データセキュリティ基準自己問診（self …...pci dss...

PCI （Payment Card Industry）

データセキュリティ基準

自己問診（Self-Assessment

Questionnaire）

ガイドラインと手引き

バージョン 1.2

2008 年 10 月

PCI DSS 自己問診（SAQ: Self-Assessment Quesionnaire）に関する指示およびガイドライン、v1.2 2008 年 10 月

Copyright 2008 PCI Security Standards Council LLC ページ ii

文書の変更

日付バージョン説明

2008 年 10 月 1 日 1.2 新しい PCI DSS v1.2 の内容に合わせて改訂、およびオリジナルの

v1.1 以降に加えられた若干の変更を追加。


Copyright 2008 PCI Security Standards Council LLC ページ iii

目次

文書の変更 ...................................................................................................................... ii

この文書について ............................................................................................................. 1

PCI データセキュリティ基準の自己評価: すべてがどのように整合するか ........................... 2

PCI データセキュリティ基準: 関連文書 .............................................................................. 3

SAQ の概要 ..................................................................................................................... 4

PCI DSS への準拠が重要な理由 ..................................................................................... 5

準拠の検証に備えるための全般的なヒントと戦略 .............................................................. 6

組織に最適な SAQ および証明書の選択 .......................................................................... 8

SAQ 検証タイプ 1/SAQ A: カードを提示しない、すべてのカード会員データ機能を外部委託 ........................ 8

SAQ 検証タイプ 2/SAQ B: インプリントのみの加盟店、カード会員データを電子形式で保存しない ............... 9

SAQ 検証タイプ 3/SAQ B: スタンドアロン型ダイアルアップ端末の加盟店、カード会員データを電子形式で保存しない ........................................................................................................... 9

SAQ 検証タイプ 4/SAQ C: ペイメントアプリケーションシステムがインターネットに接続されている加盟店 ..... 9

SAQ 検証タイプ 5/SAQ D: ペイメントブランドによって SAQ を完了する資格があると定義されたその他のすべての加盟店とサービスプロバイダ ................................................................ 10

特定の要件が適用されない場合および除外される場合 ............................................................................. 10

SAQ の完了に関する指示 .............................................................................................. 11

