ホーム サービス PCI DSS イベント 会社概要  
PCI DSS準拠支援サービス
情報セキュリティ監査
情報セキュリティ強化支援
認証取得支援
PCI DSS審査サービス
PCI DSS準拠支援
PCI DSS ASV検査
侵入検査
技術監査
内部統制支援
システム監査サービス

Payment Card Industry データセキュリティ基準(PCI DSS)は、カード会員のデータセキュリティ強化ならびにセキュリティレベルの統一を世界的に推進するため、国際カードブランド5社が設立したPCIセキュリティスタンダード協議会(PCI SSC:PCI Security Standard Council)により策定された業界基準です。カード会員データの処理、保存、伝送、変換を行うシステムおよびネットワークが対象であり、カード会員データを取扱うすべての組織が準拠することを意図したものです。

一般的に言えば、情報セキュリティマネジメントの先進的組織であっても、PCI DSSの準拠性の観点では少なからずギャップが存在し、追加対応が必要になります。このように追加対応が必要になる背景は、PCI DSSの目的がカード会員データの機密性確保に特化しており要求が具体的かつ要求レベルが高いためです。

弊社では、お客様の組織に非準拠項目が存在する状態から、PCI DSSに準じた管理を実施している状態に至る対策推進過程を支援するため、下記の3つのメニューを用意しています。

GAP分析 対策推進支援 スポット支援

GAP分析

サービスの内容

  • 現状をインタビューし、PCI DSSの最新要件に照らしてギャップを明らかにします。
  • 成果物
  • 「GAP分析報告書」

サービスの特徴

  • QSAがサービスを提供します。
  • GAPについて対策種別案を提示し、対応のための一般的な工程と参考概算費用をお知らせします。
  • インタビューを終えた後、最短1週間で報告します。
  • QSAとしてPCI SSCの持つ情報を積極的に入手し、サービスに活用します。

対象のお客様

  • PCI DSS準拠が求められるお客様(下記)であり、準拠に向けた活動を始めようとしているお客様
  • 加盟店(国際カードブランドごとの推進プログラムの対象であり、準拠状況の検証と報告が必要)
  • サービスプロバイダ(国際カードブランドごとの推進プログラムの対象であり、準拠状況の検証と報告が必要)
  • カード発行事業者(準拠状況の検証と報告義務は定められていないが、PCI DSSに準じた維持・管理が必要)
  • PCI DSS準拠に向け活動中のお客様で、現時点の状況を正確に把握したいお客様
  • カード会員情報に限らず、守るべきデータをお持ちであり、PCI DSSの考え方の採用を検討しておられるお客様

サービスの効果

  • 自組織の現在位置がわかります。
  • 準拠に向けた計画立案の材料を得られます。
  • PCI SSCの推奨する対策順序 Prioritized Approachを取り入れることにより、リスクの大きい非準拠 項目を先に対策する計画を立てることができます。
  • 状況の可視化により、関係者に対策推進の協力を得やすくなります。

サービスご提供の流れ

  • 0. 準備と打合わせ(キックオフ)
  • 1. 評価範囲確定
  • お客様ビジネス、システム、データの流れを確認し評価範囲を確定します。(共同作業)
  • 2 調査
  • 「PCI DSS GAP分析シート」に共同で記入していきます。(共同作業)
    ※QSAが分析シートをもとにヒアリングを実施いたします。
  • 3. 分析
  • 分析シートを通じて収集した情報をもとに、報告書を作成します。(弊社作業)

対策推進支援

サービスの内容

  • 非準拠項目を準拠させるための改善計画と文書作成支援から構成されています。
  • GAP分析を通じてギャップ(非準拠項目)を特定済みのお客様に実施します。
  • 改善計画
  • 改善計画策定
  • 代替コントロールワークシート策定
  • 文書作成支援
  • 文書体系を検討し、文書作成方針を検討します。
  • PCI DSSの要求する情報セキュリティマネジメント文書群について、文書案やひながたを作成します。
  • 成果物
  • 改善計画:改善計画書、代替コントロールワークシート
  • 文書作成支援:文書体系、文書案

サービスの特徴

  • 改善計画策定では、PCI SSCの推奨するPrioritized Approachに基づき計画を具体化します。
  • リスクを分断し評価範囲を狭める対策が可能な場合、PCI SSCの推奨するPrioritized Approachにおける”マイルストン2:周囲の安全性向上”あるいは”マイルストン4:アクセスコントロールの徹底”のタイミングに対策実施を推奨します。
  • 技術的対策か運用的対策(組織、人)、あるいはその両方を適材適所に配置し、コントロールの埋め込みを行います。
  • QSAとしてPCI SSCの持つ情報を積極的に入手し、サービスに活用します。

対象のお客様

  • PCI DSS準拠が求められるお客様(下記)で、非準拠項目を把握済みのお客様
  • 加盟店(国際カードブランドごとの推進プログラムの対象であり、準拠状況の検証と報告が必要)
  • サービスプロバイダ(国際カードブランドごとの推進プログラムの対象であり、準拠状況の検証と報告が必要)
  • カード発行事業者(準拠状況の検証と報告義務は定められていないが、PCI DSSに準じた維持・管理が必要)
  • カード会員情報に限らず、守るべきデータをお持ちであり、PCI DSSの考え方の採用を検討しておられるお客様

サービスの効果

  • 準拠に向け、回り道をせずに一直線に進むことができます。
  • リスクの大きい非準拠項目を先に対策できます。
  • 状況の可視化により、関係者へのステータス報告が容易になります。

サービスご提供の流れ

  • 1. 改善計画
  • 1.1 改善計画策定
  • 改善種別検討
    組織対応検討
    改善内容具体化
    改善計画策定支援
  • 1.2 代替コントロールワークシート策定
  • 実施できない要件特定
    リスク特定
    代替策検討、代替コントロールワークシート作成
  • 2. 文書作成支援
  • 2.1 文書体系・作成方針検討
  • 2.2 ポリシー文書(方針・規定)案の策定
  • 2.3 プロシージャ文書(手順書)案の策定
  • 2.4 設定基準のひながた案作成
  • 2.5 記録類様式案作成

スポット支援

サービスの内容

  • お客様が実施、推進される対策推進の過程において、スポット的に支援する形態のサービス
  • オンサイト支援とオフサイト支援
  • オンサイト支援:お客様のご所望タイミングに訪問レビュー
  • オフサイト支援:PCI DSS解釈に関する問合せ対応(電子メール利用)
  • タイムアンドマテリアル方式

対象のお客様

  • PCI DSS準拠が求められるお客様で、できるだけ自社で推進することで経済的に進めたいお客様