AIS(Account Information Security)

アカウント情報セキュリティ

加盟店およびプロセッサ、オンライン決済業務代行業者などの情報セキュリティ対策を改善し、カード会員のカード情報や取引情報を保護することを目的に、クレジットカードなどのカード情報や決済情報を安全に保護するための条件を満たしているか、どうかを診断するプログラム の総称。世界標準のクレジットカード業界向け情報セキュリティ基準として「PCI Data Security Standard(PCIデータ・セキュリティ標準)」があり、全世界でカード情報や取引情報を処理、保管、送信している全ての企業、一定額以上の売上のあるショップなどには、AISプログラムへの参加が義務化されている。また、「PCI Data Security Standard(PCIデータ・セキュリティ標準)」の12の要件を満たしていない場合は、カード決済ができなくなる。それぞれのカード会社は、AISを通じて自己診断、脆弱性スキャンテスト、訪問調査などを可能にしている。詳細情報はURL(http://www.visa-asia.com/ap/jp/merchants/riskmgmt/ais_what.shtml)で知ることができる。

「PCI Data Security Standard(PCIデータ・セキュリティ標準)」の12の要件
1. データを保護するためにファイアウォールを導入し、最適な設定を維持すること
2. システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと
3. 保存されたデータを安全に保護すること
4. 公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること
5. アンチウィルス・ソフトウェアを利用し、定期的にソフトを更新すること
6. 安全性の高いシステムとアプリケーションを開発し保守すること
7. データアクセスを業務上の必要範囲に制限すること
8. コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
9. カード会員情報にアクセスする際、物理的なアクセスを制限すること
10. ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
11. セキュリティシステムおよび管理手順を定期的にテストすること
12. 情報セキュリティに関するポリシーを整備すること