、加盟店とは、PCI SSC 参加ペイメントブランドのロゴが付いたペイメントカードを商品やサービスに対する 支払いとして受け入れるあらゆる事業体と定義されます。 商品および/またはサービスの支払いとしてペイメントカードを受け入れる加盟店は、販売したサービスが他の加盟店またはサービ スプロバイダに代わってカード会員データを保存、処理、または送信するものである場合、サービスプロバイダである可能性もあり ます。たとえば、ISP は毎月の請求のためにペイメントカードを受け付ける加盟店ですが、加盟店を顧客として受け入れる場合は、 サービスプロバイダでもあります。

MO/TO

「メールオーダー/テレフォンオーダー」の頭字語です。

MPoC

「市販製品におけるモバイル決済」の頭字語です。

多要素認証

少なくとも 2 つの要素を検証することにより、ユーザを認証する方法です。これらの要素には、ユーザが持っているもの(スマート カードやドングルなど)、ユーザが知っているもの(パスワード、パスフレーズ、PIN など)、またはユーザ自身やユーザの行動 (指紋やその他の生体認証要素など)が含まれます。

マルチテナントサービスプロバイダ

システムリソース(物理サーバーや仮想サーバーなど)、インフラ、アプリケーション(SaaSを含む)、データベースなどを共有し、加盟店や他のサービスプロバイダーに対してさまざまな共有サービスを提供するサードパーティサービスプロバイダーの一種。サービスには、単一の共有サーバー上での複数のエンティティのホスティング、電子商取引および/または「ショッピングカート」サービスの提供、Webベースのホスティングサービス、決済アプリケーション、様々なクラウドアプリケーションおよびサービス、および決済ゲートウェイとプロセッサへの接続が含まれますが、これらに限定されるものではありません。サービスプロバイダ」及び「サードパーティサービスプロバイダ」をご参照ください。

n

NAC

「ネットワークアクセスコントロール」の頭字語です。

NAT

ネットワークアドレス変換の頭字語です。

ネットワーク接続

ネットワーク層のパケットの送受信を可能にする、機器間の論理的、物理的、または仮想的な通信経路のことです。

ネットワーク図

ネットワーク環境内のシステムコンポーネントと接続を示す図です。

ネットワークセキュリティコントロールズ(NSC)

ファイアウォールなどのネットワークセキュリティ技術で、ネットワークポリシーの実施点として機能します。NSCは通常、事前に定義されたポリシーまたはルールに基づいて、2つ以上の論理的または物理的なネットワークセグメント(またはサブネット)間のネットワークトラフィックを制御します。

NIST

「国立標準技術研究所」の頭字語です。 米国国立標準技術研究所内の非規制連邦機関、米国商務省技術局内の非規制連邦機関で す。

ノンコンソールアクセス

システムコンポーネントへの直接的、物理的な接続ではなく、ネットワークインターフェイスを介して行われる、システムコンポーネントへの論理的なアクセスです。コンソール以外のアクセスには、ローカル/内部ネットワークからのアクセスと、外部またはリモートネットワークからのアクセスが含まれます。

NTP

「ネットワークタイムプロトコル」の頭字語です。

o

組織的独立性

活動を行う人または部署と、活動を評価する人または部署との間に利害の対立がないことを保証する組織構造です。例えば、評価を行う個人は、評価対象の環境の管理者とは組織的に別です。

OWASP

「オープンウェブ アプリケーションセキュリティプロジェクト」の頭字語です。

p

P2PE

「ポイントツーポイント暗号化」の頭字語です。

PAN

「プライマリアカウント番号(Primary Account Number)」の頭字語で、「アカウント番号」とも呼ばれます。イシュアおよび特定 のカード会員アカウントを識別する、一意なカード番号(一般に、クレジットカードまたはデビットカード)です。

参加ペイメントブランド

"ペイメントブランド "とも呼ばれます。 当該時点において、PCI SSC の運営文書に基づき、その後正式にメンバーとして認められている(またはアフィリエイトとして認められている)ペイメントカードブランドです。本稿執筆時点では、参加支払ブランドには PCI SSC の創立メンバーおよび戦略的メンバーが含まれます。

