情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成31年度春期 午前 問14: PCI DSS v3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか
←情報セキュリティマネジメント試験 平成31年度春期 午前
PCI DSS v3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか。ここで,用語の定義は次のとおりとする。
〔用語の定義〕
加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。
サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。
カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
| 加盟店におけるカードセキュリティコードの取扱方法 | サービスプロバイダにおけるカードセキュリティコードの取扱方法 |
|---|
| ア | 暗号化して加盟店内に保管する。 | 暗号化してサービスプロバイダのシステム内に保管する。 |
| イ | 平文で加盟店内に保管する。 | 保管しない。 |
| ウ | 保管しない。 | 平文でサービスプロバイダのシステム内に保管する。 |
| エ | 保管しない。 | 保管しない。 |
問題本文
PCI DSS v3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか。ここで,用語の定義は次のとおりとする。 〔用語の定義〕 加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。 サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。 カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
選択肢
- ア.加盟店:暗号化して加盟店内に保管する。/サービスプロバイダ:暗号化してサービスプロバイダのシステム内に保管する。
- イ.加盟店:平文で加盟店内に保管する。/サービスプロバイダ:保管しない。
- ウ.加盟店:保管しない。/サービスプロバイダ:平文でサービスプロバイダのシステム内に保管する。
- エ.加盟店:保管しない。/サービスプロバイダ:保管しない。
正解
エ. 加盟店:保管しない。/サービスプロバイダ:保管しない。
解説
PCI DSSでは、カードセキュリティコード(CVV2/CVC2など、いわゆるセキュリティコード)はセンシティブな認証データであり、取引の承認(オーソリゼーション)後は暗号化の有無にかかわらず一切保存してはならないと定められている。これは加盟店にもサービスプロバイダにも等しく適用される。したがって、双方とも「保管しない」とするエが正解である。
選択肢ごとの解説
- ア.暗号化しても承認後のセキュリティコードの保存は禁止されているため、暗号化して保管するこの組合せは不適切。
- イ.加盟店が平文で保管するのは禁止事項であり、保管自体が認められないため不適切。
- ウ.サービスプロバイダが平文で保管するのも禁止されており、保管自体が認められないため不適切。
- エ.承認後は加盟店もサービスプロバイダもセキュリティコードを保管してはならず、双方とも保管しないこの組合せが適切である。
情報セキュリティマネジメント試験 平成31年度春期 午前 の過去問一覧へ戻る・問14