• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • カード業界を取り巻く環境とセキュリティーの重要性
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI DSS準拠への参考資料
  • 非保持化への参考資料
  • 非保持・PCI DSS対応の加盟店事例紹介
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

クレジットカードセキュリティの基礎(前編)

記事提供:株式会社リンク

クレジットカードセキュリティの基礎(前編)では、クレジットカードの情報保護について、実際にどんな情報をまもることを指してクレジットカードセキュリティと言われているのか、またどのようにカード情報が悪意のある第三者に盗まれているのかを解説します。

まもるべきクレジットカード情報とは?

何をまもるのか?

ここでいう「まもるべき情報」とは、具体的には国際ブランドのペイメントカード情報になります。国際ブランドとは、AmericanExpress/Discover/JCB/MasterCard/VISAなどのことを指します。ペイメントカードとは、国際ブランドのクレジットカード、デビットカードとプリペイドカードを指しています。

カード情報は、大きくは「カード会員データ」と「センシティブ(機密)認証データ」の2つに分けられます。これらは総称して「アカウントデータ」と呼ばれています。

カード会員データは、クレジットカードの表面に記載されている、16桁からなるカード会員番号、有効期限、カード会員名のことを指します。セキュリティの観点から、これらの情報はカード加盟店側で非保持が望ましいとされており、もし通過・処理・保存を行う場合はPCI DSSに準拠すべきということになります。

センシティブ認証データは、PIN(4〜6桁の暗証番号)/PINブロック(PINの暗号化コード)、クレジットカード裏面(または表面)の磁気ストライプ情報とセキュリティコードを指します。これらの情報は、加盟店側で保存すること自体が禁止されています。

セキュリティコードは、磁気ストライプに含まれていないのでスキミング対策として有効です。一方でインターネット加盟店では、意図せずアプリケーションのログなどに保存してしまうことがあるので、そこから流出してしまうことがあるので取り扱いには十分な注意が必要です。

クレジットカード情報の流出―SQLインジェクションとは?

どうやって盗まれているか?

昨今インターネット加盟店からカード情報の流出が相次いでいます。ここではカード情報がどのように悪意のある第三者に盗まれているのか?代表的な手法をご紹介していきます。


※本記事の詳細は、株式会社リンクのサイトに掲載されています。>>

  1. 外部のサイトへリンクします。
    • PマークとPCI DSS
    • ISMSとPCIDSS
    • 参考資料
    • 関連リンク