PCI DSS 準拠支援ソリューション
豊富な審査実績と最新技術に精通した知見を活かしPCI DSS準拠を支援
PCI DSS準拠のための対策から審査、運用までのトータルサポート
GRCSは、情報セキュリティに関わる多くの実績・ノウハウを活かし、PCI DSSに準拠するためコンサルティング、審査、準拠の維持支援まで、お客様のご要望に応じたサービスをご提案いたします。
※GRCSはPCI SSCの認定評価機関(QSA)です。
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会員データのセキュリティを強化することを目的として策定されたクレジットカード業界のセキュリティ基準です。国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)により設立されたPCI SSC (Payment Card Industry Security Standards Council)によって管理されています。
PCI DSS v4.0対応
2022年3月31日にPCI DSS v4.0がリリースされました。GRCSは、PCI DSS v4.0での審査、および準拠支援サービスのご提供が可能です。
GRCSのPCI DSS認定取得支援ソリューションの強み
PCI DSSに準拠した情報セキュリティ管理態勢を整備
貴社のビジネス環境や背景を十分理解した上で、PCI DSS に準拠した情報セキュリティ管理態勢を整備するために必要な、改善策の実行支援Q&A、改善結果のアセスメントについて支援します。
同一ベンダによるトータルサポート
GAP分析から 準拠審査、準拠維持まで一貫して支援。
GRCSはコンプライアンスだけではなく、テクノロジの解決手段を有しており、認定準拠のためのシステム実装面においても同一ベンダで対応することが可能です。
負荷を減らしコスト効果アップ
セグメンテーションにより、PCI DSS適用対象となるカード会員データ環境(CDE)の範囲を可能な限り限定することを意識したコンサルテーションを実施。
準拠維持活動においても、フルアウトソースではなく、お客様にスキル移管できる部分は積極的に実施し、トータルコストを下げるご支援いたします。
PCI DSS 準拠支援ソリューションのご案内
PCI DSSに必要な文書・プロセス・技術導入を実施し、準拠審査に向けてのご支援をいたします。
PCI DSSの準拠にあたっては、PCI DSSの対象範囲を特定することが重要なプロセスとなり、広い場合には「どのようにして狭くするか」を考え、対象範囲を狭くすることで準拠に要する期間と費用を抑えることができます。
PCI DSS 準拠支援ソリューションでは、お客様の事業特性とご予算を考え、適切に運用しやすいソリューションをご提案します。
また、PCI DSSの改定が発生した際の急な変更にも対応できる体制でご支援いたします。
PCI DSS 準拠支援のための施策とスケジュール
| フェーズ1:GAP分析 | フェーズ2:改善策の実行 | フェーズ3:準拠審査 | フェーズ4:準拠維持活動 |
|---|---|---|---|
| 3ヶ月程度 | 6〜12ヶ月程度 | 2ヶ月程度 | 継続的に実施 |
| プロジェクトマネジメント | |||
| 実行支援Q&A | |||
|
|
|
|
準拠支援コンサルティング
「審査を受ける必要が生じたが、何から手をつければよいかわからない…」
「代替コントロールとしたいが本当にこれで大丈夫なの?」
豊富な審査経験とシステム実運用に精通したコンサルタントがお客様の審査を支援します。
- データフロー分析
- ネットワーク上のカード会員データフローの洗い出し
- データマッピング
- ITコンポーネントの洗い出しとカード会員データの関連付け
- セグメンテーション計画
- 最も効率的にPCIDSS準拠を達成するためのアーキテクチャ設計
- スコープ特定
- PCI DSS準拠対象範囲の決定
- ギャップ分析
- 準拠要件に対するギャップの洗い出し
- 改善案と計画策定
- PCI DSSへの準拠に必要な対策と方針の提示
- 改善作業の実施
-
- 規程の策定・改訂
- システム/設備導入
- 教育の実施
- 運用プロセスの見直し、自動化
- システム構成に関するコンサルティング
- など
- 改善結果のアセスメント
-
- 効果測定の実施
- 追加施策の検討
- (他社実施の)PCI DSS審査対応
-
- 事務局支援
- 審査機関との調整
運用改善コンサルティング
いざPCI DSSに準拠したものの、運用工数やランニングコストはその価値に見合っているでしょうか。
事業特性とご予算に合わせた適切な運用しやすいソリューションを提案します。
- 改善作業の実施
-
- 規程の策定・改訂
- システム/設備導入
- 教育の実施
- 運用プロセスの見直し、自動化
- システム構成に関するコンサルティング
- など
- 改善結果のアセスメント
-
- 効果測定の実施
- 追加施策の検討
- 準拠維持活動
-
- 定期活動証跡レビュー
- 外部/内部脆弱性スキャン(ASV含む)
- 外部/内部ペネトレーションテスト
- Webアプリケーション脆弱性診断
- 情報セキュリティ教育
- 年次PCI認定準拠審査
GRCSでは、高い技術力と豊富な審査経験を持つ審査員による審査を実施します。
審査を実施できる企業は多くありますが、最新のIT基盤技術と実運用に精通していることが特色です。
- PCI DSS準拠審査
-
- 証跡の収集/インタビュー
- 実地審査
- 準拠報告書(ROC)
- 準拠証明書(AOC)の提出
SAQ作成支援
PCI DSSはカード会社以外にもカード情報を「保存/処理/伝送」する事業者も準拠する必要があります。その場合はQSAによるオンサイト審査、もしくは取引量に応じたレベルと基準に従って自己問診を行いSAQを正しく作成する事でPCI DSSに準拠することができます。
しかしながら、そのSAQの内容はわかりにくいため作成が難しいと言われています。
GRCSでは、SAQの作成に精通したQSAによるSAQ作成支援サービスを提供します。また、PCI DSSの改定が発生した際の急な変更にも対応できるよう支援いたします。
PCI DSS教育
お客様のご要望に応じ、対象者向けにPCI DSS教育や研修をフルカスタマイズで提供いたします。
- 【PCI DSS 管理者向け研修】(例)
- PCI DSSの概要について学びます。
対象:経営部門、内部審査部門、サービスマネジメント部門の管理者向け
時間:2時間 / 4時間 / 1日 - 【PCI DSS 実務者向け研修】(例)
- PCI DSSの概要と全12要件について学びます。 システム要件や文書化要求などのポイント、システム図解、国内の実例などをふまえ、PCI DSSをより実用的な要件解釈ができるノウハウを学ぶ事ができます。
対象:PCI DSS業務に関わるシステム部門担当者
時間:半日 / 1日 / 2日
PCI DSS関連コンサルティングサービス実績
大手クレジットカード会社や決済サービス運営会社など豊富な支援実績があります
- PCI DSS審査準備支援及びPCI DSS審査:決済サービス運営会社 など多数
- PCI DSSアドバイザリサービス:クレジットカード会社 など多数
- PIN Security監査業務:クレジットカード会社 など多数
- PIN Securityアドバイザリ業務:大手銀行 など多数
お問い合わせ
製品に関しての詳しい内容やご質問などお待ちしております
PCI DSS準拠支援ソリューション
豊富な審査実績と最新技術に精通した知見を活かしPCI DSS準拠を支援
