PCI DSS準拠 認定取得支援ソリューション

豊富な審査実績と最新技術に精通した知見を活かしPCI DSS準拠を支援

PCI DSS認定取得のための対策から審査、運用までトータルサポート

PCI DSS(Payment Card Industry Data Security Standard)は、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同となって、クレジットカード会員データのセキュリティを強化する目的の為に制定された基準です。カード会員データを「保存、処理、伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーは、年間の取引量に応じて、訪問審査もしくはSAQ(Self-Assessment Questionnaire:自己問診表)でPCI DSSに準拠する必要があります。
そのためには、安全なネットワーク構築、カード会員データの保護、脆弱性管理、アクセス制御、ネットワークの監視とテスト、情報セキュリティポリシーに関する12の要件を完全に満たすことが要求され、訪問審査が必要なケースではQSA(Qualified Security Assessor:認定セキュリティ評価機関)による往査によって準拠の判定を行います。

GRCSはPCI SSCによって認定された審査機関(QSA)です。情報セキュリティに関わる多くの実績・ノウハウを立場を活かし、PCI DSS認定取得のための12要件を満たす効果的な対策の実施から訪問審査までトータルにサポートいたします。

PCI DSS準拠のための6つの目標と12のデータ・セキュリティ要件

GRCSのPCI DSS認定取得支援ソリューションの強み

PCIDSSに準拠した情報セキュリティ管理態勢を整備

PCI DSSに準拠した情報セキュリティ管理態勢を整備

貴社のビジネス環境や背景を十分理解した上で、PCI DSS に準拠した情報セキュリティ管理態勢を整備するために必要な、改善策の実行支援Q&A、改善結果のアセスメントについて支援します。

同一ベンダによるトータルサポート

同一ベンダによるトータルサポート

GAP分析から 準拠審査、準拠維持まで一貫して支援。

GRCSはコンプライアンスだけではなく、テクノロジの解決手段を有しており、認定準拠のためのシステム実装面においても同一ベンダで対応することが可能です。

負荷を減らしコスト効果アップ

負荷を減らしコスト効果アップ

セグメンテーションにより、PCI DSS適用対象となるカード会員データ環境(CDE)の範囲を可能な限り限定することを意識したコンサルテーションを実施。
準拠維持活動においても、フルアウトソースではなく、お客様にスキル移管できる部分は積極的に実施し、トータルコストを下げるご支援いたします。

PCI DSS認定取得支援ソリューションのご案内

PCI DSSに必要な文書・プロセス・技術導入を実施し、準拠審査に向けてのご支援をいたします。

PCI DSSの準拠にあたっては、PCI DSSの対象範囲を特定することが重要なプロセスとなり、広い場合には「どのようにして狭くするか」を考え、対象範囲を狭くすることで準拠に要する期間と費用を抑えることができます。

PCI DSS認定取得支援ソリューションでは、お客様の事業特性とご予算を考え、適切に運用しやすいソリューションをご提案します。
また、PCI DSSの改定が発生した際の急な変更にも対応できる体制でご支援いたします。

コンサルティングサービス

認定取得のためのトータルサポート

SAQサービス

SAQに精通したQSAによるSAQ作成支援

教育サービス

対象者向けにPCI DSS教育や研修

コンサルティングサービス

PCI DSS認定取得のための施策とスケジュール

※ 横スクロールしてください
フェーズ1:GAP分析 フェーズ2:改善策の実行 フェーズ3:準拠審査 フェーズ4:準拠維持活動
3ヶ月程度 6〜12ヶ月程度 2ヶ月程度 継続的に実施
プロジェクトマネジメント  
  実行支援Q&A  
  • データフロー分析
  • データマッピング
  • セグメンテーション計画
  • スコープ特定
  • ギャップ分析
  • 改善案と計画策定
  • 改善作業の実施
  • 改善結果のアセスメント
  • PCI DSS準拠認定審査
  • 定期活動証跡レビュー
  • 外部/内部脆弱性スキャン(ASV含む)
  • 外部/内部ペネトレーションテスト
  • Webアプリケーション脆弱性診断
  • 情報セキュリティ教育
  • 年次PCI認定準拠審査

認定取得コンサルティング

審査を受ける必要が生じたが、何から手をつければよいかわからない…」
「代替コントロールとしたいが本当にこれで大丈夫なの?」
豊富な審査経験とシステム実運用に精通したコンサルタントがお客様の審査を支援します。

フェーズ1:GAP分析
データフロー分析
ネットワーク上のカード会員データフローの洗い出し
データマッピング
ITコンポーネントの洗い出しとカード会員データの関連付け
セグメンテーション計画
最も効率的にPCIDSS準拠を達成するためのアーキテクチャ設計
スコープ特定
PCI DSS準拠対象範囲の決定
ギャップ分析
準拠要件に対するギャップの洗い出し
改善案と計画策定
PCI DSSへの準拠に必要な対策と方針の提示
フェーズ2:改善策の実行
改善作業の実施
  • 規程の策定・改訂
  • システム/設備導入
  • 教育の実施
  • 運用プロセスの見直し、自動化
  • システム構成に関するコンサルティング
  • など
改善結果のアセスメント
  • 効果測定の実施
  • 追加施策の検討