SAQ に関する指示およびガイドライン - 適切な検証タイプはどれか ................................. 12


Copyright 2008 PCI Security Standards Council LLC ページ 1

この文書について

この文書は、加盟店およびサービスプロバイダが PCI データセキュリティ基準（DSS）自己問診（SAQ: Self-

Assessment Questionnaire）を理解する助けとなるように作成されました。このガイドラインと手引きに関する文

書全体に目を通して、PCI DSS が組織にとって重要な理由、準拠の検証を促進するために組織で使用できる戦

略、および短いバージョンの SAQ のいずれかを完了する資格が組織にあるかどうかを理解してください。以下の

セクションで、PCI DSS SAQ について知っておく必要がある内容を説明します。

PCI データセキュリティ基準の自己評価: すべてがどのように整合するか

PCI データセキュリティ基準: 関連文書

SAQ の概要

PCI DSS への準拠が重要な理由

全般的なヒントと戦略

組織に最適な SAQ の選択

特定の要件が適用されない場合および除外される場合

自己問診の完了方法



PCI データセキュリティ基準の自己評価: すべてがどのように整合するか

PCI データセキュリティ基準およびその付属文書は、機密情報の安全な処理を確実にするための共通の業界ツー

ルおよび測定結果セットです。基準は、セキュリティインシデントの防止、検出、対応を含め、堅牢なアカウント

データセキュリティプロセスを開発するための実用的なフレームワークです。セキュリティ侵害のリスクを少なくし、

侵害が発生した場合の影響を軽減するには、カード会員データを保存、処理、または伝送するすべての事業体

が準拠することが重要です。次の図に、組織による PCI DSS 準拠および自己問診に役立つツールを示します。

これらの文書およびその他の関連文書は www.pcisecuritystandards.org に用意されています。

http://www.pcisecuritystandards.org/



PCI データセキュリティ基準: 関連文書

以下の文書は、加盟店とサービスプロバイダの PCI データセキュリティ基準（PCI DSS）および PCI DSS SAQ

の理解を促進するために作成されたものです。

文書対象読者

PCI データセキュリティ基準: 要件とセキュリティ評価手順すべての加盟店とサービスプ

ロバイダ

PCI DSS のナビゲート: 基準要件の目的理解すべての加盟店とサービスプ

ロバイダ

PCI データセキュリティ基準: 自己問診のガイドラインと手引きすべての加盟店とサービスプ

ロバイダ

PCI データセキュリティ基準: 自己問診 A と証明書加盟店1

PCI データセキュリティ基準: 自己問診 B と証明書加盟店1

PCI データセキュリティ基準: 自己問診 C と証明書加盟店1

PCI データセキュリティ基準: 自己問診 D と証明書加盟店 1とすべてのサービスプ

ロバイダ

PCI DSS と PA-DSS の用語集（用語、略語、および頭字語）すべての加盟店とサービスプ

ロバイダ

1 適切な自己問診（SAQ: Self-Assessment Questionnaire）を判断するには、『PCI データセキュリティ基準: 自己問診（Self-Assessment Questionnaire）に関するガイドラインおよび指示』の「組織に最適な SAQ および証明書の選択」を

