PCI DSS v 3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか。ここで,用語の定義は次のとおりとする。
〔用語の定義〕
加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
| 加盟店におけるカードセキュリティコードの取扱方法 | サービスプロバイダにおけるカードセキュリティコードの取扱方法 | |
| ア | 暗号化して加盟店内に保管する。 | 暗号化してサービスプロバイダのシステム内に保管する。 |
| イ | 平文で加盟店内に保管する。 | 保管しない。 |
| ウ | 保管しない。 | 平文でサービスプロバイダのシステム内に保管する。 |
| エ | 保管しない。 | 保管しない。 |
解答
エ
解説
PCI DSS(Payment Card Industry Data Security Standard)は,クレジットカードなどのカード会員データのセキュリティ強化を目的として制定され,技術面及び運用面の要件を定めたものです。
PCI DSS では,承認後に機密認証データを保存しない旨,規定されています。そして,カードセキュリティコードは機密認証データに該当します。
- 加盟店におけるカードセキュリティコードの取扱方法
上記の通り,保管しないが適切です。 - サービスプロバイダにおけるカードセキュリティコードの取扱方法
上記の通り,保管しないが適切です。
参考情報
分野・分類
| 分野 | テクノロジ系 |
| 大分類 | 技術分野 |
| 中分類 | セキュリティ |
| 小分類 | セキュリティ技術評価 |
出題歴
- SG 平成31年度春期 問14
