説明
PCI DSS では、カード会員データを含むデータベースへのアクセスを許可されたユーザーおよびアプリケーションに制限し、そのようなデータベースへの直接アクセスを禁止することが求められています。PCI DSS 要件に準拠
7.1.2、「特権ユーザー ID へのアクセスを、職務の遂行に必要な最小限の権限に制限する。」さらに、PCI DSS 要件 8.3.1 によれば、「管理アクセスを持つ担当者のカード会員データ環境へのコンソール以外のすべてのアクセスに対して多要素認証を実装する」とされています。したがって、カード所有者データを含むデータベースへのアクセスを制限するための PCI DSS 要件を満たすシナリオは、データベースへのユーザー アクセスが、認証、承認、暗号化を強制するアプリケーション インターフェイスなどのプログラム的な方法のみを介して行われるシナリオです。他のシナリオでは、データベースへの直接アクセスを許可するか、アクセスを必要最小限の権限に制限しないか、管理アクセスに多要素認証を使用しません。参考文献: [PCI DSS v3.2.1]、カード製造セキュリティ評価者 - 論理 - Credly

説明
PCI DSS v3.2.1 クイック リファレンス ガイド 1 によると、決済は、加盟店が完了した取引に対してカード発行会社から支払いを受け取り、両当事者が事前に合意したとおり、顧客またはその他の当事者に商品またはサービスを提供するときに発生します。配達または支払いの際にいずれかの当事者によって課される条件。これには、配達または支払いの際にいずれかの当事者による受諾、拒否、返品、交換、返金、キャンセル、変更、一時停止、終了または取り消しが含まれますが、これらに限定されません。または、配送時または支払い時にいずれかの当事者によって課されるその他の条件。または、配送時または支払い時にいずれかの当事者によって課されるその他の条件。または、配送時または支払い時にいずれかの当事者によって課されるその他の条件。

説明
ソフトウェア セキュリティ フレームワーク (SSF) は、決済ソフトウェアの安全な設計と開発のための標準とプログラムの集合です1。SSF は、Payment Application Data Security Standard (PA-DSS) を、より幅広い種類の支払いソフトウェア、テクノロジ、および開発手法をサポートする最新の要件に置き換えます2。SSF は、カード会員データ環境 (CDE) の一部であるあらゆる支払いソフトウェアに適用されます。CDE とは、カード会員データや機密認証データを保存、処理、送信する人、プロセス、およびテクノロジーです3。したがって、正解は選択肢Aです。
他のオプションは、さまざまな種類のソフトウェアに対する SSF の適用性に関しては当てはまりません。オプション B は当てはまりません。SSF は、やり取りの時点で支払いカード データを受け入れるハードウェア デバイスである PCI PTS デバイス上で実行されるソフトウェアに限定されないからです。SSF は、Web サーバー、モバイル デバイス、クラウド サービス、組み込みシステムなど、さまざまなプラットフォームやデバイス上で実行されるソフトウェアをカバーしています。オプション C は当てはまりません。SSF は、PCI SSC によってリストされ、PA-DSS 評価を受けている検証済みの支払いアプリケーション、つまり PA-DSS 評価機関によって検証され、PA-DSS 要件を満たしている支払いアプリケーションに限定されないためです。 。SSF は、加盟店やサービス プロバイダーが独自に使用するために開発したソフトウェア、または第三者に販売、配布、またはライセンス供与されていないソフトウェアなど、PA-DSS 検証の対象とならない可能性のある支払いソフトウェアを対象としています。選択肢 D は当てはまりません。SSF は、Secure SLC Standard に従って企業が開発したソフトウェアに限定されないからです。Secure SLC Standard は、SSF の一部であり、ソフトウェア ベンダーにセキュリティ要件と評価手順を提供する 2 つの標準のうちの 1 つです。ソフトウェア開発ライフサイクルに統合します。SSF は、セキュア ソフトウェア標準のセキュリティ要件と検証手順を満たしている限り、ソフトウェア ベンダー、マーチャント、サービス プロバイダー、サードパーティなど、あらゆる主体によって開発された決済ソフトウェアを対象としています。もう 1 つは SSF の一部であり、決済ソフトウェア製品のセキュリティ要件と評価手順を規定する標準です。参考文献:
PCI ソフトウェア セキュリティ フレームワークを理解する: 新しい教育リソース PCI ソフトウェア セキュリティ フレームワークは、決済ソフトウェア セキュリティへの最新のアプローチを提供します PCI DSS v3.2.1
[PCI PTS POI セキュリティ要件]
【ソフトウェアセキュリティフレームワークセキュアソフトウェア標準】
【決済アプリケーションデータセキュリティ基準】
【ソフトウェアセキュリティフレームワークセキュアソフトウェアライフサイクル（セキュアSLC）規格】
[PCI DSS v4.0: カスタマイズされたアプローチはあなたの組織に適していますか?]

説明
要件 12.3.2 によると、Secure SLC Standard に従ってエンティティによって開発されたソフトウェアは、エンティティが CDE で使用する前に、Qualified Security Assessor (QSA) によって検証される必要があります。これは、Secure SLC 標準に従って企業によって開発されたソフトウェアが、PCI DSS v3.2.1 クイック リファレンス ガイド 1 の付録 E で定義されているすべてのセキュリティ標準と管理を確実に満たすための要件の 1 つです。

説明
PCI DSS v3.2.1 クイック リファレンス ガイド1 によると、ネットワーク上にシステムをインストールする前に、デフォルト アカウントとデフォルトの管理者アカウントのパスワードを変更する必要があります。これは、カード会員データへの不正アクセスを防ぐための要件の 1 つです。