JA Standards

PCI Security Standards 協議会

当社の PCI Security Standards

PCI Security Standards は、決済ライフサイクル全体を通して決済データを保護するために、PCI Security Standards によって策定および維持されています。様々な PCI 規格は、決済業界における異なる利害関係者や機能をサポートしています。

PCI 規格の一部は、加盟店、サービスプロバイダー、金融機関など、決済に関わる組織が自社の環境内で使用することを目的としています。これらの基準は、組織内における安全な慣行、技術、およびプロセスの導入を支援するものです。

その他の PCI 規格は、製品やサービスがセキュリティを念頭に置いて設計されており、定められた一連のセキュリティ要件を満たしていることを証明したい開発者、テクノロジーベンダー、ソリューションプロバイダーを対象としています。これらの基準は、基準および検証プログラムの要件を満たす製品およびサービスの検証と登録を支援するものです。

すべての PCI Security Standards は、決済業界の利害関係者からなるグローバルネットワークと協力して策定されています。

PCI Security Standards 協議会

standards-ecosystem-JA

この図は、適用されるPCI Security Standardsを示しています。関連するコンプライアンスプログラムについては、決済ブランドにお問い合わせください。

PCI Security Standards 協議会

standards-ecosystem-JA

この図は、適用されるPCI Security Standardsを示しています。関連するコンプライアンスプログラムについては、決済ブランドにお問い合わせください。

PCI Security Standards

PCI データセキュリティ基準 (PCI DSS)

PCI DSSは、決済口座データが保存、処理、または送信される環境を保護するためのセキュリティ要件を定めています。PCI DSS は、決済口座データを保護するために設計された、技術的および運用上の要件の基本基準を提供する。

ポイントツーポイント暗号化(P2PE)

PCI P2PE 規格は、加盟店の決済端末で決済口座データが取得された時点から、ソリューションプロバイダーまたはコンポーネントプロバイダーの環境で復号化される時点まで、暗号化によって決済口座データを保護するための、P2PE ソリューション、P2PE コンポーネント、および P2PE アプリケーションに対するセキュリティ要件を定義しています。

安全なソフトウェア

PCI Secure Software Standard は、ソフトウェアベンダーおよび開発者向けのセキュリティ要件を定めており、決済ソフトウェアが安全に設計および管理され、決済取引の整合性、および決済取引に関連して保存、処理、または送信される決済データの機密性が保護されることを保証することを目的としています。

安全なソフトウェアライフサイクル(セキュアSLC)

セキュアソフトウェアライフサイクル(SLC)標準は、ソフトウェアベンダーおよび開発者向けのセキュリティ要件を定義しており、ソフトウェアライフサイクル全体を通してセキュリティが統合され、ソフトウェアが設計段階から安全であり、攻撃に耐えられるようにすることを保証します。

PTS インタラクションポイント(POI)

PIN 取引セキュリティ(PTS)インタラクションポイント(POI)規格は、インタラクションポイントにおいて、カード所有者の PIN(個人識別番号)、口座データ、その他の機密性の高い決済カードデータを保護するために使用される機器の特性と管理に関するセキュリティ要件を定義しています。

トークンサービスプロバイダー(TSP)

トークンサービスプロバイダー(TSP)規格は、EMV®ペイメントトークン化仕様技術フレームワークで定義されている、EMV決済トークンを生成および発行するトークンサービスプロバイダー(TSP)のセキュリティ要件を定義しています。

PIN セキュリティ

PIN セキュリティ標準は、ATM や有人・無人 POS 端末におけるオンラインおよびオフラインの決済カード取引処理において、個人識別番号(PIN)データの安全な管理、処理、および送信に関するセキュリティ要件を定めています。

