「PCI DSSは有効なのか?」米国で巻き起こった議論とは − @IT(情報元のブックマーク数)
ISMSはどこまでやればいいのか?確かにその通りだよねぇ。いつまでもスパイラルアップ。。。。。
常に見えてきちゃうんでしょうね。
「いろいろな企業に話を聞くと、『ISMSの場合、結局のところ何をどこまでやればいいのか分からない』という声が聞こえてくる。これに対しPCI DSSは、なすべき対策を具体的に実装レベルで示しており、あとどのくらい投資すればいいのかを判断し、中長期的な計画に落とし込んでいくことができる。このため、キリのない投資を避けることができる」(山崎氏)。
「PCI DSSは有効なのか?」米国で巻き起こった議論とは − @IT
こうしたアプローチは、クレジットカード情報を取り扱う小売店だけでなく、製造業など幅広い分野の企業にも適用可能であろうと同氏は述べる。また、セキュリティに長けた技術者がいない自治体や教育機関にとっても有用だ。現に、PCI DSSをベースにした「自治体DSS」「学校教育DSS」策定に向けた取り組みが進んでいるという。さらに、個人情報を扱う一般企業向けに「プライバシーデータ・セキュリティ・スタンダード(PDSS)といったものを作り上げるという施策があってもいいのではないか」と山崎氏は述べている。
PCI DSSに準拠することで訴訟を免れる州法ですか。
各州政府もこの動きを後押ししており、例えばテキサス州では、情報漏えい事件・事故を起こしても、PCI DSSに準拠していることを30日以内に証明できれば訴訟を免れるという免責事項を盛り込んだ州法が施行された。またネバダ州では、実質的にPCI DSSへの準拠を義務付ける「Wiener議員法」が1月1日より施行されている。
「PCI DSSは有効なのか?」米国で巻き起こった議論とは − @IT
ぅぁーーーログレビューをしないといけないのに気付かないとか。。。まぁ、形だけのPCI-DSSとか形だけのISMSか・・・
ところがこのHeartland Payment Systemsは2008年4月に、PCI DSS認定を受けていた。にもかかわらず情報漏えいは発生した。しかも、本来ならばPCI DSSで定められているログのレビューによって自ら発見できるはずの不正アクセスを見つけられず、外部からの通報によって発覚するという始末だった。「この事件をきっかけに、PCI DSSは本当に有効かという議論が巻き起こった。第三者によってPCI DSSコンプライアンスであることの認定を受けていたのに、漏えい事件が起こってしまった」(山崎氏)。
「PCI DSSは有効なのか?」米国で巻き起こった議論とは − @IT
