PCI DSS(Payment Card Industry Data Security Standard)は、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同となって、クレジットカード会員データのセキュリティを強化する目的の為に制定された基準です。カード会員データを「保存、処理、伝送する」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーは、年間の取引量に応じて、訪問審査もしくはSAQ(Self-Assessment Questionnaire:自己問診表)でPCI DSSに準拠する必要があります。
そのためには、安全なネットワーク構築、カード会員データの保護、脆弱性管理、アクセス制御、ネットワークの監視とテスト、情報セキュリティポリシーに関する12の要件を完全に満たすことが要求され、訪問審査が必要なケースではQSA(Qualified Security Assessor:認定セキュリティ評価機関)による往査によって準拠の判定を行います。
GRCSはPCI SSCによって認定された審査機関(QSA)です。情報セキュリティに関わる多くの実績・ノウハウを立場を活かし、PCI DSS認定取得のための12要件を満たす効果的な対策の実施から訪問審査までトータルにサポートいたします。
貴社のビジネス環境や背景を十分理解した上で、PCI DSS に準拠した情報セキュリティ管理態勢を整備するために必要な、改善策の実行支援Q&A、改善結果のアセスメントについて支援します。
GAP分析から 準拠審査、準拠維持まで一貫して支援。
GRCSはコンプライアンスだけではなく、テクノロジの解決手段を有しており、認定準拠のためのシステム実装面においても同一ベンダで対応することが可能です。
セグメンテーションにより、PCI DSS適用対象となるカード会員データ環境(CDE)の範囲を可能な限り限定することを意識したコンサルテーションを実施。
準拠維持活動においても、フルアウトソースではなく、お客様にスキル移管できる部分は積極的に実施し、トータルコストを下げるご支援いたします。
PCI DSSに必要な文書・プロセス・技術導入を実施し、準拠審査に向けてのご支援をいたします。
PCI DSSの準拠にあたっては、PCI DSSの対象範囲を特定することが重要なプロセスとなり、広い場合には「どのようにして狭くするか」を考え、対象範囲を狭くすることで準拠に要する期間と費用を抑えることができます。
PCI DSS認定取得支援ソリューションでは、お客様の事業特性とご予算を考え、適切に運用しやすいソリューションをご提案します。
また、PCI DSSの改定が発生した際の急な変更にも対応できる体制でご支援いたします。
PCI DSS認定取得のための施策とスケジュール
| フェーズ1:GAP分析 | フェーズ2:改善策の実行 | フェーズ3:準拠審査 | フェーズ4:準拠維持活動 |
|---|---|---|---|
| 3ヶ月程度 | 6〜12ヶ月程度 | 2ヶ月程度 | 継続的に実施 |
| プロジェクトマネジメント | |||
| 実行支援Q&A | |||
|
|
|
|
「審査を受ける必要が生じたが、何から手をつければよいかわからない…」
「代替コントロールとしたいが本当にこれで大丈夫なの?」
豊富な審査経験とシステム実運用に精通したコンサルタントがお客様の審査を支援します。
いざPCI DSSに準拠したものの、運用工数やランニングコストはその価値に見合っているでしょうか。
事業特性とご予算に合わせた適切な運用しやすいソリューションを提案します。
業務が増加するPCI DSS準拠後の運用フェーズにおいて、準拠を維持するための運用設計支援及び運用を自動化するためのツール導入支援などをご提案。PCI DSS準拠における企業の負荷を軽減し運用効率化を図るサポートをいたします。
例)PCI DSS準拠維持活動の一つであるセキュリティ脆弱性診断等を自動化し継続的にスキャンを行うことで脆弱性管理できる体制を構築
PCI DSSに準拠しているものの、対象スコープをもっと縮小してコストを下げたい…
PCI DSSの対象範囲を特定することは重要なプロセスであり、この対象範囲を狭くすることで準拠に要する期間と費用を抑えることができます。
豊富なペイメントシステム構築の経験を持つコンサルタントが、対象が広い場合でも「どのようにして狭くするか」を考え実施し、お客様の事業特性とご予算に適切な運用しやすいソリューションをご提案。
PCI DSS準拠対応のコスト削減を支援します。
GRCSでは、高い技術力と豊富な審査経験を持つ審査員による審査を実施します。
審査を実施できる企業は多くありますが、最新のIT基盤技術と実運用に精通していることが特色です。
PCI DSSはカード会社以外にもカード情報を「保存/処理/伝送」する事業者も準拠する必要があります。その場合はQSAによるオンサイト審査、もしくは取引量に応じたレベルと基準に従って自己問診を行いSAQを正しく作成する事でPCI DSSに準拠することができます。
しかしながら、そのSAQの内容はわかりにくいため作成が難しいと言われています。
GRCSでは、SAQの作成に精通したQSAによるSAQ作成支援サービスを提供します。また、PCI DSSの改定が発生した際の急な変更にも対応できるよう支援いたします。
お客様のご要望に応じ、対象者向けにPCI DSS教育や研修をフルカスタマイズで提供いたします。
外部委託先に関しては、コンプライアントである必要性はありませんが、範囲と対応策は、PCI DSS被審査企業にレポーティングする必要があります。
「非保持化」対応をするためには何をすればよいのか、適切な非保持化対応が実施できているかなど、QSA審査員の資格を持つセキュリティコンサルタントが、お客様の状況を確認しながら「非保持化」の対策を支援します。
