PCI DSS とは
PCI DSS (Payment Card Industry Data Security Standards)とは、国際カードブランド5社(American Express、Discover、JCB、Master Card、VISA)により設立されたPCI SSCが、加盟店やサービスプロバイダにおいてクレジットカード情報を安全に取り扱うことを目的として策定したセキュリティ基準です。PCI DSSでは、技術面(インフラ・開発)、運用面および情報セキュリティポリシーの整備を含む6つの目的に沿った12要件への包括的な対応が必要になります。
PCI DSS 認証取得コンサルティング
2020年末、日本人のクレジットカードの平均保有枚数は3枚を超え、保有率は86.6%となりました。カード利用額や発行枚数がいずれも増加の一途をたどる一方、不正利用の被害額は、2015 年の120億円から増加傾向にあり、2020年には251億円となっています。これにともない、カード情報を取り扱うカード会社(PSP:Payment Service Provider) においてはPCI DSSに準拠した管理・運用が標準となり、これを維持・運用することが求められています。
当社では、運用し続けられることを念頭に、貴社の運用にあわせた体制の構築をともに準備し、準拠後の運用とその継続を、丁寧にアシストいたします。
認証取得がはじめての企業様であっても、しっかりと理解し、事故を起こさないよう、しっかりとサポートいたします。
■スケジュール
ご提示いただく更新申請期限にあわせ、スケジュールをご提案いたします。
■費用
支援内容により大きく異なりますので、気軽にお問合せくださいませ。
オンサイト監査支援
■支援内容の流れ
オンサイト監査とは、訪問調査によりPCI DSS準拠を行う方法です。
新規取得支援の一般的な例です。お客様の支援内容によってカスタマイズいたします。
Step1 現状調査・ギャップ分析
現状のネットワーク構成や機器構成及び対策を施しているセキュリティ状況など、現在定めているセキュリティ上の様々なルール・規定について、ヒアリングや実際に操作しながら確認します。
Step2 体制確立・文章作成・ソリューション選定
PCI DSS要件に対応するためのソリューション選定について、ご支援します。
また、満たすことのできない箇所については、代替コントロールの検討をサポート致します。
Step3 ソリューション導入・教育支援・運用支援
Step2で確立した、ルール等について教育・運用支援を行います。
教育研修用のテキストの作成や集合研修の実施、また研修内容の理解度のチェックテストの実施、テスト結果の集計等の支援を行います。
Step4 リスク評価プロセス
PCI DSSの要求事項の1つである、年に1度以上のリスク評価について支援いたします。
リスク評価の手法としては、ISO 27005や NIST SP800-30などに基づいた内容で支援いたします。
Step5 監査支援
予備調査及び本監査の対応について、審査報告書などに記載された指摘事項や改善提案の状況に応じて適切に対応致します。
SAQ作成支援
■支援の流れ
自己問診票(SAQ)にてPCI DSS準拠を行う方法です。
新規取得支援の一般的な例です。お客様の支援内容によってカスタマイズいたします。
Step1 現状調査
対象SAQを確定するためのヒアリングを行います。
Step2 GAP分析
Step1の現状調査結果を踏まえた上で、現在保有されている規程類、様式などの資料について
確認用のチェックリストを用いて確認します。
Step3 非準拠項目のサポート
GAP分析の結果、準拠できていない項目が発見された場合、準拠するための
ご提案・サポートをいたします。
Step4 SAQ・報告書の作成
現地調査結果に基づき、SAQを作成します。PCI DSSに準拠するために必要事項をすべて記載いたします。ご希望場合は、セキュリティ報告書を作成いたします。
■スケジュール
ご要望の日時をヒアリングし、ご提案いたします。
■費用
支援内容により大きく異なりますので、気軽にお問合せくださいませ。
セキュリティ事故後の対応
セキュリティ事件・事故が発生した場合に、最も重要なことは確実な情報の収集と迅速で適切な
対応です。
誤った情報を公開したり、対応が遅れてしまうことで、企業・組織に対する信用はさらに失墜してしまいます。当社では、発生した事象に応じ、適切なタイミングと対応方法をご提案いたします。