パスワード/パスフレーズ

ユーザまたはアカウントの認証要素となる文字列です。

パッチ

既存のソフトウェアに機能追加や不具合を修正するためのアップデートです。

ペイメントブランド

ペイメントカードやその他のペイメントカードのフォームファクターをブランド化した事業体。ペイメントブランドは、そのブランドまたはロゴが付いたペイメントカードまたは他のフォームファクタが使用される場所と方法を規制します。ペイメントブランドは、PCI SSC 参加ペイメントブランド、またはその他のグローバルもしくは地域のペイメントブランド、スキーム、またはネットワークである場合があります。

ペイメントカードのフォームファクタ

物理的なペイメントカードと、ペイメントカードをエミュレートして決済取引を開始する機能を持つデバイスが含まれます。このようなデバイスの例としては、スマートフォン、スマートウォッチ、フィットネスバンド、キータグ、ジュエリーなどのウェアラブルなどが挙げられますが、これらに限定されるものではありません。

ペイメントカード

PCI DSS の目的では、PCI SSC 参加支払ブランドのロゴが付いた支払カードのフォームファクタを指します。

ペイメントチャネル

加盟店が顧客からの支払いを受け入れるために使用する方法。一般的な決済チャネルは、カードプレゼントの場合(対面)とカードが存在しない場合(電子商取引やMO/TO)です。

決済ページ

決済の処理と承認を目的として消費者からアカウントデータを取得する、または取得したアカウントデータを送信することを目的とした1つまたは複数のフォーム要素を含むウェブベースのユーザインターフェースです。決済ページは、以下のいずれかとしてレンダリングすることができます。
  • 単一のドキュメントまたはインスタンス。
  • 非決済ページ内のインラインフレームに表示される文書またはコンポーネント。

非決済ページ内の複数のインラインフレームに含まれる、それぞれが1つ以上のフォーム要素を含む複数の文書またはコンポーネント。

決済ページスクリプト

消費者のブラウザによって処理および/または解釈される、決済ページ上のあらゆるプログラミング言語のコマンドまたは命令です(ページのドキュメントオブジェクトモデルと相互作用するコマンドまたは命令を含む)。マークアップ言語(HTMLなど)やスタイルルール(CSSなど)はプログラミング言語ではありません。

ペイメントプロセッサー

「ペイメントゲートウェイ」または「ペイメントサービスプロバイダ(PSP)」と呼ばれることもあります。 ペイメントカード取引を代行するために、マーチャントまたはその他の事業者が契約する事業者です。アクワイアラを参照してください。

PCI DSS

「ペイメントカード業界データセキュリティ基準」の頭字語です。

人事担当者

アカウントデータを保護するためのセキュリティ責任を負う、またはアカウントデータのセキュリティに影響を与える可能性のある正社員、パートタイム社員、派遣社員、請負業者、コンサルタントです。

フィッシング耐性認証

ユーザーが認証しようとしている正当なシステムではないパーティへの認証シークレットの開示と使用を防止するように設計された認証 (たとえば、中間者 (ITM) 攻撃や偽装攻撃など)。フィッシングに強いシステムは、多くの場合、コアセキュリティ制御として非対称暗号化を実装します。
パスワードやワンタイムパスワード(OTP)などの知識ベースまたは時間制限のある要素のみに依存するシステムは、フィッシングに強いとは見なされず、SMSやマジックリンクもそうではありません。フィッシングに強い認証の例としては、FIDO2 があります。

物理的アクセス制御

物理的な空間や環境へのアクセスを、許可された者だけに制限する仕組みです。論理的アクセス制御を参照してください。

PIN

「個人識別番号(Personal Identification Number)」の頭字語です。 ユーザーとシステムのみが知る秘密の数値パスワードであり、ユーザーをシステムに対して認証するために使用されます。ユーザーが入力した PIN がシステムに保存されている PIN と一致した場合にのみ、アクセスが許可されます。一般的な PIN は、現金前借り取引を行うために自動預け払い機(ATM)で使用されます。別の種類の PIN として、EMV チップカードで使用されるものがあり、この場合 PIN はカード会員の署名の代わりとして使用されます。

PINブロック

処理中に PIN をカプセル化するために使用されるデータのブロックです。PINブロック形式は、PINブロックの内容と、PINを取得するための処理方法を定義します。PINブロックは PIN と PIN 長で構成され、PAN の一部(サブセット)が含まれる場合があります。

