認定セキュリティ評価機関(QSA)によるセキュリティ監査

PCI訪問調査サービスは、PCI DSS(ペイメントカード業界データセキュリティスタンダード)を基準に用い、加盟店などクレジットカード情報を保持する企業を対象 に、カード情報の保存・利用状況の監査を行うものです。

PCIデータセキュリティスタンダード「PCI DSS」とは

PCIデータセキュリティスタンダード(PCI DSS:Payment Card Industry Data Security Standard)(以下PCI DSS)とは、クレジットカード情報を効果的に保護するための国際的な統一セキュリティ基準で、国際カードブランド5社(VISA、MasterCard、AmericanExpress、Discover、JCB)が共同で策定したものです。

セキュリティ基準でよく知られているISMSの規格はセキュリティポリシーの制定等経営、業務全般に関わる方針や基準が対象となります。一方PCI DSSは、より実践的・具体的な規格としてカード情報の安全性を確保するための手順や、それに必要なシステムの実装方法などが明文化されています。

ISMSとPCIDSSの領域のピラミッド図

PCI DSSは12要件で構成されており、遵守すべき最低限のセキュリティ基準を定めています。

認証手続きは、対象企業の規模に応じて、自己問診・脆弱性スキャン・訪問調査の3段階あり、自己問診以外は評価機関QSA/ASV(※) により行われます。

PCI DSSの12要件

安全なネットワークの構築・維持

要件1
データを保護するためにファイアウォールを導入し、最適な設定を維持すること
要件2
システムまたはソフトウェアの出荷時の初期設定値(セキュリティに関する設定値)をそのまま利用しないこと

カード会員情報の保護

要件3
保存されたデータを安全に保護すること
要件4
公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること

脆弱性を管理するプログラムの整備

要件5
アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること
要件6
安全性の高いシステムとアプリケーションを開発し、保守すること

強固なアクセス制御手法の導入

要件7
データアクセスを業務上の必要範囲内に制限すること
要件8
コンピュータにアクセスする際、利用者毎に識別IDを割り当てること
要件9
カード会員情報にアクセスする際、物理的なアクセスを制限すること

定期的なネットワークの監視およびテスト

要件10
ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること
要件11
セキュリティシステムおよび管理手順を定期的にテストすること

情報セキュリティ・ポリシーの整備

要件12
情報セキュリティに関するポリシーを整備すること
PCI DSSの対象企業
  • カード加盟店
    インターネットのEC通販サイト,流通小売(デパート/百貨店/スーパー/家電量販店),交通エネルギー(ガソリンスタンド/高速道路/鉄道/航空),通信(ISP/モバイルキャリア),サービス業(ホテル/飲食店)など
  • 決済代行者
  • サービスプロバイダ

※ QSA/ASV:国際カードブランド5社が共同で運営するPCI DSSの協議団体PCI SSC(PCI Security Standards Council)により認定されたセキュリティ評価機関

PCI訪問調査サービスの概要

訪問調査サービスは、お客様の社内ルール、運用、システム設定等に、PCI DSSに定められた要件が正しく反映されているか、PCI DSSに基づいた監査手順に従って網羅的に調査します。

1.インタビュー
各担当者へセキュリティ対策状況、運用状況、情報の取り扱いについてインタビューをおこない、 現状を確認します。
2.文書調査
セキュリティポリシー、標準、手順書などの文書や、その文書の示すとおりに運用が実施されていることの監査証跡として記録文書の確認をおこないます。
3.観察
業務上でカード情報・決済情報に関わる区域に立ち入り、物理面でのセキュリティ対策実施状況の確認をおこないます。
4.設定確認
コンピュータ・ネットワーク機器について十分なセキュリティ設計が施されているかどうかを確認します。

PCI訪問調査サービスのメリット

■専門家による客観的な評価
■現状把握と問題点の洗い出し
■PCI DSS遵守の証明/認定証の発行

■セキュリティレベルを正確に把握できます
■適切で効率的なセキュリティ対策ができます
■外部へのPRに有効です

※ 認定証発行につきましては、その他条件がありますので別途お問い合わせください。

PCI訪問調査サービスの流れ

事前調査・
ヒアリング
訪問調査 報告書作成 報告会 認定証発行
審査の対象範囲や調査方法を確認します。 現地にQSA(審査員)が伺い、PCI DSSが遵守されているかどうかを確認します。 調査結果を取りまとめ、PCI SSC所定の報告書を作成いたします。署名付きの準拠証明書(AOC)を発行します。 PCI DSS要件の準拠状況に対する調査結果をご報告します。 準拠証明書(AOC)に加えて、一定の条件を満たした場合には、当社独自の認定ロゴマークと認定証を発行します。