PCIDSSというセキュリティ基準が出ているそうです。

PCIDSSとは，有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準（関連記事）。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており，各項目はさらに具体的な中項目，小項目に分けられている。

お金を扱うベンダーとしては、しょうがないですがこれは、厳しいねぇ。

それに対して，PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。
■要件8.5.8　グループ、共有または汎用のアカウントとパスワードを使用しないこと。
■要件8.5.9　ユーザー・パスワードは少なくとも90日ごとに変更する。
■要件8.5.10　最小パスワード長は少なくとも7文字以上にする。
■要件8.5.11　数字と英字の組合せから成るパスワードを使用する。
■要件8.5.12　直近4回に使用されたのと同じパスワードは、新しいパスワードとして使用できないようにする。
■要件8.5.13　ユーザーIDをロックアウトすることにより、連続したアクセス試行を6回以内に制限する。
■要件8.5.14　ロックアウト時間は30分間、またはアドミニストレータがユーザーID を有効にするまでとする。

基本ですが、すべてのシステムコンポーネントとソフトウエアですか。。。SAP R/3とかにもすべてパッチですか・・・・

■要件6.1　すべてのシステムコンポーネントとソフトウェアに、最新のベンダー供給セキュリティ・パッチが適用されていることを確認する。関連するセキュリティ・パッチはリリース後1ケ月以内にインストールする。
■要件6.2　新しく見つかったセキュリティ脆弱性を特定するためのプロセス（例えば、インターネット上無料で利用可能な警告サービスに加入する）を確立する。新しい脆弱性の問題に対処するために基準を更新する。
■要件6.6　すべてのWebに面したアプリケーションは、以下のどちらかの手法を適用することで、既知の攻撃から防護されなければならない。
・カスタム・アプリケーション・コードについては、アプリケーションセキュリティに特化した組織に依頼して、一般的な脆弱性についての見直しをしてもらう。
・Webに面したアプリケーションの手前に、アプリケーション・レイヤー・ファイアウォールをインストールする。

今後金融系のDCをやる場合はPCIDSSを考慮した仕組みを作る必要があるってことですね。

VISAやMasterといったカード・ブランド会社は，PCIDSSを普及するためのプログラムを展開している。例えば，ビザ・インターナショナルが展開するAISプログラムでは，自己問診診断，脆弱性診断，訪問審査を用意し，取引件数に応じて必須にしたり，推奨したりしている。このプログラムに参加するだけでPCIDSSの認定を取得できるわけではないが，年4回義務づけられている脆弱性診断を無償で受けられるといったメリットがある。既に国内でも「年間のトランザクションが60万件を超える大規模な企業については，AISプログラムへの参加が一巡した」（ビザ・インターナショナルの井原氏）という。三井住友カードや楽天がPCIDSSの認定を取得したという記事が報道されている（関連記事1，2）。

HiromitsuTakagiのブックマーク経由で、