参照してください。



SAQ の概要

PCI データセキュリティ基準の自己問診は、加盟店とサービスプロバイダによる PCI（Payment Card Industry）

データセキュリティ基準（PCI DSS）準拠の自己評価を支援することを目的とした検証ツールです。PCI DSS

SAQ には、さまざまなシナリオに対応するための複数のバージョンがあります。この文書は、組織が最適な

SAQ を判断するのを手助けするために作成されました。

PCI DSS SAQ は、PCI DSS 要件およびセキュリティ評価手順に従ってオンサイトのデータセキュリティ評価を受

ける必要はないが、アクワイアラーまたはペイメントブランドから要求される可能性がある加盟店およびサービス

プロバイダ向けの検証ツールです。PCI DSS 検証要件の詳細については、アクワイアラーまたはペイメントブラ

ンドにお問い合わせください。

PCI DSS SAQ は以下のコンポーネントから構成されます。

1. サービスプロバイダと加盟店に該当する PCI DSS 要件に相互に関連する問診: この文書の「組織に最

適な SAQ および証明書の選択」を参照してください。

2. 準拠証明書: 証明書は、適切な自己評価を実行する資格があり、それを実行したことを証明するものです。



PCI DSS への準拠が重要な理由

PCI セキュリティ基準審議会のメンバー（American Express、Discover、JCB、MasterCard、Visa）は、アカウン

トデータの侵害事例を継続的に監視しています。これらの侵害の監視は、非常に小規模な加盟店から非常に大

規模な加盟店およびサービスプロバイダまで、あらゆる組織を対象とします。

ペイメントカードデータのセキュリティ違反およびそれに続く侵害は、影響を受ける組織に次のような広範にわた

る影響を及ぼします。

1. 監督機関への通知要件

2. 評判の損失

3. 顧客の損失

4. 金銭的な責任の可能性（規制に関する料金と罰金など）

5. 訴訟

セキュリティ侵害の事後分析では PCI DSS が対応している共通のセキュリティ弱点が示されましたが、侵害の

発生時には組織で分析が行われていませんでした。PCI DSS は、セキュリティ侵害の可能性および侵害が発生

した場合の影響を最小限に抑えることを目的に設計され、そのための詳細な要件が含まれています。

侵害後の調査では、次のような共通の PCI DSS 違反が常に示されました（ただし、これらに限定されません）。

磁気ストライプデータの保存（要件 3.2）。侵害を受けた多くの事業体はシステムにこのデータが保存さ

れていることに気付いていません。この点に注意することが重要です。

POS システムが適切にインストールされていないことによる不適切なアクセス制御。これにより、ハッカー

は POS ベンダ用のパスを経由して侵入します（要件 7.1、7.2、8.2、8.3）

システムのセットアップ時に既定のシステム設定とパスワードが変更されていない（要件 2.1）

システムのセットアップ時に不要なサービスや安全でないサービスが削除または修正されていない（要

件 2.2.2）

SQL インジェクションやその他の脆弱性の原因となる不適切にコーディングされた Web アプリケーショ

ン。これにより、Web サイトから直接カード会員データを保存するデータベースにアクセスできます（要件

6.5）

セキュリティパッチが適用および更新されていない（要件 6.1）

ログの不足（要件 10）

（ログレビュー、侵入検出/防止、四半期に一度の脆弱性スキャン、ファイル整合性監視システムによる）

監視の不足（要件 10.6、11.2、11.4、11.5）

ネットワーク内のセグメンテーションの不足。これにより、ネットワークのその他の部分の弱点（無線アク

セスポイント、従業員の電子メール、Web ブラウズなど）を通じてカード会員データに容易にアクセスでき

ます（要件 1.3、1.4）



準拠の検証に備えるための全般的なヒントと戦略

以下は、PCI DSS 準拠の検証作業を開始するにあたっての全般的なヒントと戦略です。これらのヒントは、必要のないデータを除外し、必要なデータを定義済みで管理されている集中エリアに分離するのに役立ちます。また、PCI DSS 準拠の検証作業の範囲を限定することができます。たとえば、必要のないデータを除外したり、そのデータを定義済みの管理されているエリアに分離することで、カード会員データを保存、処理、または伝送しないシステムとネットワークを自己評価の範囲から除外することができます。

1. センシティブ認証データ（磁気ストライプの全内容、カード検証コードと値、PIN ブロックを含む）

a. このデータを保存していないことを確認します。

b. 確実でない場合は、使用するソフトウェア製品およびバージョンがこのデータを保存するかどうかを POS ベンダに問い合わせてください。または、認定セキュリティ評価機関を雇用して、センシティブ認証データがシステム内のどこかに保存、ログ、またはキャプチャされているかどうかを判断してもらうことを検討します。

2. 加盟店の場合は、POS ベンダにシステムのセキュリティについて問い合わせます。次の質問を推奨します。

a. POS ソフトウェアはペイメントアプリケーションデータセキュリティ基準に対して検証されていますか（PCI SSC の検証済みペイメントアプリケーションのリストを参照）？

b. POS ソフトウェアは磁気ストライプデータ（トラックデータ）または PIN ブロックを保存しますか？もしそうなら、この保存は禁止されているので、いつ削除を手伝ってくれますか？

c. 前述の禁止されているデータが保存されていないことを確認したいので、アプリケーションが書き込むファイルの一覧と各ファイルの内容の概要を文書化してもらえますか？

d. POS システムで不正アクセスからシステムを保護するにはファイアウォールをインストールする必要がありますか?

e. 我が社のシステムにアクセスするのに複雑で固有のパスワードが要求されていますか？共通または既定のパスワードを我が社のシステムおよびサポート対象の他の加盟店システムに使用していないことを確信できますか？

f. POS システムの一部であるシステムとデータベースで既定の設定およびパスワードは変更されていますか？

g. 不要なサービスと安全でないサービスはすべて、POS システムの一部であるシステムとデータベースから削除されていますか？

h. POS システムにリモートアクセスしますか?もしそうなら、安全なリモートアクセス方法を使用していて、共通または既定のパスワードを使用していないなど、わが社の POS システムに他者がアクセスできないようにするための適切な管理が実装されていますか？我が社の POS デバイスにどのぐらいの頻度でリモートアクセスしますか、またその理由は何ですか？POS にリモートアクセスする権限を持っているのは誰ですか？

i. POS システムの一部であるシステムとデータベースはすべて、適用可能なすべてのセキュリティ更新によってパッチされていますか？

j. POS システムの一部であるシステムとデータベースではログ機能がオンになっていますか？

k. 以前のバージョンの POS ソフトウェアがトラックデータを保存していた場合、この機能は POS ソフトウェアへの最新の更新中に削除されましたか？このデータを削除するために安全なワイプユーティリティが使用されましたか？