POI

「加盟店端末装置(Point of Interaction)」の頭字語です。カードからデータを読み取る最初のポイントです。POI は、ハードウェ アとソフトウェアで構成される電子取引認識製品であり、カード会員がカード取引を行うことができるようにするために認識装置でホストされます。POI は有人の場合と無人の場合があります。一般に、POI トランザクションは IC(チップ)カードまたは磁気ストライプカード(あるいはその両方)を使用したペイメントトランザクションです。

POS

加盟店が顧客から支払いを受けるために使用するハードウェアおよびソフトウェア。POIデバイス、PINパッド、電子レジスターなどが含まれる場合がある。

PPO’s

「主要参加組織」の頭字語です。

特権ユーザ

基本的なアクセス権限よりも大きな権限を持つユーザアカウントのことです。通常、これらのアカウントは、標準的なユーザアカウントよりも多くの権限を持つ昇格または増加した特権を持ちます。ただし、組織、職務、役割、使用する技術によって、特権アカウント間の権限の範囲が大きく異なる場合があります。

q

QIR

「認定インテグレーター」または「リセラー」の頭字語です。 詳細については、PCI SSC ウェブサイトの QIR プログラムガイドを 参照してください。

QPA

「認定PIN評価者」の頭字語です。

QSA

認定セキュリティ評価者の頭字語です。 QSA 企業は、企業が PCI DSS 要件を遵守していることを検証するための資格を有します。 QSA 企業および従業員の要件の詳細については、「QSA 資格要件」を参照してください。

r

REB

「地域連携委員会」の頭字語です。

リモートアクセス

ネットワーク外から事業体のネットワークにアクセスすることです。リモートアクセスのための技術の例として、VPN がありま す。

リムーバブル電子メディア

デジタル化されたデータを保存するメディアで、あるコンピュータシステムから別のコンピュータシステムに容易に取り出したり、持ち運んだりすることができるものです。リムーバブル電子メディアの例としては、CD-ROM、DVD-ROM、USBフラッシュドライブ、外付け/ポータブルハードドライブなどがあります。この文脈では、取り外し可能な電子メディアには、ホットスワップ可能なドライブ、一括バックアップに使用されるテープドライブ、またはデータをある場所から別の場所で使用するために輸送するために通常使用されないその他のメディアは含まれません。

RFC

「コメント依頼」の頭字語です。

リスクアセスメント

貴重なシステムリソースと脅威を特定し、発生の推定頻度とコストに基づいて損失エクスポージャー(つまり損失の可能性)を定量化し、(オプションとして)エクスポージャーの総額を最小限に抑えるための対策にリソースを割り当てる方法を推奨する、事業体全体のプロセスです。ターゲットリスク分析を参照してください。

リスクランキング

リスクを分類し、重要性の高い順に項目を特定し、優先順位をつけて対処するプロセスです。

ROC

「コンプライアンス報告書」の頭字語です。 事業体の PCI DSS 評価の詳細な結果を文書化するために使用される報告ツールです。

RRG

「ロードマップ・ラウンドテーブル・グループ」の頭字語です。

RSA

公開鍵暗号のアルゴリズムです。「強力な暗号化技術」を参照してください。

s

SAQ

「自己問診 (Self-Assessment Questionnaire)」の頭字語です。事業体の PCI DSS 評価からの自己問診結果を文書化するために使用 するレポートツールです。

適用範囲

PCI DSS 評価に含まれるすべてのシステムコンポーネント、人、およびプロセスを特定するプロセスです。PCI DSS 要件とセキュリティ評価手順の「PCI DSS 要件の範囲」を参照してください。

セキュアコーディング

改ざんや漏洩に強いアプリケーションを作成し、実装するプロセスです。

セキュリティイベント

システムまたはその環境に対してセキュリティ上の影響を及ぼす可能性があると事業体が考える出来事。PCI DSS の文脈では、セキュリティイベントは疑わしい活動や異常な活動を特定します。

セキュリティ責任者

事業体のセキュリティに対する主要な責任者です。

セグメンテーション

"ネットワーク・セグメンテーション "または "アイソレーション "とも呼ばれる。セグメンテーションは、カード会員データを保存、処理、または伝送するシステムコンポーネントを、そうでないシステムから分離するものです。PCI DSS のセクションの「セグメンテーション」を参照してください。4 PCI DSS 要件の範囲」の「セグメンテーション」を参照してください。