カードの発行とプロビジョニング - 論理

この規格は、決済カードおよびその構成要素の開発、製造、輸送、およびパーソナライゼーションにおける論理的なセキュリティ要件を定義します。

カード製造および供給における論理的セキュリティ要件は、カード製造および供給における物理的セキュリティ要件を補完するものです。

カードの製造および発行 – 物理カード

この規格は、カードの製造および供給機能に関する物理的なセキュリティ要件を定義します。

カード製造および供給における物理的セキュリティ要件は、カード製造および供給における論理的セキュリティ要件を補完するものです。

PCI 3DS コア

PCI 3-Dセキュア(3DS)コアSecurity Standard は、特定の3DS 機能が実行される環境を保護するためのセキュリティ要件を定義し、eコマースおよび mコマースでの購入における安全な消費者認証を可能にします。

PCI 3DS SDK

この規格は、EMV® 3-D Secure SDK仕様で定義されている3DSソフトウェア開発キット(SDK)に関するセキュリティ要件、評価手順、およびガイダンスを提供し、カード非提示取引(CNP取引)における不正行為を防止し、加盟店をCNP取引における不正リスクから保護することを目的としています。

PCI Security Standards Council (PCI SSC)は、PCI 3-D Secure(3DS)ソフトウェア開発キット(SDK)標準の正式なサンセット期間を2026年5月1日から10月31日までと発表しました。詳細については公告をご覧ください。

COTS でのモバイル決済 (MPoC)

PCI Mobile Payments on COTS(MPoC)は、既存のPCI Software-based PIN Entry on COTS(SPoC)およびPCI Contactless Payments on COTS(CPoC)規格に基づいて構築されています。これらの規格は、それぞれ、スマートフォンやその他の市販の既製(COTS)モバイルデバイスを使用して、加盟店がカード所有者のPINまたは非接触型決済を受け入れることを可能にするソリューションのセキュリティ要件に対応しています。

市販機器での非接触型決済(CPoC)

この規格は、市販の既製デバイス(例えば、スマートフォンやタブレット)に搭載されているNFC機能を活用することで、外部の非接触型リーダーを必要とせずに非接触型決済を受け付けることができるソリューションに対するセキュリティ要件を提供するものです。

PCI Security Standards Council (PCI SSC)は、PCI 市販機器での非接触型決済(CPoC)標準の正式なサンセット期間を2026年5月1日から10月31日までと発表しました。詳細については公告をご覧ください。

市販製品におけるソフトウェアベースの PIN 入力(SPoC)

この規格は、加盟店の市販既製デバイス(スマートフォンやタブレットなど)で PIN 入力による取引を可能にする、安全なモバイル決済受付ソリューションのためのセキュリティ要件を提供するものです。

PCI Security Standards Council (PCI SSC)は、PCI 市販製品におけるソフトウェアベースの PIN 入力(SPoC)標準の正式なサンセット期間を2026年5月1日から10月31日までと発表しました。詳細については公告をご覧ください。

PTS ハードウェアセキュリティモジュール(HSM)

PINトランザクションセキュリティ(PTS)ハードウェアセキュリティモジュール(HSM)規格は、金融取引や決済カードのパーソナライゼーションなどの活動において機密性とデータの整合性を確保するために、ハードウェアセキュリティモジュールの特性とライフサイクル全体にわたる管理に関するセキュリティ要件を定めています。

Intended Audience

All entities that store, process, or transmit cardholder data (CHD) and/or sensitive authentication data (SAD) or could impact the security of the cardholder data environment (CDE). This includes all entities involved in payment card processing, including merchants, processors, acquirers, issuers, and service providers.

決済アプリケーションデータセキュリティ標準(PA-DSS) – 廃止済み

決済アプリケーションデータセキュリティ基準(PA-DSS)は2022年10月28日をもって廃止され、セキュアソフトウェア標準およびセキュアソフトウェアライフサイクル標準に置き換えられました。

Intended Audience

All entities that store, process, or transmit cardholder data (CHD) and/or sensitive authentication data (SAD) or could impact the security of the cardholder data environment (CDE). This includes all entities involved in payment card processing, including merchants, processors, acquirers, issuers, and service providers.