3. カード会員データ — 必要ない場合は、保存してはいけません。

a. ペイメントブランドのルールでは、個人アカウント番号（PAN）、有効期限、カード会員名、サービスコ

ードの保存が許可されています。

b. このデータを保存するすべての理由と場所のインベントリを作成します。データが重要なビジネス目

的を果たさない場合は、削除を検討します。

c. そのデータの保存とサポートするビジネスプロセスが以下に値するかどうかを考えます。

i. データが侵害されるリスク。

ii. そのデータを保護するために適用する必要がある追加の PCI DSS 作業。

iii. 長期的に PCI DSS への準拠を維持するための継続的な保守作業。

4. カード会員データ — 必要ない場合は、集約して分離します。

a. データ保存を定義済みの環境に集約し、適切なネットワークセグメンテーションを使用してデータを

分離することで、PCI DSS 評価の範囲を限定できます。たとえば、カード会員データと同じマシンま

たはネットワークセグメント上で従業員がインターネットをブラウズし、電子メールを受信する場合は、

カード会員データを（ルーターまたはファイアウォールを介した）独自のマシンまたはネットワークセ

グメントにセグメント化（分離）することを検討します。カード会員データを効果的に分離できれば、す

べてのマシンを含めるのではなく、分離された部分のみに PCI DSS 作業を集中させることができる

可能性があります。

5. 代替コントロールの検討

a. 組織がある PCI DSS 要件の技術的仕様を満たすことができないが、関連するリスクは十分に軽減

されている場合、ほとんどの要件で代替コントロールを検討することができます。企業が PCI DSS

で指定されている管理を正確に実装していないが、代替コントロールの PCI DSS 定義を満たすそ

の他の管理が実装されている（該当する SAQ 付録の「代替コントロール」および

www.pcisecuritystandards.org にある『PCI DSS と PA-DSS の用語集（用語、略語、および頭字

語）』文書を参照）場合、会社では以下を行う必要があります。

i. SAQ の質問に “はい” と回答し、［その他］列に、要件を満たすために使用される各代替コント

ロールの使用を明記します。

ii. 付録の「代替コントロール」を確認し、代替コントロールワークシートを完成させて代替コントロールの使用を文書化します。

a) 代替コントロールによって満たされる要件ごとに、代替コントロールワークシートを完成させ

ます。

iii. アクワイアラーまたはペイメントブランドからの指示に従って、すべての完成した代替コントロー

ルワークシートを、完成した SAQ や証明書とともに提出します。

6. 専門家による支援

a. 準拠を実現し、SAQ を完了するためにセキュリティ専門家によるガイダンスを必要とする場合は、依

頼することをお勧めします。どのセキュリティ専門家を選択するかは自由ですが、PCI SSC の認定

セキュリティ評価機関（QSA）のリストに含まれている評価機関のみが QSA として認識され、PCI

SSC によって訓練されていることに注意してください。このリストは、

https://www.pcisecuritystandards.org/pdfs/pci_qsa_list.pdf に掲載されています。

http://www.pcisecuritystandards.org/



組織に最適な SAQ および証明書の選択

ペイメントブランドのルールに従い、すべての加盟店とサービスプロバイダは、組織全体として PCI データセキュ

リティ基準に準拠する必要があります。SAQ 検証のカテゴリは 5 つあります。次の表に簡単な説明が記載されて

います。詳細については以降の段落で説明します。この表を使用してどの SAQ が組織に適用されるかを判断し、

詳細説明を確認して、その SAQ のすべての要件を満たすようにしてください。

SAQ 検証タ

イプ

説明

SAQ

1 カードを提示しない（電子商取引または通信販売）加盟店で、すべてのカード

会員データ機能は外部に委託されている。対面式の加盟店に適用されることはありません。

A

2 カード会員データを保存しない、インプリントのみの加盟店 B

3 カード会員データを保存しない、スタンドアロン型ダイアルアップ端末のみの

加盟店 B

4 カード会員データを保存しない、ペイメントアプリケーションシステムがインター

ネットに接続された加盟店 C

5 （上記の SAQ A-C の説明に含まれない）他のすべての加盟店、およびペイメ

ントブランドにより SAQ を完了する必要があると定義されたすべてのサービ

