PCI チャーター

目的

このチャーターは、Payment Card Industry Data Security Standard (PCI DSS) 要件への準拠を維持するためのガバナンスフレームワークと組織構造を確立します。Service Provider としての GitLab の SaaS 製品のセキュリティを確保するための役割、責任、説明責任の措置を定義します。

プログラムガバナンス

最高情報セキュリティ責任者は、セキュリティアシュアランスチームによってサポートされ、PCI DSS 準拠に対する最終的な説明責任を維持し、以下に責任を持ちます。

• PCI DSS チャーターを年次でレビューし承認する
• PCI DSS スコープを 6 か月ごとにレビューし承認する
• 適切なリソース割り当てを保証する
• リスク評価と管理を監督する
• 必要な是正活動を調整する

コミュニケーションと報告

結果とステータスはエグゼクティブマネジメントに伝達されます。

範囲

GitLab はカード保有者データ (CHD) または機密認証データ (SAD) を保存、処理、または転送 しません 。ただし、私たちの製品が顧客のカード保有者データ環境 (CDE)（コードリポジトリや CI/CD ワークフローなど）のセキュリティに影響を与える可能性があるため、PCI DSS の対象範囲です。GitLab はまた、Customer Portal 支払いフォームのアウトソーシングにより、限定的な能力でも対象範囲です。

そのため、GitLab は GitLab.com をカバーするサービスプロバイダー (SAQ D) と、customers.GitLab.com をカバーする Merchant (SAQ A) の両方として、PCI DSS の対象範囲です。PCI DSS の対象範囲のシステムコンポーネントのインベントリと、それらの機能/用途の説明を含む詳細については、external audit technical scope を参照してください。

プログラム図

ネットワーク と データフロー 図は、PCI 要件の対象範囲環境を図示するために維持されます。これらの図は、環境への重要な変更があった際に必要に応じて維持・更新されます。

スコープのドキュメント化と継続的な確認

GitLab は、少なくとも 6 か月ごと、および対象範囲環境への重要な変更後に、PCI DSS スコープをドキュメント化し確認する必要があります。スコープ検証プロセスには以下を含める必要があります。

• すべての支払いステージ（authorization、capture settlement、chargebacks、refunds）と受け入れチャネル（card-present、card-not-present、e-commerce）にわたるすべてのデータフローを特定し、ドキュメント化することにより、支払い処理アクティビティの完全な可視性を確保すること。
• Requirement 1.2.4 に従って、支払いインフラストラクチャとデータ送信パスへの変更や更新を反映した、最新のデータフロー図を維持すること。
• 定義された CDE 外の場所、CHD を処理するアプリケーション、システム間送信、バックアップストレージの場所を含む、ストレージ、処理、送信ポイントを包含するアカウントデータの場所の包括的な特定を実施すること。
• セキュリティ境界の完全なカバレッジを確保するために、CDE 内、CDE に接続されている、または CDE のセキュリティに影響を与える可能性のあるすべてのシステムコンポーネントの徹底的なインベントリを実施すること。
• 実装されたすべてのセグメンテーションコントロール、および他の環境から CDE を分離する際の有効性を、対象範囲外指定の詳細な正当化を含めてドキュメント化し検証すること。
• 外部アクセスポイントの適切な監督を確保するために、CDE へのアクセスを持つすべてのサードパーティ接続の最新のインベントリを維持すること。
• ドキュメント化されたスコープが、特定されたすべての要素（データフロー、アカウントデータの場所、システムコンポーネント、セグメンテーションコントロール、CDE アクセスを持つサードパーティ接続）を包含し、コンポーネントが誤って除外されていないことを検証すること。

重要な変更

PCI 要件 6.5.2、11.3.1.3、11.4.2、11.4.3、12.5.3 では、重要な変更が発生したときはいつでも、GitLab がさまざまなタスクを実施することが要求されます。

• 6.5.2 および 12.5.3: 重要な変更の完了時に、すべての該当する PCI DSS 要件がすべての新しいまたは変更されたシステムおよびネットワークに整備されていることが確認され、ドキュメントが必要に応じて更新されます。
• 11.3.1.3: 内部脆弱性スキャンは、重要な変更後に次のように実施されます。
  • 高リスクまたはクリティカル（Requirement 6.3.1 で定義されたエンティティの脆弱性リスクランキングに従う）の脆弱性が解決されます。
  • 必要に応じて再スキャンが実施されます。
  • スキャンは資格のある担当者によって実施され、テスターの組織的独立性が存在します（QSA または ASV である必要はありません）。
• 11.3.2.1: 外部脆弱性スキャンは、重要な変更後に次のように実施されます。
  • CVSS により 4.0 以上のスコアが付けられた脆弱性が解決されます。
  • 必要に応じて再スキャンが実施されます。
  • スキャンは資格のある担当者によって実施され、テスターの組織的独立性が存在します（QSA または ASV である必要はありません）。
• 11.4.2: 重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更後に、内部ペネトレーションテストが実施されます。
• 11.4.3: 重要なインフラストラクチャまたはアプリケーションのアップグレードまたは変更後に、外部ペネトレーションテストが実施されます。
• 12.5.2.1: PCI DSS スコープは、エンティティによって少なくとも 6 か月ごと、および対象範囲環境への重要な変更時にドキュメント化および確認されます。

重要な変更の定義と手順

GitLab は、その環境における変更の種類を分析し、以下を重要な変更、特に PCI 対象範囲のシステムのセキュリティに影響を与える可能性のある変更とみなしました。

インフラストラクチャの変更:

• クラウドプロバイダーサービスの変更
• コンテナオーケストレーションプラットフォームの変更
• CDE と相互作用する新しいクラウドサービスの実装
• アプリケーションスタックのリアーキテクチャ

アクセスと認証の変更:

• クラウドベースの認証サービスの変更

データフローの変更:

• カード保有者データの処理または保存方法の変更
• データ暗号化方法の変更
• データフローに影響を与える新しい統合

サードパーティサービス:

• 新しい IaaS プロバイダー
• 既存のクラウドサービスプロバイダー契約の変更
• CDE に影響を与える新しいサードパーティ統合

重要な変更のための追加手順

重要な変更には、環境の継続的なセキュリティを確保するための追加手順が必要です。

マイナーな変更の場合（追加インスタンスのデプロイなど）:

• 内部スキャン
• 構成ベースラインチェック
• ペネトレーションテストは不要

メジャーな変更の場合（クラウドプロバイダーの変更など）:

• 完全な内部および外部スキャン
• 完全なペネトレーションテスト
• 構成ベースラインの検証
• 安全なデコミッショニングのドキュメント化
• 更新されたネットワーク図とデータフロードキュメント
• PCI DSS スコープのレビュー

ページのソースコードを見る - ページの編集 - please contribute.