PCI DSS トータルサービス
PCI DSSに関する幅広いサービスを提供しています
「セキュリティの専門会社」、そして「認定審査機関」という2つの顔を持っているのが、私たちNTTデータ先端技術です。PCI DSSの元となるフレームワークでの監査事業からスタートし、最新バージョンであるVersion 4.0を含め「コンサルティング」から、「ソリューション提供」、「認定審査」「維持支援」まで、それぞれのお客様ごとに、最適な提案を行っています。
NTTデータ先端技術の3つの強み
PCI DSSのことなら、私たちにすべてお任せください。
専門知識を持ったQSAをはじめ、経験豊富なプロフェッショナルが、4つのプロセスを一貫してサポートしています。
現状把握・計画策定「コンサルティング」
PCI DSS準拠支援コンサルティングサービスでは、QSAとしてのPCI DSS訪問審査の経験とノウハウを生かし、最適な計画で適切にPCI DSSに準拠できるよう、計画段階から審査前の最終確認までをトータルサポート。もちろん特定の一部サービスのご提供も可能です。
コンサルティングサービスの詳細
準拠計画策定支援
- 現時点での人員計画や開発/運用状況、システム更改、予算などを踏まえて、全体計画策定を支援
ギャップ分析
- 本審査と同様の手法と観点で現状を把握、PCI DSS非準拠部分の洗い出し
- Version 4.0で追加・変更となった要件を中心にギャップ分析を行うことも可能
テスト
- Webアプリケーション診断
公開Webアプリケーションに対する脆弱性評価、問題点の洗い出し - 無線スキャン
無線アナライザおよび内部ネットワークからの無線デバイスの識別テスト - 脆弱性スキャン
内部および外部のネットワーク脆弱性スキャン - ペネトレーションテスト
ネットワークレイヤおよびアプリケーションレイヤ両方に対してペネトレーションテストを実施。実際の侵入者の手法で実施し、脆弱性スキャンでは発見できない弱点を網羅的に洗い出し
是正計画策定支援
- ギャップ分析で洗い出された非準拠の部分に関する是正計画を策定する段階で、その対策方法が適切か、不足もしく は過剰な対策にならないかを評価
対策実施後評価
- 対策を実施した後、計画通りに対策が施されたかどうかを確認
改善活動「ソリューション提供」
ギャップ分析やシステムのテストで洗い出された課題に対応するための各種ソリューションを提供。
ソリューション提供サービスの詳細
審査・報告「認定審査」
QSAとして、PCI DSS準拠の確認に求められる訪問審査を提供しています。
維持支援サービスでは、日々の準拠状況を確認し、問題の早期発見と解決を支援します。
認定審査サービスの詳細
本審査
- 対象範囲確認
ネットワーク図と業務内容をご説明いただき、PCI DSS訪問審査の対象範囲を確認 - インタビュー
業務内容の把握と、PCI DSS要件への準拠状況確認のため、口頭での質問にご回答 - 文書確認
手順書、標準文書、ポリシー文書、システム上の記録、各種管理簿などの確認 - 機器設定調査
サーバーやネットワーク機器などの設定を画面上で目視確認 - 観察
システム開発、運用、業務拠点およびデータセンターなどの設備や業務プロセスを現場視察にて確認 - 報告書提出
審査全体を通して確認できた事項を記録した審査結果をPCI SSC所定の様式に基づき作成、提出。署名付きの準拠証明書(AOC)を発行します
審査後サポート
- 不適合項目が発見された場合には、発見された不適合項目に対する是正状況の評価を行い、報告書に反映
認定証発行
- 準拠証明書(AOC)に加えて、一定の条件を満たした場合には、NTTデータ先端技術独自の認定ロゴマークと認定証を発行
- 認定ロゴは名刺、宣伝広告資料、Webサイトなどに、認定証はオフィスのエントランス・受付などでの掲示にお使いいただけます
- 当社に認定された基準の数に応じて、認定ロゴのリボンに星マークが入ります(最大3個)
- Option -
本審査を想定した「予備審査」、本審査終了後の「報告会」、万が一不合格となった場合の「再審査」をオプションとして提供しています。
また、ATMやPOSで求められる決済トランザクションにおけるPINの安全な管理、処理、伝送を実現するための「PCI PIN Security準拠支援サービス」、P2PEソリューションプロバイダやP2PEアプリケーションベンダー向けの「P2PE準拠支援サービス」も提供しています。
審査後のサポート「維持支援」
PCI DSSに準拠していることが一度確認できても、日々の業務やシステムの仕様、人員、様々なものが変化していく中で準拠を維持することは簡単ではありません。
また、毎年1回の審査も必要です。 維持支援サービスは、準拠状況を適切に維持できているかどうかを確認し、問題点があれば早期発見、解決に役立てるために定期的なテストとギャップ分析、ご質問対応、最新情報を提供します。
維持支援サービスの詳細
定期的なテスト
- PCI DSSで求められるすべての定期的なテスト(脆弱性スキャン、ペネトレーションテスト、無線スキャン)を実施。
定期的なギャップ分析
- インタビューや文書調査を通して、PCI DSS準拠を維持するために必要な、定期的な実施項目の確認。
- ●変更管理の記録 ●アカウント管理記録 ●教育の実施記録 ●各種システムのログ など
ご質問対応
- PCI DSS準拠を維持するにあたって発生した疑問や質問事項を、QSAがEメールやWeb会議で回答。
情報提供
- PCI DSSのバージョンアップ時や、関連する法律の改定、各国際ブランド等、業界動向の情報を提供。