要件は4点あります。
- システム管理画面のアクセス可能な IP アドレスを制限する。
- IP アドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。
- 取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
- システム管理画面のログインフォームでは、アカウントロック機能を有効にし、10 回以下(PCIDSS ver4.0 基準)のログイン失敗でアカウントをロックする。
このうち、1と2は少なくとも片方が必須です。3と4は両方必須です。
【附属文書 20 別紙 a】を参照ください。
EC加盟店におけるセキュリティ対策一覧 【附属文書 20 別紙 a】