PCI DSSコンプライアンスレポート

要件2：システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない

2.1：システムをネットワークに導入する前に、必ずベンダ提供のデフォルト値を変更する
2.3：強力な暗号化を使用して、すべてのコンソール以外の管理アクセスを暗号化する。Web ベースの管理など非コンソール管理アクセスについては、SSH、VPN、または SSL/TLS などのテクノロジを使用します。

要件3：保存されるカード会員データを保護する

3.5.1：鍵へのアクセスを最小限の管理者数に制限する
3.5.2：最小限の場所とフォームで鍵を安全に保管する

要件7：カード会員データへのアクセスを、業務上必要な範囲内に制限する

7.1：業務上の要求でアクセスが必要となる個人を除き、コンピューターのリソースやカード所有者の情報へのアクセスを制限する
7.2：ユーザーが知るべきものに対して特別な許可を与えない限りアクセスを制限する、複数ユーザーを含むシステム上の仕組みの確立

要件8：システムコンポーネントへのアクセスを確認・許可する

8.1：システム コンポーネントやカード所有者データへのアクセスをユーザーに許可する前にすべてのユーザーが一意なユーザー名を持つことを識別する
8.2：一意のIDの割り当てに加えて、すべてのユーザーの認証において以下のいずれかの手法を採用する： パスワード / トークン サービス / 生体認証
8.5：すべてのシステム コンポーネントにおいて非コンシューマー ユーザーと管理者のための適切なユーザー認証とパスワード管理を以下のように確保する
8.5.2：パスワード変更前に、ユーザーが本人であることを検証
8.5.4：離職したユーザーのアクセスは直ちに無効にする
8.5.5 ：90日以上非アクティブなユーザーを削除する
8.5.8：グループ、共有または汎用のアカウントとパスワードを使用しない
8.5.9：最長でも90日以内にユーザーのパスワードを変更する　
8.5.10：最小パスワード長は少なくとも7文字以上にする
8.5.11：数字とアルファベットの両方を含むパスワードを使用する　
8.5.12：過去4回分のパスワードのいずれかと同じ新しいパスワードの設定を個人に許可しない

なお、要件8.3の多要素認証への準拠機能については、下記をご覧ください。

多要素認証システムとの連携（指紋/その他バイオメトリクス認証、ICカード認証等）
https://www.manageengine.jp/products/Password_Manager_Pro/multi-factor-authentication.html

PCI DSS要件8.3「多要素認証」の落とし穴！?「多段階認証」との違い
https://blogs.manageengine.jp/pci-dss-8-3-multi-step-vs-multi-factor-authentication/

要求10：ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する

10.5：監査証跡は、改変できないように保護する
10.5.1：業務で関連がある場合を除き、監査証跡の表示を制限する
10.5.2：監査証跡ファイルは、改ざんされないように保護する　
10.7：監査証跡履歴は、少なくとも１年は保管、最低3ヶ月間はオンラインで閲覧利用できるようにする。　

要件12：すべての担当者の情報セキュリティに対応するポリシーを維持する

12.2：本仕様の要求と一貫性のある日々のセキュリティ操作手順を開発する
12.5：以下の情報セキュリティ管理責任を個人またはチームに割り当てる
12.5.1：セキュリティ ポリシーと手順を制定、文書化、配布する
12.5.2：セキュリティ アラートと情報を監視/分析し、適切な個人に配布する
12.5.3 ：セキュリティ インシデント応答を制定、文書化し、エスカレーション手順を配布し、あらゆる事態に対して時宜にかなった効果的な対応を行う
12.5.4：ユーザーアカウントの管理（追加、削除、変更を含む）
12.5.5：データへのすべてのアクセスを監視・制御する
12.9：インシデント応答計画の実装。システム侵害への迅速な対応を準備する