​PCI DSS

当社のPCI DSS準拠支援コンサルティング
クレジットカードを取り巻く環境の同行とPCIDSSの必要性
オンサイト監査支援
SAQ作成支援
セキュリティ事故後の対応
クレジットカード

PCI DSSとは

PCI DSS (Payment Card Industry Data Security Standards)とは、国際カードブランド5社(American Express、Discover、JCB、Master Card、VISA)により設立されたPCI SSCが、加盟店やサービスプロバイダにおいてクレジットカード情報を安全に取り扱うことを目的として策定したセキュリティ基準です。PCI DSSでは、技術面(インフラ・開発)、運用面および情報セキュリティポリシーの整備を含む6つの目的に沿った12要件への包括的な対応が必要になります。

PCIDSS要求事項.png
 

​当社のPCI DSS認証取得コンサルティング

​〈当社の特徴〉​

1、【かんたん】貴社の運用にあった構築を行います

2、【ていねい】準備から準拠後まで、丁寧にサポートいたします

3、【わかりやすい】PCI DSSがはじめての方にも理解できるようにいたします

 

クレジットカード取引を取り巻く環境の動向とPCI DSSの必要性​

日本のクレジットカードショッピングの信用供与額は、2018年には66兆6,877億円と、3年前に比べ約17兆円の増加し、33.8%の伸びとなっている。(クレジットカードショッピング信用供与額 参照)

また、クレジットカードの不正利用被害額は、2015 年に 120億円であったが、2018年には、235.4 億円となり、3 年間で 114.5 億円、94.7%の増加となっている。それにともない、カード情報を取り扱うカード会社、PSP においては引き続き PCI DSSに準拠し、これを維持・運用することが求められています。

 

​オンサイト監査支援

■支援内容の流れ

オンサイト監査とは、訪問調査によりPCI DSS準拠を行う方法です。

新規取得支援の一般的な例です。お客様の支援内容によってカスタマイズいたします。

オンサイト監査.png

Step1 現状調査・ギャップ分析

現状のネットワーク構成や機器構成及び対策を施しているセキュリティ状況など、現在定めているセキュリティ上の様々なルール・規定について、ヒアリングや実際に操作しながら確認します。

Step2 体制確立・文章作成・ソリューション選定

PCI DSS要件に対応するためのソリューション選定について、ご支援します。

また、満たすことのできない箇所については、代替コントロールの検討をサポート致します。

Step3 ソリューション導入・教育支援・運用支援

Step2で確立した、ルール等について教育・運用支援を行います。

教育研修用のテキストの作成や集合研修の実施、また研修内容の理解度のチェックテストの実施、テスト結果の集計等の支援を行います。

Step4 リスク評価プロセス

PCI DSSの要求事項の1つである、年に1度以上のリスク評価について支援いたします。 

リスク評価の手法としては、ISO 27005や NIST SP800-30などに基づいた内容で支援いたします。

Step5 監査支援

予備調査及び本監査の対応について、審査報告書などに記載された指摘事項や改善提案の状況に応じて適切に対応致します。

■スケジュール

ご提示いただく更新申請期限にあわせ、スケジュールをご提案いたします。

 

■費用

支援内容により大きく異なりますので、気軽にお問合せくださいませ。

 

■資料ダウンロード

​より詳しい情報は、資料ダウンロードよりご確認いただけます。

 

​SAQ作成支援

■支援の流れ

自己問診票(SAQ)にてPCI DSS準拠を行う方法です。

新規取得支援の一般的な例です。お客様の支援内容によってカスタマイズいたします。

SAQ流れ.png

Step1 現状調査

対象SAQを確定するためのヒアリングを行います。

Step2 GAP分析

Step1の現状調査結果を踏まえた上で、現在保有されている規程類、様式などの資料について、確認用のチェックリストを用いて確認します。

Step3 非準拠項目のサポート

GAP分析の結果、準拠できていない項目が発見された場合、準拠するためのご提案・サポートをいたします。

 

Step4 SAQ・報告書の作成

現地調査結果に基づき、SAQを作成します。PCI DSSに準拠するために必要事項をすべて記載

いたします。ご希望場合は、セキュリティ報告書を作成いたします。

■スケジュール

ご要望の日時をヒアリングし、ご提案いたします。

 

■費用

支援内容により大きく異なりますので、気軽にお問合せくださいませ。

​■資料ダウンロード

より詳しい情報は、資料ダウンロードよりご確認いただけます。

​セキュリティ事故後の対応

 

セキュリティ事件・事故が発生した場合に、最も重要なことは確実な情報の収集と迅速で適切な対応です。誤った情報を公開したり、対応が遅れてしまうことで、企業・組織に対する信用はさらに失墜してしまいます。当社では、発生した事象に応じ、適切なタイミングと対応方法をご提案いたします。