センシティブエリア

センシティブエリアは、通常カード会員データ環境(CDE)のサブセットであり、カード会員データ環境(CDE)にとって重要であると考えられるシステムを収容するあらゆるエリアを指します。これには、データセンター、サーバルーム、小売店のバックオフィスルーム、カード会員データの保存、 処理、伝送が集中または集約されているエリアが含まれます。機密エリアには、カード会員データ環境(CDE)のセキュリティを管理または維持するシステム(たとえば、ネットワークセキュリティ制 御または物理的または論理的セキュリティを管理するシステム)が収容されているエリアも含まれます。 小売店のキャッシャーエリアや、エージェントが支払いを受けるコールセンターなど、POS端末のみが存在するエリアは除きます。

機密認証データ(SAD)

カード会員をオーソリゼーションするため、および/またはペイメントカード取引を承認するために使用されるセキュリティ関連情報です。この情報には、カード検証コード、(磁気ストライプまたは同等のチップからの)フルトラックデータ、PIN、およびPINブロックが含まれますが、これらに限定されるものではありません。

職務の分離

一人の人間がプロセスを破壊することを防ぐために、ある機能のステップを複数の人間に分割することです。

サービスコード

ペイメントカードの有効期限に続く磁気ストライプのトラックデータ上の3桁または4桁の値です。サービス属性の定義、国際・国内インターチェンジの区別、利用制限の識別など、様々なことに使われます。

サービスプロバイダー

決済ブランドではなく、別の事業体に代わってカード会員データ(CHD)および/または機密性の高い認証データ(SAD)の処理、保存、
または送信に直接関与する事業体。これには、支払ゲートウェイ、支払サービス プロバイダー (PSP)、および独立販売組織 (ISO) が
含まれます。 これには、CHD および/または SAD のセキュリティを管理する、または影響を与える可能性のあるサービスを提供す
る企業も含まれます。 例としては、マネージドファイアウォール、IDS、およびその他のサービスを提供するマネージドサービスプ
ロバイダー、およびホスティングプロバイダーやその他のエンティティが含まれます。
通信リンクのみを提供する電気通信会社など、公衆ネットワークアクセスの提供のみを含むサービスを提供する事業体は 、そのサ
ービスのサービスプロバイダーとは見なされません(ただし、他のサービスのサービスプロバイダーと見なされる場合があります)。
「マルチテナントサービスプロバイダー」および「サードパーティサービスプロバイダー」を参照してください。

SNMP

「簡易型ネットワーク管理プロトコル」の頭字語の頭字語です。

スプリットナレッジ

2つ以上の事業体が別々にキーコンポーネントまたはキーシェアを持ち、個々に結果の暗号鍵に関する知識を伝えない方法です。

SQL

「構造化照会言語」の頭字語です。

SSH

「セキュアシェル」の略語です。

SSL

「セキュアソケットレイヤー」の頭字語です。

強力な暗号化技術

暗号は、可逆的な暗号化プロセスを通じてデータを保護する方法であり、多くのセキュリティプロトコルやサービスで使用される基礎的なプリミティブです。強力な暗号化技術は、業界でテストされ受け入れられているアルゴリズムと、最低112ビットの有効な鍵長、および適切な鍵の管理方法に基づいています。
有効な鍵の強度は実際の鍵の「ビット」長よりも短くすることができます。そのため、より大きな鍵を持つアルゴリズムは、実際の鍵のサイズは小さいが有効な鍵のサイズがより大きいアルゴリズムよりも保護が弱くなる可能性があります。すべての新しい実装では、最低でも128ビットの有効鍵強度を使用することが推奨されています。
暗号アルゴリズムと鍵長に関する業界の参考文献の例としては、以下のようなものがあります

  • NIST特別刊行物800-57第1部,
  • BSI TR-02102-1,
  • ECRYPT-CSA D5.4アルゴリズム、鍵のサイズ、プロトコルのレポート(2018年)、および
  • ISO/IEC 18033 暗号化アルゴリズム、および
  • ISO/IEC 14888-3:2-81 IT セキュリティ技術 - 付録付きデジタル署名 - 第 3 部:離散対数ベースのメカニズムISO。

システム構成要素

カード会員データ環境(CDE)に含まれる、またはカード会員データ環境(CDE)に接続されるネットワーク機器、サーバ、コンピューティングデバイス、仮想コンポーネント、ソフトウェアは、カード会員データ環境および/または機密性の高い認証データのセキュリティに影響を与える可能性があるものです。

