カード情報セキュリティの国際統一基準
PCI DSS- 概要
PCI DSS(Payment Card Industry Data Security Standard、ペイメントカード業界データセキュリティ基準)とは、国際ペイメントブランド5社(VISA、マスターカード、JCB、アメックス、ディスカバー)が策定したカード情報セキュリティの国際統一基準です。
セキュリティマネジメントの方針、手順、手法、ネットワーク構造、ソフトウェアデザインおよびその他クレジットカードを初めとするカード情報を保護するために必要な要求事項について規定した情報セキュリティ基準です。クレジットカード加盟店や決済サービスプロバイダーなど、カード情報を保管、処理、伝送するすべての組織が対象となります。
ペイメントカード業界セキュリティ基準協議会(Payment Card Industry Security Council、以下PCI SSC)がPCI DSS とそれに関連する書類の所有、整備、配布を行っています。 国際ペイメントブランド5社各社は対象となる事業者のPCI DSS遵守を支援するためのプログラムを開発し、普及を目指しています。
PCIデータセキュリティ基準(PCI DSS)の内容:
PCI DSSは、カード会員のカード情報や取引情報を保護するための12の要件(*1)から構成されています。
安全なネットワークの構築と維持
- カード会員のデータ保護のためにファイアウォールを導入し、最適な設定を維持すること
- システムパスワード及びその他のセキュリティパラメータにベンダーから出荷時のデフォルト値(初期設定値)をそのまま利用しないこと
カ-ド会員データの保護
- 保存された会員データを安全に保護すること
- 公衆ネットワーク上でカード会員データを送信する場合、暗号化すること
脆弱性管理プログラムの整備
強固なアクセス制御手法の導入
-
カード会員データへのアクセスを業務上の必要範囲に制限すること
-
コンピュータにアクセスする際、利用者毎に一意の識別IDを割り当てること
-
カード会員データへの、物理的なアクセスを制限すること
定期的なネットワークの監視およびテスト
情報セキュリティ・ポリシーの整備
*1 PCISSC発行:PCI DSS要件及びセキュリテイ評価手順バージョン1.2を参照
PCI DSSとISO27001(ISMS):
ISO27001(ISMS:情報セキュリティマネジメントシステム)はPCI DSSと比較して、情報セキュリティの質を維持・管理するための組織・管理体制などが示されています。
一方PCI DSSは、カード情報保護のためセキュリティ対策の要件が具体的に定義されています。 双方は相互補完の関係にあると言えます。
→ PCI DSSそのメリットとは?
次のステップ
PCI DSSに関する詳細は、 BSIジャパン営業部 (Tel:03-6890-1172)へお問い合わせください。
PCI DSSの費用のお見積もり
PCI DSS審査
BSIジャパンによるPCI DSS審査を受審する主なメリットは以下の通りです。
- ISO27001(ISMS: 情報セキュリティマネジメントシステム)との同時での審査も可能です。これにより基準準拠の為の審査にかかる工数の低減が期待できます。
- 情報セキュリティ分野での認証審査では国内外ともにトップクラスの実績・経験があります。
PCI DSS遵守のメリット
PCI DSS遵守の主なメリットは以下の通りです。
- PCIDSSを推奨する国際5ブランドの一つビザ・インターナショナルでは、加盟店等からカードに関する情報が流出して不正使用された場合、その加盟店がPCI DSSに準拠していれば、その管理責任のあるカード会社(アクワイアラ)に求められる損害の補償の義務が免責されます。
PCI DSSオンサイトレビューのメリット
BSIジャパンによるPCI DSSオンサイトレビューを受審する主なメリットは以下の通りです。
- 情報セキュリティの審査経験が豊富なISMS主任審査員がオンサイトレビューを行います。
- ISO27001とPCI DSSの同時審査が可能です。審査工数を低減するメリットが期待できます。
→ PCI DSSトレーニングへ
次のステップ
PCI DSS審査に関する詳細は、 BSIジャパン営業部 (Tel:03-6890-1172)へお問い合わせください。
BSIでは、公開コースをはじめ、講師の派遣による企業内研修を承っております。 またまずはPCIDSSの概要をつかみたい、というお客様に向け、定期的に無料セミナーを開催しております。
PCIDSS トレーニングコース(公開コース・企業内研修)のご案内
<BSIトレーニング公開コース>
● PCI DSS基本コース
本コースは、2日間の講義及び演習を通じて、PCIの監査スキームおよびPCIデータセキュリティ基準の概要をより具体的に理解できるように設計されています。
また講師派遣型の企業内研修のご提供も可能です。 詳しくは、 BSIジャパン教育事業部 (Tel:03-6890-1175)までお問い合わせください。
PCIDSS 無料セミナー・オンラインセミナー
またBSIではPCIDSSの概要について説明する無料セミナーを定期的に開催しております。その他、空いた時間に、効率よくまずはPCIDSSについて知っていただくためのオンラインセミナーもご用意しています。
<無料セミナー>
● PCIDSS 概要解説セミナー&個別相談会
<オンラインセミナー>
● PCIDSSオンラインセミナー(ウェビナー)
無料セミナー・ウェビナーに関するお問い合わせはマーケティング部(Tel:03-6890-1174)までお願いいたします。
→ PCI DSS認証取得のステップへ
次のステップ
PCI DSS審査に関する詳細は、 BSIジャパン営業部 (Tel:03-6890-1172)へお問い合わせください。
PCI DSS
認証取得のステップ
PCI DSS認証登録は以下の5つのステップで行われます。
- ステップ 1: お問い合わせ・見積り
- プロファイルフォーム(お見積もりのためのアンケート用紙)に必要事項をご記入の上弊社へフォームを提出いただきます。
- ご記入いただいたフォームをもとに弊社にて見積りを行い見積書を提出いたします。
- ステップ 2: 申請
- 弊社よりお送りする見積書に添付されております申請書に必要事項をご記入の上、お申し込みをいただきます。
- ステップ 3: 予備調査 (オプション)
- 予備調査予備調査とは、初回の認証審査に先立ち、審査に入る準備ができているかどうかを判定するための調査です。お客様からのご希望を元に、予備調査が必要かどうか、また予備調査の内容につきまして弊社が判断を行います。オプションサービスとなります。
- ステップ 4: オンサイトレビュー
- オンサイトレビューは1回で実施します。このレビューにおいてPCI DSSへ遵守していることを確認できない場合はフォローアップ審査を行います。 (フォローアップ審査には追加の費用がかかります。)
- ステップ 5: 認証
- PCI DSSの適合性が認められるとBSIよりCOC(Certificate of Compliance)が発行されます。
次のステップ
概算見積もり: 詳細な見積もりを依頼される前に、まずはPCI DSS準拠にかかる費用の概算お見積もりもオンラインから可能です。 お気軽にお問い合わせ下さい。
→ PCI DSS関する概算見積もり・詳細見積もりはこちらから
PCI DSS審査登録に関する詳細は、 BSIジャパン営業部 (Tel:03-6890-1172)へお問い合わせください。
