情報セキュリティマネジメント試験 過去問解説
取引承認を受けた後の加盟店及びサービスプロバイダとは?情報セキュリティマネジメント試験 平成31年度春期 午前 問14を解説
情報セキュリティマネジメント試験 平成31年度春期 午前 問14は、取引承認を受けた後の加盟店及びサービスプロバイダに関する理解を問う問題です。検索から入っても、問題文、選択肢、正解、解説、各選択肢がなぜ違うかをこのページだけで確認できます。
問題文
PCI DSS v3.2.1において,取引承認を受けた後の加盟店及びサービスプロバイダにおけるカードセキュリティコードの取扱方法の組みのうち,適切なものはどれか。ここで,用語の定義は次のとおりとする。 〔用語の定義〕 加盟店とは,クレジットカードを商品又はサービスの支払方法として取り扱う事業体をいう。 サービスプロバイダとは,他の事業体の委託でカード会員データの処理,保管,伝送に直接関わる事業体をいう。イシュア(クレジットカード発行や発行サービスを行う事業体)は除く。 カードセキュリティコードには,カード表面又は署名欄に印字されている,3桁又は4桁の数値がある。
この問題の出題ポイント
- 取引承認を受けた後の加盟店及びサービスプロバイダの定義だけでなく、問題文中の条件がどの選択肢に当てはまるかを確認する。
選択肢
- ア加盟店:暗号化して加盟店内に保管する。/サービスプロバイダ:暗号化してサービスプロバイダのシステム内に保管する。
- イ加盟店:平文で加盟店内に保管する。/サービスプロバイダ:保管しない。
- ウ加盟店:保管しない。/サービスプロバイダ:平文でサービスプロバイダのシステム内に保管する。
- エ加盟店:保管しない。/サービスプロバイダ:保管しない。正解
正解
エ: 加盟店:保管しない。/サービスプロバイダ:保管しない。
解説
PCI DSSでは、カードセキュリティコード(CVV2/CVC2など、いわゆるセキュリティコード)はセンシティブな認証データであり、取引の承認(オーソリゼーション)後は暗号化の有無にかかわらず一切保存してはならないと定められている。これは加盟店にもサービスプロバイダにも等しく適用される。したがって、双方とも「保管しない」とするエが正解である。
なぜ他の選択肢が違うのか
ア
暗号化しても承認後のセキュリティコードの保存は禁止されているため、暗号化して保管するこの組合せは不適切。
イ
加盟店が平文で保管するのは禁止事項であり、保管自体が認められないため不適切。
ウ
サービスプロバイダが平文で保管するのも禁止されており、保管自体が認められないため不適切。
エ(正解)
承認後は加盟店もサービスプロバイダもセキュリティコードを保管してはならず、双方とも保管しないこの組合せが適切である。
解き方の整理
取引承認を受けた後の加盟店及びサービスプロバイダの問題では、選択肢のキーワードだけで判断せず、問題文が示す条件と正解選択肢の説明が一致しているかを見ます。誤答選択肢は、似た用語を混ぜる、主体を入れ替える、目的や範囲を広げすぎる、という形で作られることが多いため、選択肢別解説まで確認しておくと復習効率が上がります。
関連問題
前後の問題
復習を続ける
間違えた問題、苦手タグ、模試履歴を保存して復習する導線を用意しています。広告なしPro、弱点分析、復習リマインダーは段階的に提供予定です。