なぜ割賦販売法に基づいたセキュリティ対策が必要なのか
クレジットカード情報を取扱う事業者は、割賦販売法に基づいたセキュリティ対策の実務上の指針「クレジットカード・セキュリティガイドライン」(クレジット取引セキュリティ対策協議会)によるカード情報の適切な管理が求められます。そのため、加盟店やカード会社、決済システムを提供する事業者などのカード情報を取扱う事業者は、PCI DSS準拠やクレジットカード情報の非保持化対応が必要です。
各種PCI認定の準拠支援から非保持化対応までトータルサポート
当社は、PCI DSS(Data Security Standards)、PCI P2PE(Point-to-Point Encryption)、PCI Secure Software Standard、PCI 3DS(3-D Secure)、PCI PIN Securityの審査資格を保有しており、各種PCI認定の準拠支援から非保持化対応まで、お客様のクレジットカード情報保護のための取り組みをトータルにサポートします。
NTTデータ先端技術の特徴
PCI DSSトータルサービス
クレジットカードのセキュリティ基準「PCI DSS」に関する幅広いコンサルティングサービスを日本国内初のQSA(PCI SSC認定監査機関)としてトータルでご提供します。お客様システムのセキュリティ対策状況と、グローバルなセキュリティ基準として注目を集めるPCI DSSとのギャップを明らかにし、豊富な実績を有する当社が、改善に向けてお客様にあった最適なセキュリティソリューションを提供し、PCI DSS準拠をサポートします。
https://www.intellilink.co.jp/business/security/consulting_09.aspx
PCI DSS SAQ策定支援サービス
SAQ(Self-Assessment Questionnaire、自己問診票)作成を支援するサービスです。SAQは、加盟店やサービスプロバイダーがPCI DSSの準拠状況を自己評価することを支援するための検証ツールです。SAQの質問の解釈を適宜ご説明し、メール等による質疑応答やSAQ AoC(Attestation of Compliance、準拠証明書)のレビューを通じてSAQ作成を支援します。
PCI P2PE準拠支援/審査対応サービス
暗号化ソリューションのセキュリティ基準「P2PE」の準拠に関するコンサルティングおよび審査サービスをご提供します。PCI P2PE AssessorおよびPCI P2PE Application Assessorの両資格を保有する審査機関として、PCI P2PE全ドメインの評価を迅速に実施可能です。
PCI P2PEは、分業・協業を意識した構成となっており、P2PEソリューションの評価では、アプリケーション、コンポーネントを含めて評価することも、アプリケーションやコンポーネント毎に独立して評価・認定することも可能です。当社の豊富な実績とノウハウにより、スムーズな準拠を支援します。
PCI Secure Software Standard準拠支援/審査対応サービス
決済アプリケーションのセキュリティ基準「PA-DSS」の後継基準である「PCI Software Security Standard」準拠に関するコンサルティングおよび審査サービスをご提供します。日本国内初のPA-QSAとして国内随一の実績を有する当社が、PCI Secure Software Standard準拠支援コンサルティングから審査まで、お客様の決済アプリケーション製品を世界基準へとステップアップするお手伝いをさせていただきます。お客様の製品開発におけるセキュリティ対策状況と、グローバルなセキュリティ基準であるPCI Secure Software Standardとのギャップを明らかにし、豊富な実績とノウハウに基づいたアドバイス提供により、効率的な準拠実現を強力にバックアップします。
非保持化対応/セキュリティ対策実施支援サービス
クレジットカードの取扱い加盟店、カード会社やサービスプロバイダーは、クレジットカード・セキュリティガイドラインに基づいた「PCI DSS準拠」または「非保持化」対応が求められます。また「非保持化」対応を行ったとしてもクレジットカード情報の漏えい対策が必要です。そこで、当社コンサルタントがお客様のクレジットカード情報の取扱いの状況をお伺いし、「非保持化」のために必要となる対応方針の策定、クレジットカード・セキュリティガイドラインに基づいたセキュリティ対策状況の評価および対策内容の検討を支援します。
PCI PIN Security準拠支援/審査対応サービス
PCI PIN Securityは、ATMおよび有人・無人のPOS端末でのオンラインおよびオフラインの支払カード取引処理中のPINデータの安全な管理、処理、および伝送のための要件を定めたセキュリティ基準です。審査対象となる事業者(ATM等のオンラインPINを中継する銀行やカード会社、決済ネットワーク事業者等およびATMやPINパッドの暗号鍵管理に関わる事業者など)が、PINの保護・管理等に係る高度なセキュリティ要件である「PCI PIN Security」に準拠しているかが求められます。当社では、PCI PIN Securityに準拠するためのコンサルティングから認定審査までトータルにお客様を支援します。
PCI 3DS準拠支援/審査対応サービス
3Dセキュアとは、EC決済などの非対面決済における本人認証プロトコルです。EMV規格としてプロトコル仕様が定義されており、3DS Server(アクワイアラドメイン)/Directory Server(カードブランドドメイン)/Access Control Server(イシュアドメイン)の3つの領域により提供される、クレジットカードの決済時においてリスク判定結果に基づいたOTP(One-Time-Password)などの追加認証を要求する仕組みです。
PCI 3DSは これら3Dセキュアの対象システムを構築・提供する事業者が準拠対象となります。当社では、PCI 3DSに準拠するためのコンサルティング支援から認定審査までトータルにお客様を支援します。
関連情報
関連コラム
- PCI DSS徹底解説
- セキュリティコラム