スプロバイダ。

D

SAQ 検証タイプ 1/SAQ A: カードを提示しない、すべてのカード会員データ機能を外部委託

SAQ A は、カード会員データの紙の計算書または領収書だけを保管し、その敷地内で

電子形式でカード会員データを保管、処理、伝送しない加盟店に適用される要件を示す

ために作成されました。

検証タイプ 1 の加盟店は、カード会員データを電子形式で保存せず、店内でカード会員

データを処理または伝送しません。SAQ A および関連する準拠証明書を完成させ、以

下を確認することによって、準拠を検証する必要があります。

チャートに従って検証タイプを選択するには、12 ページの「自己問診のガイドラインと手引き —自社の検証タイプはどれか」を参照してください。

あなたの会社はカードを提示しない（電子商取引または通信販売よる注文）取引のみを扱います。

あなたの会社は、その敷地内でカード会員データを保管、処理、伝送しませんが、これらを処理する機能

を第三者に完全に依拠しています。

あなたの会社は、第三者のカード会員データの保管、処理、伝送処理が、PCI DSS に準拠するもので

あることを確認しました。

あなたの会社はカード会員データの紙の計算書または領収書のみを保管し、これらの書類を電子的に

受信することはありません。また

あなたの会社は、いかなるカード会員データも電子形式で保管していません。

このオプションは、対面式の POS 環境を持つ加盟店に適用されることはありません。



SAQ 検証タイプ 2/SAQ B: インプリントのみの加盟店、カード会員データを電子形式で保存しない

SAQ B は、インプリンタまたはスタンドアロン型ダイアルアップ端末のみによって、カー

ド会員データを処理する加盟店に適用される要件を示すために作成されたものです。

検証タイプ 2 の加盟店は、カード会員データをインプリンタのみによって処理します。以

下の事項を確認し、SAQ B および関連する準拠証明書を完成して、準拠を立証する必

要があります。

あなたの会社はインプリンタのみを使用して顧客のペイメントカード情報を取り

込みます。

あなたの会社は、電話回線またはインターネットを介してカード会員データを伝

送しません。

あなたの会社は、カード会員データの領収書のみを保存します。そして、

あなたの会社は、カード会員データを電子形式で保存しません。


SAQ 検証タイプ 3/SAQ B: スタンドアロン型ダイアルアップ端末の加盟店、カード会員データを電子形式で保存しない

SAQ B は、インプリンタまたはスタンドアロン型ダイアルアップ端末のみによって、カード会員データを処理する加盟店に適用される要件を示すために作成されたものです。検証タイプ 3 の加盟店は、スタンドアロン型ダイアルアップ端末経由でカード会員データを処理します。従来型（カードを提示する）加盟店、または電子商取引もしくは通信販売（カードを提示しない）加盟店のいずれかとなります。検証タイプ 3 の加盟店は、以下の事項を確認し、SAQ B および関連する準拠証明書を完成して、準拠を立証する必要があります。

あなたの会社は、スタンドアロン型ダイアルアップ端末（電話回線によって処理装置に接続）のみを使用しています。

スタンドアロン型ダイアルアップ端末が環境内のその他のシステムに接続されていません。

スタンドアロン型ダイアルアップ端末がインターネットに接続されていません。

あなたの会社は、カード会員データの紙の計算書または領収書のみを保存します。そして、

あなたの会社は、カード会員データを電子形式で保存しません。

SAQ 検証タイプ 4/SAQ C: ペイメントアプリケーションシステムがインターネットに接続されている加盟店

SAQ C は、以下のいずれかの理由でペイメントアプリケーションシステム（POS またはショッピングカートシステムなど）がインターネットに接続されている（高速接続、DSL、ケーブルモデムなどを経由）加盟店に適用される要件を示すために作成されました。

1. ペイメントアプリケーションシステムが（電子メールや Web ブラウザ用に）インターネットに接続されているパーソナルコンピュータ上にある、または

2. ペイメントアプリケーションシステムがカード会員データを伝送するためにインターネットに接続されている。検証タイプ 4 の加盟店は、インターネットに接続されているペイメントアプリケーションシステム経由でカード会員データを処理しますが、カード会員データをコンピュータシステムに保存せず、従来型（カードを提示する）加盟店、または電子商取引/通信販売（カードを提示しない）加盟店のいずれかとなります。検証タイプ 4 の加盟店は、以下の事項を確認し、SAQ C および関連する準拠証明書を完成して、準拠を立証する必要があります。



