3.1.1 要件 3 で特定されたすべてのセキュリティポリ シーと運用手順が
・ 文書化されている。
・ 最新の状態に保たれている。
・ 使用されている。
・ すべての関係者に周知されている。
3.1.2 要件 3 の活動を行うための役割と責任が文書化 され、割り当てられ、理解されている。
3.2.1 アカウントデータの保存は、少なくとも以下を 含むデータ保持・廃棄ポリシー、手順、プロセスの実 施により、最小限にとどめる。
・ アカウントデータが保存されているすべての場所 を対象とする。
・ オーソリゼーションが完了するまでに保存されて いるすべての機密認証データ(SAD)を対象とす る。この箇条は、発効日まではベストプラクティ スである。詳細については、以下の「適用に関す る注意事項」を参照。
・ データの保存量および保存期間を、法律、規制、 および/または事業上の要件に必要なものに限定 する。
・ 保存されたアカウントデータの保存期間を定義 し、文書化された業務上の正当な理由を含む、特 定の保存要件。
・ 保持ポリシーに基づき、不要になったアカウント データを安全に削除する、または復元不可能にす るためのプロセス。
・ 定義された保存期間を超えて保存されたアカウン トデータが安全に削除されたこと、または復元不 可能にされたことを少なくとも 3 カ月に一度、検 証するためのプロセス。
3.4.2 リモートアクセステクノロジを使用する場合、 技術的なコントロールにより、文書化された明示的な 承認と正当かつ定義されたビジネスニーズを持つ者を 除き、すべての担当者の PAN のコピーおよび/また は移動を防止する。
3.6.1.1 サービスプロバイダのみに対する追加要件: 暗号化アーキテクチャについて、以下を含む文書化 された記述が維持されている。
・ 保存されたアカウントデータの保護に使用され る全てのアルゴリズム、プロトコルおよび鍵の 詳細(鍵の強度および有効期限を含む)
・ 本番環境とテスト環境で同じ暗号化鍵が使用さ れないようにすること。この箇条は発効日まで のベストプラクティスであり、詳細は下記の適 用に関する注意事項を参照すること
・ 各鍵の使用方法の説明
・ 要件 12.3.4 に示すように、鍵管理に使用される ハードウェアセキュリティモジュール (HSM)、鍵管理システム (KMS)、その他の 安全な暗号化装置(SCD)のインベントリ(装 置の種類と場所を含む)