ホーム サービス PCI DSS イベント 会社概要  
情報セキュリティ監査
情報セキュリティ強化支援
認証取得支援
PCI DSS審査サービス
PCI DSS準拠支援
PCI DSS ASV検査
侵入検査
技術監査
内部統制支援
システム監査サービス


このサービスはネットワンシステムズ株式会社が提供いたします。(2013年2月1日~)

Payment Card Industry データセキュリティ基準(PCI DSS)は、カード会員のデータセキュリティ強化ならびにセキュリティレベルの統一を世界的に推進するため、国際カードブランド5社が設立したPCI Security Standard Council (PCI SSC:PCIセキュリティスタンダード協議会)により策定された業界基準です。カード会員データの処理、保存、伝送、変換を行うシステムおよびネットワークが対象であり、カード会員データを取扱うすべての組織が準拠することを意図したものです。
PCI DSSを推進するため、国際カードブランド各社は独自のPCI DSS推進プログラムを定めています。詳細は異なりますが、どのプログラムも加盟店とサービスプロバイダ業務に着目しており、アクワイアラ(加盟店獲得業務を行う組織)を通じて加盟店とサービスプロバイダにPCI DSS準拠を促し、準拠状況に関する検証ルールと報告ルールを定めています。検証方法には、PCI SSCが認定している審査会社Qualified Security Assessor(QSA)に属す認定された審査員が実施するオンサイト評価と、組織自身が行なう自己問診の2通りがあり、推進プログラムの定めによりいずれかの検証が要求されます。
以下では、認定審査員が実施するPCI DSS審査サービスを紹介いたします。

サービスの内容

  • PCI SSCが定めた要件と評価手順に沿ってオンサイトレビューを行います。
    -『PCI データセキュリティ基準  要件とセキュリティ評価手順 バージョン1.2』に従います。
    -予備調査、本調査、評価・報告の3フェーズを順に実施します。
    -予備調査フェーズにて、評価範囲設定の後、手続書(調査計画)を作成します。
    -本調査フェーズにて、文書調査、インタビュー、観察を通じて判断材料を集めます。
    -評価・報告フェーズにて、判断材料に基づき判断意見を形成し、報告書をまとめ、報告会を行います。
  • 主要成果物
    -「準拠に関するレポート(Report on Compliance)」
    -「準拠証明書(Attestation of Compliance)」



 

サービスの特徴

  • 最新動向キャッチアップ
    -QSAとしてPCI SSCの情報を積極的に入手し、サービスに活用します。
    -PCI DSSは具体的で明確な基準ですが、詳細に見ていくと基準の解釈に幅が出る可能性がある箇所があります。そういった点について問題提起を行うと共に、PCI SSCの見解やQSAの統一見解を入手し、適切な解釈を得る活動を行い、お客様に対するサービスにフィードバックします。
 

対象のお客様

  • QSAによるオンサイト評価が義務付けられているお客様
    -国際カードブランド 各社のPCI SSC推進プログラムにてQSAによるオンサイト評価実施が義務付けられているお客様(加盟店やサービスプロバイダ)
  • 準拠証明書によりコンプライアンス遵守をアピールしたいお客様
    -自己問診が認められているお客様(加盟店やサービスプロバイダ)
    -内部監査が認められているお客様(カード発行業務を行うイシュア)
 

サービスの効果

  • 審査を通じて基準遵守が認定されれば・・・
    -国際カードブランドの推進プログラムに則り、コンプライアンス遵守企業として公開されます(カードブランドごとの制度による)。
    -PCI DSS遵守をアピールできます。
    -組織のITガバナンス実現に貢献できます。
    -利害関係者に説明責任を果たすことができます。
    -お客様から見てお客様にあたる方に安心感を提供できます。
 

サービスご提供の流れ

  • 0. 準備と打合わせ(進め方の合意)
    1. 予備調査
    1.1 対象把握&評価範囲決定
    1.2 手続書(調査計画)作成、提示
    2. 本調査
    2.1 要求物準備(お客様による実施)
    2.2 文書調査
    2.3 インタビュー
    2.4 オンサイト調査
    3. 評価・報告
    3.1 証拠の整理、判断
    3.2 報告書と証明書作成
    3.3 報告会実施