システムレベルオブジェクト

システムコンポーネント上のもので、その動作に必要なものです。アプリケーション実行ファイルと設定ファイル、システム設定ファイル、静的ライブラリと共有ライブラリとDLL、システム実行ファイル、デバイスドライバとデバイス設定ファイル、およびサードパーティコンポーネントを含むが、これに限定されません。

t

TAB

「技術諮問委員会」の頭字語です。

ターゲットリスク分析

PCI DSS の目的のために、特定の PCI DSS 要件に焦点を当てたリスク分析。要件が(頻度などの)柔軟性を認めているため、またはカスタマイズアプローチのために、事業体がリスクを評価し、カスタマイズされたコントロールが PCI DSS 要件の目的を満たすと判断した方法を説明するために行われます。

TDES

「トリプルデータ暗号化規格」の頭字語です。 3DES」または「トリプル DES」とも呼ばれます。

ルネット

「電話回線網プロトコル」の略語です。

TGG

「テクノロジーガイダンスグループ」の頭字語です。

サードパーティサービスプロバイダ(TPSP)

事業体に代わってサービス提供者として活動するあらゆる第三者です。マルチテナントサービスプロバイダ、サービスプロバイダを参照してください。

サードパーティソフトウェア

事業体によって取得されるが、事業体のために明示的に開発されたのではないソフトウェアです。オープンソース、フリーウェア、シェアウェア、または購入したものです。

TLS

「トランスポートレイヤーセキュリティ」の頭字語です。

トークン

認証とアクセス制御の文脈では、トークンは、認証サーバまたはVPNと連携して動的認証または多要素認証を実行するハードウェアまたはソフトウェアによって提供される値です。

トラックデータ

「フルトラックデータ」または「磁気ストライプデータ」とも呼ばれます。 決済取引時にオーソリゼーションおよび認可のために使用される磁気ストライプまたはチップに符号化されたデータ。チップ上の磁気ストライプイメージまたは磁気ストライプ上のトラックデータである可能性があります。

トランケーション

PANデータのセグメントを削除することにより、完全なPANを読めなくする方法です。電子的に保存、処理、伝送される場合の PAN の保護に関連します。 画面や紙の領収書などに表示されるPANの保護については、マスキング を参照のこと。

信頼できるネットワーク

事業体のネットワークで、事業体の管理能力の範囲内にあり、適用されるPCI DSS 要件を満たすものです。

u

信頼できないネットワーク

"信頼できるネットワーク "の定義に合致しないネットワークです。

v

仮想決済端末

自己問診(SAQ)C-VTの文脈では、仮想決済端末とは、ペイメントカード取引を承認するためにアクワイアラ、プロセッサー、またはサードパーティサービスプロバイダのウェブサイトにウェブブラウザでアクセスし、加盟店がウェブブラウザを介してペイメントカードデータを手動で入力することを指します。物理的な端末とは異なり、仮想決済端末はペイメントカードから直接データを読み取ることはない。ペイメントカード取引は手動で入力されるため、仮想決済端末は通常、取引量の少ない加盟店環境で物理端末の代わりに使用されます。

仮想化

コンピューティングリソースを物理的および/または論理的な制約から論理的に抽象化することです。一般的な抽象化の1つは、仮想マシンまたはVMと呼ばれるもので、物理マシンの内容を取り込み、異なる物理ハードウェア上や同じ物理ハードウェア上の他の仮想マシンと一緒に動作させることができます。その他の一般的な抽象化には、コンテナ、サーバレスコンピューティング、またはマイクロサービスが含まれますが、これらに限定されるものではありません。

訪問者

ベンダー、担当者のゲスト、サービス担当者、または通常は対象領域にアクセスできない担当者。
商品やサービスを購入するために小売店にいるカード所有者は「訪問者」とみなされません。 「カード所有者と担当者」を参照してください。

VPN

「仮想プライベートネットワーク」 の頭字語です。

脆弱性(ぜいじゃくせい)

悪用された場合、意図的または非意図的にシステムを危険にさらす可能性のある欠陥または弱点です。

w

ウェブアプリケーション

一般的にウェブ ブラウザやウェブ サービスを通じてアクセスするアプリケーションのことです。ウェブ アプリケーションは、インターネットまたはプライベートな内部ネットワークを通じて利用することができます。