1. トップページ
  2. >
  3. PCIDSS準拠支援

PCIDSS準拠支援サービス

PCIDSS:加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、カード情報セキュリティの国際統一基準です。
セキュリティマネジメントの方針、手順、手法、ネットワーク構造、ソフトウェアデザインおよびその他クレジットカードを初めとするカード情報を保護するために必要な要求事項について規定しています。クレジットカード加盟店や決済サービスプロバイダーなど、カード情報を保管、処理、伝送するすべての組織が対象となります。

 

PCI DSS、ISO 27001、Pマークとの違い

ISO 27001はクレジットカード情報を含む組織が保有する情報全般のマネジメントシステムです。一方、プライバシーマークは個人情報保護、PCI DSSはクレジットカード情報保護に特化しています。

PCIDSS要件の特徴

PCIDSSの各種セキュリティ要件は、 ISO/IEC27001等で定められた管理策と比べると「具体的」「定量的」なものが多く、審査においても、ルールの定義だけでなく、運用に落とし込まれ、実行されているかを深く確認する点が特徴と言える。

PCIDSS要件の特徴

 

 


PCI DSSにおける6のコントロール目的と12要件

PCI DSSに準拠するためには、12の要件とその要件に合う様にルールを作り(変え)システムを改修、運用を行う必要があります。

ネットワークとシステムの構築と維持 1 カード会員データを保護するために、ファイアウォールをインストールして維持する
2 システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護 3 保存されるカード会員データを保護する
4 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの維持 5 すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する
6 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入 7 カード会員データへのアクセスを、業務上必要な範囲内に制限する
8 システムコンポーネントへのアクセスを識別・認証する
9 カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト 10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
11 セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持 12 すべての担当者の情報セキュリティに対応するポリシーを維持する

 

 

PCI DSS準拠のメリット

ステークホルダーからの信頼獲得

カード情報セキュリティに対するコミットメントを明確化し、カード情報へのリスクが適切に管理されていることを証明できます。

ブランド力の強化

企業のレピュテーション(、ブランド力、イメージの向上が期待できます。契約要求事項の遵守、顧客にカード情報セキュリティが万全であることを証明し、競争力を高めることが可能となります。

リスク軽減

情報セキュリティを強化することにより、リスクが適切に識別、評価、管理され、情報漏えいや不正利用などの重大なリスクを軽減できます。

コスト削減

統一された規格を使用した認証により、社内外の監査コストを削減できます。また、ISMSとの合同審査により、審査工数と負荷を低減できます。

継続的改善

認証プロセスは監視と是正措置を繰り返すことで、継続的改善に役立ちます。

 

PCI DSS要件の特徴を踏まえた準拠のポイント

準拠のポイント

カードデータの流れを可視化し、それに即してPCIDSSに準拠すべき物理的・論理的スコープを定義すること。

準拠のポイント

セキュリティ要件への対応については、ゼロベースではなく既存のセキュリティ規則・ルール(ISMS等)を活用すること。

準拠のポイント

要件の実現が困難な場合において、自社の状況に即した代替コントロールを適用すること。

例)オペレーション端末のコンソールロックが運用上難しい場合、当該フロアに入室可能な者をバイネームで限定する。


 

 

取得スケジュール(例)

PCIDSS取得スケジュール(例)

※作業期間は目安であり、お客様のシステム対応状況により異なります。

 


PCI DSS準拠に関する当社支援の特長

PCI DSSに準拠するためには、12の要件とその要件に合う様にルールを作り(変え)システムを改修、運用を行う必要があります。当社はこれまでのISMS支援実績からのノウハウとエンジニアの知識を持ち合わせておりお客様にあったご支援をいたします。

 

PCIDSS取得スケジュール(例)

 

ご質問・お問合せは

お問合せはこちらから

サービス内容

ISOコンサルティング

サーバー・Web構築

 

業務支援

 

マイナンバー対策

 


Copyright (C) 2016 Value up Japan Co.,Ltd. All Rights Reserved.