PCI DSS準拠支援サービスおよび診断支援
(ASVスキャン、ペネトレーションテスト)
PCI DSS準拠をトータルで支援
~クレジット業界における国際的なセキュリティ基準PCIDSSの準拠支援コンサルティング~
PCI DSS(PCI DSS:Payment Card Industry Data Security Standard)とは、加盟店・決済代行事業者が取り扱うクレジットカードなどを含むペイメント情報および取り引き情報を保護するために、JCB・American Express・Discover・MasterCard・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界における国際的なセキュリティ基準です。
PCI DSSは、数あるセキュリティ基準の中でも、準拠・運用および厳格さについて最上位の難易度といわれており、重大な情報漏洩などの事件・事故から企業を守る有効な手段です。この PCI DSS は PCI SSC(PCI Security Standards Council)によって策定されており、クレジットカード会社のクレジットカードデータを “ 保存、処理、伝送 ” する企業(銀行、カード加盟店、決済代行サービス企業など)が対象となります。
2018年6月に施行された改正割賦販売法(“改正割販法”)では、クレジットカードデータを保持する企業に対し PCI DSS 準拠を義務とし適切なセキュリティ対策を強化することが義務付けられました。準拠できない場合には、クレジットカードデータを”持たないこと”が求められています。
内容
当社は、PCI DSS 準拠を目指す企業様、PCI DSS レベルのセキュリティ対策を検討されている企業様などに向け「PCI DSS 準拠支援サービス」をご提供します。PCI DSS で定められている要件に対して担当コンサルタントが、マネジメントおよび技術の両面から助言を行ない、ポリシーの整備や自己問診票(SAQ)の作成、審査員による審査の立会などの支援を行います。
サービスの流れ
◆非保持化の場合
- 非保持化に向けた対策の検討(決済代行事業者、サードパーティ、BPO事業者の利用等)
- 対策の実装
- 社内のクレジットカード情報の検索と削除
◆PCI DSS準拠の場合(SAQ(自己問診)、QSA(審査機関)審査とも)
- PCI DSS準拠対象範囲の検討
・クレジットカード情報を扱う業務の特定と絞り込み
・クレジットカード情報を扱う業務でのクレジットカードの保存、
伝送、処理するシステムの特定 - PCI DSSとのfit&gap
・現状のシステムとPCI DSS 要件の差分の洗い出し - 対策計画の立案
・fit&gapの結果より、PCI DSS 準拠をするために必要な対策の作成 - 対策の実装
・対策計画に基づき、文書(ポリシー、手順、記録)の作成、システム
への要件の実装、準拠審査までのBAU (Business As Usual)の対応 - 審査対応
・SAQ(自己問診票)の作成
・審査機関(QSA)審査の対応準備
・審査立会
イメージ図
特徴
PCI DSSに基づく12要件に即した、ネットワークスキャン、ペネトレーションテスト、Webアプリケーションテストの診断サービスをご提供します。
◆PCIDSS関連サービス
Webアプリケーション脆弱性診断
WiFi診断
ペネトレーションテスト
ASVスキャン
ネットワーク脆弱性診断(内部・外部脆弱性スキャン)
セグメンテーションテスト
実績
◆某メガバンク系クレジットカード会社
概要:WiFi診断、外部・内部脆弱性スキャン、Webアプリケーション診断、ペネトレーションテスト、セグメンテーションテスト
◆某決済代行会社
概要: Webアプリケーション診断、ペネトレーションテスト、セグメンテーションテスト
サービスフロー