PCI DSSPCI DSS準拠支援

PCI DSSとは？

PCI DSS（Payment Card Industry Data Security Standard）とは、2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社共同で、セキュリティリスクの効果的な低減とセキュリティ管理の効率的な運用を目的に定められた、クレジットカード情報保護のための統一的なセキュリティ基準です。

現在は、5社が共同設立した組織であるPCI SSC（PCI Security Standards Council）によって運営・管理されています。

PCI DSS取得のメリット

1. 企業価値（信用、ブランド）が向上する
2. ISO27001より、さらに具体的なセキュリティポリシーを定義できる
3. 不正アクセスからお客様のサイトを保護できる
4. サイトの改ざんや悪用などのリスクを低減できる

PCI DSS取得のフロー

期間	6ヶ月～

PCI DSSの認証取得の要件

PCI DSSの認証取得には、12要件及びその詳細項目のセキュリティの要件を満たす必要があります。

安全なネットワークとシステムの構築と維持
要件1	カード会員データを保護するために、ファイアウォールをインストールして維持する
要件2	システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの保護
要件3	保存されるカード会員データを保護する
要件4	オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラムの整備
要件5	マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
要件6	安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御手法の導入
要件7	カード会員データへのアクセスを、業務上必要な範囲内に制限する
要件8	システムコンポーネントへのアクセスを識別・認証する
要件9	カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
要件10	ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11	セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの整備
要件12	すべての担当者の情報セキュリティに対応するポリシーを整備する

MASONのサービスプランの特長

1. 情報セキュリティのコンサルティング実績が豊富
2. クレジット業界向けセキュリティコンサルティングの実績あり
3. 元大手情報システム部門のセキュリティチームの主力メンバーが支援

対象となる企業

カード会社は当然ながら、カード情報を取り扱う事業者など、各カード会社の年間のカード取引量に応じたレベルに従って準拠する必要があります。

カード会社の加盟店向け選定基準例

レベル	月間平均取扱件数	実施義務のある作業
A	10,000件未満	1.問診票による自己診断
B	10,000件～50,000件	1.問診票による自己診断 2.四半期毎の脆弱性スキャニングテスト
C	50,000を超える	1.問診票による自己診断 2.四半期毎の脆弱性スキャニングテスト 3.訪問調査

1. 自己問診（レベルAの実施義務作業）

PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、認証を受けることができます。

2. ネットワーク脆弱性スキャン（レベルBの実施義務作業）

外部に接しているサーバ機器やネットワーク機器、アプリケーションに対して、PCI SSC認定のスキャニングベンダー（ASV=Approved Scanning Vendor）が、PCI DSSで要求されているセキュリティ要件を満たしているか同課による審査です。年4回以上の点検を受け、認証を得ることが必要です。

3. 訪問審査（レベルCの実施義務作業）

PCI SSCによって認定された審査機関（QSA=Qualified Security Assessor）による審査で、年に１回の更新審査が必要です。

PCI DSS準拠後もアフターフォローあり

企業では日々の業務やシステム変更も予想されるため、準拠の維持は容易ではありません。
メイソンでは、アフターフォロー体制も万全に整えています。
取得後の継続的な改善、さらには業務改善のツールとしても利用可能です。