PCI DSS実装支援サービス

現在位置

PCI DSS実装支援サービスは、VISA AISやMasterCard SDP等のプログラムへ登録を希望されているイシュア、アクワイアラ、加盟店、サービスプロバイダ様へ、PCI DSSの要件に基づいたセキュリティ対策を実装するために、ギャップ分析による課題の整理・課題解決のための費用対効果の優れた対応策の検討から、対応策の実装・運用までを支援するサービスです。

また、本サービスをクレジットカード情報とはまったく関係がない企業様において活用いただきますと、クレジットカード情報の保護に必要なセキュリティレベルの情報セキュリティ対策の実装を達成することができます。

PCI DSSの要求事項を実装した概念図

PCI DSS実装支援サービスは2つのフェーズを6つのステップに分けてサービスを提供します。

フェーズ１: PCI DSSの要件とお客様の現在の状況を比較して、ギャップを明確にします。ギャップ解消のための課題を解消するための対応策を、費用対効果等を勘案し検討を行います。フェーズ1には約2ヶ月を要します。この結果をもとに、次フェーズの概算費用をお見積もりします。
フェーズ２: フェーズ１の結果に基づいて対策を実施し、さらに運用設計ではプログラム受診後も運用が効果的に実施されるように支援を行います。

カードブランドのプログラム受診は、本支援サービス完了までにASVのスキャンテストを完了し、その後のQSAによる訪問調査を経てからとなります。

短期間での完全準拠を実現

PCI DSSが規定する要件を、システム構成要素や文書別に分類したチェックシートを用いて現状調査するため、ASVによるスキャンやQSAの訪問調査までに必要な水準とお客様の現状のセキュリティレベルとのギャップを短時間で明確にすることがきます。

ギャップ分析の結果、不足している点への必要な対策項目がシステム構成要素や文書別に網羅されるため、優先度の検討や対策実施作業を効率よく実施できます。また、文書類については、必要に応じサンプル等を提供します。

継続的な運用を視野に入れた支援

プログラムへの登録をゴールにするのではなく、PCI DSS準拠レベルの運用を効果的、効率的に実施できるよう、お客様の組織や業務分掌を踏まえて支援を行います。

クレジットカード情報に関係なく、社内のITシステムに対するセキュリティ対策としても有効

PCI DSSが規定する要件は、データの保護を目的としたセキュリティ対策が定量的・具体的に示されています。そのため、クレジットカード情報に限定せず、高レベルのデータ保護のためのセキュリティ基準として活用可能です。

カードブランドのプログラム準拠を目的とせず、セキュリティ対策のモデルケースとして活用する場合は、お客様のご要望や状態に合わせて、セキュリティ対策の追加が必要となるポイントを抽出するためのベンチマークや、具体的なセキュリティ対策のグランドデザイン策定時のレベル観の調節に活用します。

PCI DSS実装支援サービスは、6段階のステップでゴールまで導きます。

ステップ1 現状調査	対象を確定するため、システム、部署、業務などを整理し、ドキュメント整備状況やシステム実装状況などの調査を行います。
ステップ2 ギャップ分析	収集したドキュメントを精査し、またシステムの実装・設定状況や運用状況についてPCI DSSの要求事項と比較し、ギャップを抽出します。更にギャップについて、代替コントロールが存在しているかどうかやリスク分析を実施し、対応策の必要の有無を確認します。
ステップ3 対応策の策定	ステップ２で必要性が認められた事項について、対応策を具体的に想定し、概算コストを算出します。また、スケジュールや役割分担などの対策実施計画を策定します。
ステップ４対応策の実施	必要となる文書作成の支援や、システムの実装をいたします。 ※既存システム変更等の場合、保守の観点から既存システムベンダへ対策内容を指示するための支援となります
ステップ5 運用支援	PCI DSSでは定期的な見直しを要求している事項があります。そのため手順が適切に実施されるよう運用設計を行います。また、社員への教育や、モニタリング等のご支援をいたします。
ステップ6 テスティング	ソーシャルエンジニアリングを含むようペネトレーションテスト、ソースコードレビュー、Webアプリケーションの脆弱性診断、インシデント対応計画等要求事項に則ったテストの実施を支援します。