運用改善コンサルティング

いざPCI DSSに準拠したものの、運用工数やランニングコストはその価値に見合っているでしょうか。
事業特性とご予算に合わせた適切な運用しやすいソリューションを提案します。

フェーズ2:改善策の実行
改善作業の実施
  • 規程の策定・改訂
  • システム/設備導入
  • 教育の実施
  • 運用プロセスの見直し、自動化
  • システム構成に関するコンサルティング
  • など
改善結果のアセスメント
  • 効果測定の実施
  • 追加施策の検討
フェーズ4:準拠維持活動
準拠維持活動
  • 定期活動証跡レビュー
  • 外部/内部脆弱性スキャン(ASV含む)
  • 外部/内部ペネトレーションテスト
  • Webアプリケーション脆弱性診断
  • 情報セキュリティ教育
  • 年次PCI認定準拠審査

自動化支援を含むPCI DSS準拠維持支援サービス

業務が増加するPCI DSS準拠後の運用フェーズにおいて、準拠を維持するための運用設計支援及び運用を自動化するためのツール導入支援などをご提案。PCI DSS準拠における企業の負荷を軽減し運用効率化を図るサポートをいたします。

例)PCI DSS準拠維持活動の一つであるセキュリティ脆弱性診断等を自動化し継続的にスキャンを行うことで脆弱性管理できる体制を構築

スコープ調整型コンサルティング


PCI DSSに準拠しているものの、対象スコープをもっと縮小してコストを下げたい…

PCI DSSの対象範囲を特定することは重要なプロセスであり、この対象範囲を狭くすることで準拠に要する期間と費用を抑えることができます。
豊富なペイメントシステム構築の経験を持つコンサルタントが、対象が広い場合でも「どのようにして狭くするか」を考え実施し、お客様の事業特性とご予算に適切な運用しやすいソリューションをご提案。
PCI DSS準拠対応のコスト削減を支援します。

PCI DSS審査

GRCSでは、高い技術力と豊富な審査経験を持つ審査員による審査を実施します。
審査を実施できる企業は多くありますが、最新のIT基盤技術と実運用に精通していることが特色です。

対応要件:PCI DSS、PCI PIN Security、PCI Card Production
フェーズ3:準拠審査
PCI DSS準拠認定審査
  • 証跡の収集/インタビュー
  • 実地審査
  • 準拠報告書(ROC)
  • 準拠証明書(AOC)の提出
SAQサービス

SAQ作成支援


PCI DSSはカード会社以外にもカード情報を「保存/処理/伝送」する事業者も準拠する必要があります。その場合はQSAによるオンサイト審査、もしくは取引量に応じたレベルと基準に従って自己問診を行いSAQを正しく作成する事でPCI DSSに準拠することができます。
しかしながら、そのSAQの内容はわかりにくいため作成が難しいと言われています。

GRCSでは、SAQの作成に精通したQSAによるSAQ作成支援サービスを提供します。また、PCI DSSの改定が発生した際の急な変更にも対応できるよう支援いたします。

教育サービス

PCI DSS教育


お客様のご要望に応じ、対象者向けにPCI DSS教育や研修をフルカスタマイズで提供いたします。

【PCI DSS 管理者向け研修】(例)
PCI DSSの概要について学びます。
対象:経営部門、内部審査部門、サービスマネジメント部門の管理者向け
時間:2時間 / 4時間 / 1日
【PCI DSS 実務者向け研修】(例)
PCI DSSの概要と全12要件について学びます。 システム要件や文書化要求などのポイント、システム図解、国内の実例などをふまえ、PCI DSSをより実用的な要件解釈ができるノウハウを学ぶ事ができます。
対象:PCI DSS業務に関わるシステム部門担当者
時間:半日 / 1日 / 2日

非保持化対応支援

外部委託先に関しては、コンプライアントである必要性はありませんが、範囲と対応策は、PCI DSS被審査企業にレポーティングする必要があります。

「非保持化」対応をするためには何をすればよいのか、適切な非保持化対応が実施できているかなど、QSA審査員の資格を持つセキュリティコンサルタントが、お客様の状況を確認しながら「非保持化」の対策を支援します。

PCI DSS関連コンサルティングサービス実績

大手クレジットカード会社や決済サービス運営会社など豊富な支援実績があります

  • PCI DSS審査準備支援及びPCI DSS審査:決済サービス運営会社 など多数
  • PCI DSSアドバイザリサービス:クレジットカード会社 など多数
  • PIN Security監査業務:クレジットカード会社 など多数
  • PIN Securityアドバイザリ業務:大手銀行 など多数
PCI DSSに関連するサービスについてもご相談お待ちしております。

豊富な審査実績と最新技術に精通した知見を活かしPCI DSS準拠を支援

そのほか、製品に関しての詳しい内容やご質問などお待ちしております。
PCI DSS 資料請求