PCIDSS(サービスメニュー)

SERVICE

PCIDSS概要

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準です。PCI DSSは詳細なセキュリティポリシーが定義されているため、プライバシーマークやISMSなどよりもより高度な水準のセキュリティ対策を実施する必要があります。

PCIDSS取得支援

PCIDSS準拠へ向けて、適合性チェック・改善案を提示。審査機関との調整や改善状況の進歩管理支援を実施。

  • お客様システム環境に応じたPCIDSS対応策を提示。
  • 対策コストのミニマイズを実施。
  • QSA(審査機関)やカード会社との調整等により、お客様の負荷を軽減。
  • PCIDSS認証取得完了まで、責任を持って支援。
  • PCIDSS認証取得支援コンサルティングに加え、PCIDSS完全準拠に必要なソリューション全てを提供可能。

PCIDSSとは?

PCIDSS(Payment Card Industry Data Security Standard)は、クレジットカード情報の安全な管理を目的として国際カードブランドが策定したセキュリティ基準です。200項目以上の規定からなり、カード番号とカード番号に関連する情報を保護するために実施すべき要求事項が規定されています。

PCIDSSの要求事項

  • 安全なネットワークの構築・維持。
  • カード会員データの保護。
  • 脆弱性を管理するプログラムの整備。
  • 強固なアクセス制御手法の導入。
  • 定期的なネットワークの監視およびテスト。
  • 情報セキュリティ・ポリシーの整備。

PCIDSSで必要となる対策例

PCIDSSで必要となる対策例

今、PCIDSSが注目されている理由

国際カードブランドのセキュリティプログラムルールが2008年から以下のように改訂されました。

  • 決済代行事業者は、クレジットカード会社によりPCIDSS準拠の通知があった後、1年以内に完全遵守しなければならない。
  • 一定条件を満たす加盟店は2010年9月末までにPCIDSSを完全遵守しなければならない。

PCIDSSに準拠していない場合は、契約の解除などの不利益を被る可能性があります。
又、カード情報の漏洩が発生した場合はPCIDSSの準拠が求められるケースがあります。

2008年6月に割賦販売法が改正され、
クレジットカード情報保護の為に適切な措置を講じることが義務づけられました。

クレジットカード情報漏洩事件が後を絶たない為、
PCIDSSを取得している決済代行事業者を加盟店が選択する動きが出てきました。

PCIDSS認証取得が求められる組織

PCIDSS認証取得が求められる組織

PCIDSSはPAN(Primary Account Number)を保管し処理し伝送している組織に適用されます。
又、VISAのセキュリティ基準が改訂され、カード取引件数が【年間30万件を超えるサービスプロバイダ】は訪問審査が必須になりました。

データの種類 データ要素
カード会員データ カード番号(PAN)
カード会員名
サービスコード
センシティブ認証データ 全磁気ストライプ
CVC2/CVV2/CID
暗証番号(PIN)

PCIDSS認証取得支援サービスの内容

PCIDSS準拠へ向けて、適合性チェック・改善案のご提示、審査機関との調整、改善状況の進捗管理支援を実施させていただきます。

認証取得のポイント

  • 1PCIDSSの要求事項に則り、ルール・手順と実装の整合性を確保する。
  • 2QSA(審査機関)との調整を密に行いながら計画的にPCIDSS構築に取り組む。
  • 3要求事項通りに実施ができない場合は、代替策をもって完全準拠を達成する。

PCIDSSのご支援内容と作業の進め方

  • 1PCIDSSの対応状況のフィット&ギャップ分析を行います。改善フェーズ(ルール・手順等の整備)でも支援させていただきます。
  • 2審査機関(QSA)の選定及び審査機関との対応内容の調整、質疑応答についてサポートさせていただきます。
  • 3組織的・技術的・人的・物理的対策に必要な各対策に対して、お客様の環境に適した対策案及び代替策を提示させていただきます。

PCIDSSのご支援内容と作業の進め方

サービスの特長

  • お客様のシステム環境に応じたPCIDSS対応策をご提示する事により、お客様の対策コストをミニマイズする工夫を行います。
  • QSA(審査機関)やカード会社との調整等、PCIDSS審査に関する調整を実施し、お客様のPCIDSS対応負荷を軽減いたします。
  • PCIDSS認証取得が完了するまで、責任を持ってご支援させていただきます。
  • PCIDSS認証取得支援コンサルティングに加えて、要求事項、対象となるシステムの運用監視等、PCIDSS完全準拠に必要となる全てのソリューションを弊社よりご提供可能です。

PCIDSS構築に関するオプションサービス

  • PCIDSSの要求に沿った基準書、手順書、運用帳票の作成を弊社コンサルタントがお手伝いいたします。
  • お客様が実際に現場で利用できるドキュメントを作成し、納入させていただきます。
  • システムの実装が必要な場合は、弊社より適切なソリューションや製品を提案させていただきます。

  • WAF (Web Application Firewall)
  • Firewall/IDS/IPS
  • Webアプリケーション診断(自動、手動)
  • Webコンテンツ改ざん検知