現在地

PCI DSS トータルサービス

PCI DSSに関する幅広いサービスを提供しています

「セキュリティの専門会社」、そして「認定審査機関」という2つの顔を持っているのが、 私たちNTTデータ先端技術です。 PCI DSSの元となるフレームワークでの監査事業からスタートし、その実績は国内最多。 「コンサルティング」から、「ソリューション提供」、「認定審査」「維持支援」まで、 それぞれのお客様ごとに、最適な提案を行っています。

NTTデータ先端技術の3つの強み

3つのトータルサービスのイメージ

PCI DSSのことなら、私たちにすべてお任せください。

専門知識を持ったQSAをはじめ、経験豊富なプロフェッショナルが、
4つのプロセスを一貫してサポートしています。

現状把握・計画策定「コンサルティング」

PCI DSS準拠支援コンサルティングサービスでは、QSAとしてのPCI DSS訪問審査の経験とノウハウを生かし、最適な計画で適切にPCI DSSに準拠できるよう、計画段階から審査前の最終確認までをトータルサポート。
また、PCI DSSの要件6および要件11で求められる定期的なテストの初年度分も含まれています。

コンサルティングサービスの詳細

準拠計画策定支援
  • 現時点での人員計画や開発/運用状況、システム更改、予算などを踏まえて、全体計画策定を支援
ギャップ分析
  • 本審査と同様の手法と観点で現状を把握、PCI DSS非準拠部分の洗い出し
テスト
  • Webアプリケーション診断
    公開Webアプリケーションに対する脆弱性評価、問題点の洗い出し
  • 無線スキャン
    無線アナライザおよび内部ネットワークからの無線デバイスの識別テスト
  • 脆弱性スキャン
    内部および外部のネットワーク脆弱性スキャン
  • ペネトレーションテスト
    ネットワークレイヤおよびアプリケーションレイヤ両方に対してペネトレーションテストを実施。実際の侵入者の手法で実施し、脆弱性スキャンでは発見できない弱点を網羅的に洗い出し
是正計画策定支援
  • ギャップ分析で洗い出された非準拠の部分に関する是正計画を策定する段階で、その対策方法が適切か、不足もしく は過剰な対策にならないかを評価
対策実施後評価
  • 対策を実施した後、計画通りに対策が施されたかどうかを確認

改善活動「ソリューション提供」

ギャップ分析やシステムのテストで洗い出された課題に対応するための各種ソリューションを提供。
各ソリューションの担当者もQSA資格を持っており、PCI DSS準拠のために最適な実装、運用方法で導入していただけます。

ソリューション提供サービスの詳細

PCI DSSの目的と課題に対するソリューション図

審査・報告「認定審査」

QSAとして、PCI DSS準拠の確認に求められる訪問審査を提供しています。
維持支援サービスでは、日々の準拠状況を確認し、問題の早期発見と解決を支援します。

認定審査サービスの詳細

本審査
  • 対象範囲確認
    ネットワーク図と業務内容をご説明いただき、PCI DSS訪問審査の対象範囲を確認
  • インタビュー
    業務内容の把握と、PCI DSS要件への準拠状況確認のため、口頭での質問にご回答
  • 文書確認
    手順書、標準文書、ポリシー文書、システム上の記録、各種管理簿などの確認
  • 機器設定調査
    サーバやネットワーク機器などの設定を画面上で目視確認
  • 観察
    業務やシステムを開発、運用されている現場のご担当者様より、セキュリティ対策事項の質問をご回答
  • 報告書提出(サマリ)
    不適合項目と準拠状況を、サマリレポートとしてまとめて提出
  • 報告書提出(審査結果詳細)
    審査全体を通して確認できた事項を全て記録した審査結果詳細を提出
  • 報告会実施
    報告書の内容について、報告会を開催して説明、質疑応答
審査後サポート
  • 不適合項目が発見された場合には、発見された不適合項目に対する是正計画の策定時に、是正内容が適切であるかどうかの 判断を行い、アクワイヤラ、ブランド等に提出する場合、審査を実施したQSAが署名。
認定証発行
  • 不適合項目が全く発見されなかった場合には、NTTデータ先端技術独自の PCI DSS準拠認定ロゴマークと認定証を発行。
PCI DSS準拠認定ロゴマーク
- Option -

当社以外でコンサルティング、ソリューションサービスを受けたお客様に対しては、オプションとして、本審査を想定し「予備審査」、万が一不合格となった場合の「再審査サービス」を提供しています。

認証取得後のサポート「維持支援」

PCI DSSに準拠していることが一度確認できても、日々の業務やシステムの仕様、人員、様々なものが変化していく中で準拠を維持することは簡単ではありません。
また、毎年1回の審査も必要です。 維持支援サービスは、準拠状況を適切に維持できているかどうかを確認し、問題点があれば早期発見、解決に役立てるために定期的なテストとギャップ分析、ご質問対応、最新情報を提供します。

維持支援サービスの詳細

定期的なテスト
  • PCI DSS v.2.0で求められるすべての定期的なテスト(脆弱性スキャン、ペネトレーションテスト、無線スキャン)を実施。
定期的なギャップ分析
  • インタビューや文書調査を通して、PCI DSS準拠を維持するために必要な、定期的な実施項目の確認。
  • ●変更管理の記録 ●アカウント管理記録 ●教育の実施記録 ●各種システムのログ など
ご質問対応
  • PCI DSS準拠を維持するにあたって発生した疑問や質問事項を、QSAがEメールや電話で回答。
情報提供
  • PCI DSSのバージョンアップ時や、関連する法律の改定、各国際ブランド等、業界動向の情報を提供。

関連情報

関連コラム

当社ではPCI DSSトレーニング研修も取り扱っています。