あなたの会社は、ペイメントアプリケーションシステムとインターネット接続が同

じデバイス上にあります。

ペイメントアプリケーションシステム/インターネットデバイスは、環境内の他のシ

ステムには接続されていません。

あなたの会社は、カード会員データの紙の計算書または領収書のみを保存し

ます。

あなたの会社は、カード会員データを電子形式で保存しません。そして、

あなたの会社のペイメントアプリケーションソフトウェアベンダは、安全な技術を

使用して、ペイメントアプリケーションシステムにリモートサポートを提供してい

ます。


SAQ 検証タイプ 5/SAQ D: ペイメントブランドによって SAQ を完了する資格があると定義されたその他のすべての加盟店とサービスプロバイダ

SAQ D は、ペイメントブランドによって SAQ を完了する資格があると定義されたすべてのサービスプロバイダ、

および前述の検証タイプ 1 から 4 に分類されない加盟店に適用される要件に対応するために作成されました。

検証タイプ 5 のサービスプロバイダおよび加盟店は、SAQ D および準拠証明書を完成させることによって、準拠

を検証する必要があります。

SAQ D を行う会社の多くは各 PCI DSS 要件への準拠を検証する必要がありますが、特定のビジネスモデルの

会社には適用されない要件もあります。たとえば、ワイヤレス技術をまったく使用しない会社は、ワイヤレス技術

固有の PCI DSS セクションへの準拠を検証する必要がありません。ワイヤレス技術およびその他の特定要件の

除外については、以下のガイダンスを参照してください。

特定の要件が適用されない場合および除外される場合

除外:SAQ C または D に回答して PCI DSS への準拠を検証する必要がある場合、次の例外を考慮することが

できます。SAQ への適切な対応方法については、以下の「非適用」を参照してください。

要件 1.2.3（SAQ D）、2.1.1（SAQ C および D）、4.1.1（SAQ D）: 無線に固有のこれらの質問は、無線がネ

ットワーク内に存在する場合にのみ回答する必要があります。要件 1.1（無線アナライザの使用）は、無線が

ネットワーク内にない場合でも回答する必要があります。アナライザは知らないうちに追加された可能性があ

る不正デバイスを検出するためです。

要件 6.3 – 6.5（SAQ D）: カスタムアプリケーションおよびコードに固有のこれらの質問は、組織が独自の

Web アプリケーションを作成する場合にのみ回答する必要があります。

要件 9.1 – 9.4（SAQ D）: これらの質問は、ここで定義されている “機密エリア” を持つ施設に対してのみ回

答する必要があります。"機密エリア" とは、データセンタ、サーバルーム、またはカード会員データを保存、処

理、または伝送するシステムが設置されているエリアのことです。これには、小売店のレジなど、POS 端末

のみが存在するエリアは含まれません。

非適用: すべての SAQ において、あなたの会社に適用されないと思われる要件は、SAQ の［その他］列に

"N/A" と記入して示す必要があります。"N/A" と記入した各項目について、付録の "適用されない理由についての

説明" ワークシートに説明を入力します。



SAQ の完了に関する指示

1. ここに記載されているガイドラインを使用して、どの SAQ が会社にとって適切かを判断します。

2. 『PCI DSSナビゲート: 基準要件の目的理解』を使用して、要件が組織にとってどのように関連するか、

およびその理由を理解します。

3. 該当する自己問診（SAQ）をツールとして使用して、PCI DSS との準拠を検証します。

4. 該当する SAQ の PCI DSS 準拠 - 完了手順の指示に従い、必要なすべての文書をアクワイアラーまた

はペイメントブランドに提出します。



SAQ に関する指示およびガイドライン - 適切な検証タイプはどれか

データセキュリティ基準 自己問診（self …...pci dss...

Documents

データセキュリティ基準自己問診（self …...pci dss...