Payment Card Industry Data Security Standard (PCI DSS) は、カード会員データを保存、処理、または送信するすべての組織に必要です。現行バージョンはPCI DSS v4.0.1です。 参照: [PCI Security Standards Council](https://www.pcisecuritystandards.org/document_library/) ## 要件マッピング | PCI DSS要件 | 説明 | Rediaccの機能 | |------------|------|--------------| | **要件1**、ネットワークセキュリティ制御 | ネットワークセキュリティ制御の導入と維持 | リポジトリごとのiptablesルールがクロスリポジトリトラフィックをすべてブロック。各リポジトリは独自のループバックIPサブネット(/26)を取得。 | | **要件2**、セキュアな設定 | すべてのシステムコンポーネントにセキュアな設定を適用 | Rediaccfileライフサイクルフックが決定論的で再現可能な設定を強制。デフォルト認証情報なし。LUKS鍵はオペレーターが生成。 | | **要件3**、保存データの保護 | 保存されたアカウントデータを暗号化で保護 | すべてのリポジトリボリュームでLUKS2 AES-256暗号化。暗号化は必須であり、オプションではありません。LUKS鍵破壊による暗号消去。 | | **要件4**、転送中データの保護 | 強力な暗号でカード会員データの転送を保護 | すべてのリモート操作はSSH経由。バックアップ転送はエンドツーエンド暗号化。暗号化されていないデータパスなし。 | | **要件6**、セキュアな開発 | セキュアなシステムとソフトウェアの開発と維持 | CoWクローンが本番のカード会員データを開発ネットワークに公開せず分離テスト環境を作成。fork-test-promoteワークフロー。 | | **要件7**、アクセス制限 | 業務上の必要性に基づくシステムコンポーネントとカード会員データへのアクセス制限 | リポジトリごとのDocker daemonソケット。あるリポジトリへのアクセスは別のリポジトリへのアクセスを許可しません。SSH鍵認証。 | | **要件8**、ユーザー識別と認証 | ユーザーを識別しシステムコンポーネントへのアクセスを認証 | SSH鍵認証。IPバインドとスコープ付き権限のAPIトークン。二要素認証(TOTP)。 | | **要件9**、物理アクセスの制限 | カード会員データへの物理アクセスを制限 | セルフホスト型:物理セキュリティはお客様の直接管理下。LUKS暗号化により盗まれたドライブは読み取り不能。 | | **要件10**、ログと監視 | すべてのアクセスをログし監視 | 40以上のアカウントレベルイベントタイプ(認証、APIトークン、設定、ライセンス)。ユーザー、チーム、日付によるフィルタリング付き管理ダッシュボード。`rdc audit` CLIによるプログラム的エクスポート。マシンレベル操作はSSHとシステムログで監査可能。 | | **要件12**、組織ポリシー | 組織ポリシーとプログラムで情報セキュリティを支援 | セルフホストがサードパーティプロセッサスコープ(要件12.8)を排除。PCI DSSコンプライアンス境界を縮小。 | ## ネットワークセグメンテーション PCI DSSはカード会員データ環境(CDE)を隔離するためのネットワークセグメンテーションを重視しています。Rediaccはアーキテクチャでこれを提供します: - 各リポジトリは`/var/run/rediacc/docker-.sock`で独自のDocker daemonとして実行 - リポジトリは分離されたループバックIPサブネット(127.0.x.x/26、ネットワークあたり61の使用可能IP)を持つ - renetが強制するiptablesルールがdaemon間のすべてのトラフィックをブロック - 異なるリポジトリのコンテナはネットワークレベルで通信不可 決済処理リポジトリは同一マシン上の他のすべてのアプリケーションからネットワーク分離されています。追加のファイアウォール設定は不要です。 ## スコープ削減 セルフホスト型RediaccはPCI DSSコンプライアンススコープを縮小します: - カード会員データフローにサードパーティクラウドプロバイダーなし - 要件12.8(サードパーティサービスプロバイダー)で評価すべきSaaSベンダーなし - 物理セキュリティ制御はお客様の直接管理下 - 暗号化鍵はオペレーターのローカル設定にのみ保存 ## 執行事例 不十分なネットワークセグメンテーションと暗号化の欠如は、コストのかかるPCI DSS執行措置につながりました: - Heartland Payment Systems(2008年):ネットワークセグメンテーションの不備により攻撃者が48のデータベースを横断的に移動し、1億3000万のカード番号を露出。[総コストは2億ドルを超過。](https://www.philadelphiafed.org/-/media/frbp/assets/consumer-finance/discussion-papers/d-2010-january-heartland-payment-systems.pdf) - Target(2013年):フラットなネットワークアーキテクチャにより攻撃者がHVACベンダーのネットワークアクセスからPOSシステムへ侵入し、4000万のペイメントカードを取得。[47州の司法長官と1850万ドルで和解。](https://oag.ca.gov/news/press-releases/attorney-general-becerra-target-settles-record-185-million-credit-card-data)