PCIDSSとは
PCIDSS:加盟店・決済代行事業者が取り扱うカード会員様のクレジットカード情報・取引情報を安全に守るために、JCB、アメリカンエキスプレス、Discover、マスターカード、VISAの国際ペイメントブランド5社が共同で策定した、クレジットカード情報セキュリティの国際統一基準です。
セキュリティマネジメントの方針、手順、手法、ネットワーク構造、ソフトウェアデザインおよびその他クレジットカードを初めとするクレジットカード情報を保護するために必要な要求事項について規定しています。クレジットカード加盟店や決済サービスプロバイダーなど、クレジットカード情報を保管、処理、伝送するすべての組織が対象となります。
PCI DSS、ISO 27001、Pマークとの違い
ISO 27001はクレジットカード情報を含む組織が保有する情報全般のマネジメントシステムです。一方、プライバシーマークは個人情報保護、PCI DSSはクレジットカード情報保護に特化しています。
PCIDSS要件の特徴
PCIDSSの各種セキュリティ要件は、ISO/IEC27001等で定められた管理策と比べると「具体的」「定量的」なものが多く、審査においても、ルールの定義だけでなく、運用に落とし込まれ、実行されているかを深く確認する点が特徴と言えます。
PCI DSSにおける6のコントロール目的と12要件
12の要件に合わせたルールを整備し、運用する必要があります。場合によってはシステム改修が必要となるケースもあります
| ネットワークとシステムの構築と維持 | 1 | カード会員データを保護するために、ファイアウォールをインストールして維持する |
|---|---|---|
| 2 | システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない | |
| カード会員データの保護 | 3 | 保存されるカード会員データを保護する |
| 4 | オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する | |
| 脆弱性管理プログラムの維持 | 5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する |
| 6 | 安全性の高いシステムとアプリケーションを開発し、保守する | |
| 強力なアクセス制御手法の導入 | 7 | カード会員データへのアクセスを、業務上必要な範囲内に制限する |
| 8 | システムコンポーネントへのアクセスを識別・認証する | |
| 9 | カード会員データへの物理アクセスを制限する | |
| ネットワークの定期的な監視およびテスト | 10 | ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する |
| 11 | セキュリティシステムおよびプロセスを定期的にテストする | |
| 情報セキュリティポリシーの維持 | 12 | すべての担当者の情報セキュリティに対応するポリシーを維持する |
PCI DSS準拠のメリット
ステークホルダーからの信頼獲得
クレジットカード情報セキュリティに対するコミットメントを明確化し、クレジットカード情報へのリスクが適切に管理されていることを証明できます。
ブランド力の強化
企業のレピュテーション(、ブランド力、イメージの向上が期待できます。契約要求事項の遵守、顧客にクレジットカード情報セキュリティが万全であることを証明し、競争力を高めることが可能となります。
リスク軽減
情報セキュリティを強化することにより、リスクが適切に識別、評価、管理され、情報漏えいや不正利用などの重大なリスクを軽減できます。
継続的改善
認証プロセスは監視と是正措置を繰り返すことで、継続的改善に役立ちます。
PCI DSS要件の特徴を踏まえた準拠のポイント
例)オペレーション端末のコンソールロックが運用上難しい場合、当該フロアに入室可能な者をバイネームで限定する。
取得スケジュール(例)
※作業期間は目安であり、お客様のシステム対応状況により異なります。
PCI DSS準拠に関する当社支援の特長
PCI DSSに準拠するためには、12の要件とその要件に合う様にルールを作り(変え)システムを改修、運用を行う必要があります。当社はこれまでのISMS支援実績からのノウハウとエンジニアの知識を持ち合わせておりお客様にあったご支援をいたします。
ご不明な点やお問合せなどございましたらお気軽にご連絡ください。
当社営業担当がサポートさせて頂きます。
お気軽にお問い合わせください。03-5366-4016受付時間 9:00-18:00 [ 土・日・祝日除く ]
お問い合わせ