重要情報の隔離

　PCI DSSでは、カード会員データを「カード会員データ環境」に隔離するところまでは、求めていないが隔離することでリスクが低減するとしてセグメンテーションすることを推奨している。

ネットワークセグメンテーション
カード会員データ環境のネットワークセグメンテーション、またはカード会員データ環境の残りの企業ネットワークからの隔離（セグメント化）は、PCI DSS 要件ではありません。ただし、ネットワークセグメンテーションは以下を引き下げる方法として推奨されます。

・PCI DSS 評価の対象範囲
・PCI DSS 評価のコスト
・PCI DSS コントロールの実装と維持に関するコストおよび難易度
・組織のリスク（カード会員データをコントロールが強化された少数の場所に統合することで、低減します）

ネットワークセグメンテーションが適切に設定されていない場合（「フラットネットワーク」とも呼ばれます）、ネットワーク全体が PCI DSS 評価の対象範囲になります。ネットワークセグメンテーションは、内部ネットワークファイアウォール、ネットワークの特定セグメントへのアクセスを制限する強力なアクセス制御リストまたは他のテクノロジを持つルーターによって実現できます。
（出典：Payment Card Industry （PCI）データセキュリティ基準、要件とセキュリティ評価手順バージョン 1.2）

　ただし、こうした重要情報のセグメンテーション化は、過去のアプリケーションシステム設計やネットワーク設計段階で配慮されてこなかった経緯もあり、PCI DSSでも長期にわたる業務手続の見直しが必要になる可能性があることを指摘している。

カード会員データ環境の範囲を狭めるための重要な前提条件は、カード会員データの保存、処理または伝送に関するビジネスニーズおよびプロセスを明確にすることです。不必要なデータの削除および必要なデータの統合により、カード会員データをできるだけ少ない場所に制限するには、長期にわたるビジネスプラクティスのリエンジニアリングが必要になる可能性があります。
データフロー図を使用してカード会員データフローを文書化することによって、すべてのカード会員データフローを把握し、すべてのネットワークセグメンテーションがカード会員データ環境を効果的に隔離していることを確認できます。
ネットワークセグメンテーションが設定されていて、PCI DSS 評価範囲の縮小に使用されている場合、評価担当者はネットワークセグメンテーションが評価範囲の縮小に適していることを確認する必要があります。ネットワークを適切にセグメント化することによって、カード会員データを保存、処理、伝送するシステムはそれ以外のシステムから高いレベルで隔離されます。ただし、ネットワークセグメンテーションの特定の実装が適切であるかどうかは、特定ネットワークの構成、導入されているテクノロジ、および実装されている他のコントロールによって大きく左右されます。
（出典：Payment Card Industry （PCI）データセキュリティ基準、要件とセキュリティ評価手順バージョン 1.2）

　こうした背景から、米国のPCI DSS準拠を支援するコンサルティング会社では、カード会員環境を限定的にするためのネットワークセグメンテーションの指導などを行っている。これにより、QSA監査範囲をできるだけ狭め、その結果PCI DSSへの準拠コストの削減を競っているのである。