PCI DSSの認定評価機関であるNTTデータ先端技術株式会社(以下:NTTデータ先端技術)は、2022年4月1日に公開されたPCI DSS v4.0への準拠に対応できるサービスとして、従来の準拠支援サービスを刷新した「PCI DSSトータルサービス」の提供を開始したことをお知らせします。
概要
NTTデータ先端技術は、PCI DSS※1の元となるフレームワークでの監査事業からスタートし、認定評価機関、且つサイバーセキュリティの専門機関として「コンサルティング」から、「ソリューション提供」、「認定審査」、「維持支援」まで、それぞれのお客様ごとに、最適な提案を行っています。
2022年3月31日(日本時間では4月1日)、PCI SSC※2よりPCI DSS Version 4.0がリリースされました。2013年11月にリリースされたVersion 3.0から8年4か月ぶりのメジャーバージョンアップとなります。PCI DSS v3.2.1 は 2024年3月31日に引退となり、PCI DSS v4.0 で新たに追加された64要件のうち13要件は直ちに適用され、残りの51要件は、2025年3月31日以降に要件化(それまではベストプラクティスの位置づけ)されますので、それまでに対応することが必要となります。
PCI DSS v4.0の移行スケジュールや変更点のポイントについては、当社コラムで詳しく解説しています。
【コラム】PCI DSS Version 4.0における変更点のポイント 第一回 ~移行スケジュールと主な変更点の概要~
PCI DSS v4.0準拠を支援する「PCI DSSトータルサービス」とは
専門知識を持ったQSA※3をはじめ、経験豊富なプロフェッショナルが、4つのプロセスを一貫してサポートしています。
1. 現状把握・計画策定「コンサルティング」
PCI DSS準拠支援コンサルティングサービスでは、QSAとしてのPCI DSS訪問審査の経験とノウハウを生かし、最適な計画で適切にPCI DSSに準拠できるよう、計画段階から審査前の最終確認までをトータルサポートします。
- ・準拠計画策定支援:現時点での人員計画や開発/運用状況、システム更改、予算などを踏まえて、全体計画策定を支援
- ・ギャップ分析:本審査と同様の手法と観点で現状を把握、PCI DSS非準拠部分の洗い出し
- ・テスト:Webアプリケーション診断、無線スキャン、脆弱性スキャン、ペネトレーションテストを実施
- ・是正計画策定支援:ギャップ分析で洗い出された非準拠の部分に関する是正計画を策定する段階で、その対策方法が適切か、不足もしくは過剰な対策にならないかを評価
- ・対策実施後評価:対策を実施した後、計画通りに対策が施されたかどうかを確認
2. 改善活動「ソリューション提供」
ギャップ分析やシステムのテストで洗い出された課題に対応するための各種ソリューションを提供します。
ソリューション提供サービスの詳細
3. 審査・報告「認定審査」
PCI DSSに準拠していることが一度確認できても、日々の業務やシステムの仕様、人員、様々なものが変化していく中で準拠を維持することは簡単ではありません。また、毎年1回の審査も必要です。 維持支援サービスは、準拠状況を適切に維持できているかどうかを確認し、問題点があれば早期発見、解決に役立てるために定期的なテストとギャップ分析、ご質問対応、最新情報を提供します。
今後について
NTTデータ先端技術は、今後もQSAとして、サイバーセキュリティ対策の専門機関として、より安全なカード社会の実現を目指し、お客様のPCI DSS準拠・維持を支援してまいります。
参考
PCI DSSトータルサービス
https://www.intellilink.co.jp/business/security/consulting_09.aspx
PCI DSS Version 4.0における変更点のポイント 第一回 ~移行スケジュールと主な変更点の概要~
https://www.intellilink.co.jp/column/pcidss/2022/061600.aspx
- ※1PCI DSS:Payment Card Industry Data Security Standardsは、決済カード(クレジットカード)情報の保護を目的としたグローバルなセキュリティ基準で、現在 PCI SSC:Payment Card Industry Security Standards Councilによって運用、管理されています。
- ※2PCI SSC:Payment Card Industry Security Standards Councilは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立した団体で、2020年11月には UnionPay(銀聯)が Strategic member として加わっています。
- ※3QSA:Qualified Security Assessorは、PCI SSCに認定されたセキュリティ監査機関
- ※文章中の商品名、会社名、団体名は、各社の商標または登録商標です。