PCI DSS認証取得支援

PCI DSS認証取得支援 背景

PCI DSSは、クレジットカード情報を取り扱う組織を対象としたセキュリティ要件(基準)であり、年間の取引件数が多い組織(VISAの例: 年間600万件以上)は、PCI DSSへの準拠認定が義務づけられています。

 

(※義務化については、VISA,MasterCard,American Expressのカードブランドが先行実施していますが、他のカードブランドも今後追従していくことが予想されます)

 

また、昨今のクレジットカード情報を含む個人情報の漏えい事件は、記憶媒体の大容量化やネットワークの大規模化、高速化に伴い、一度に漏えいする(窃取される)件数が増加する傾向にあり、クレジットカードを取り扱う組織にとって最も深刻なリスクの一つとなっています。

 

さらに、PCI DSSは一度準拠認定すれば終わりではなく、QSA(訪問審査機関)による年1回の継続的な審査を受けなければなりません。

 

※2010年8月現在、PCI DSSのバージョンはv1.2ですが、2010年10月にv2.0への改版が予定されています。
  改版に伴い、セキュリティ要件(基準)が変更される可能性があるため、最新バージョンへの対応も
  必要となってきます。

 

■PCI DSS準拠認定に向けた想定課題

◎ そもそも準拠認定を受ける業務、システムの「対象範囲(スコープ)」が分からない。

◎ 技術的なセキュリティ要件が多く、管理範囲も多岐にわたるPCI DSSのセキュリティ要件が
   十分に理解できない。
   また、どこから着手して良いか見当がつけられずに、計画的に推進できなくなり、非効率的な
   対応を強いられる恐れがる。(無用なコスト・時間の増加)

◎ 技術的及びコストの観点から実現困難なPCI DSSの特定のセキュリティ要件について、
   どのような代替コントロールで対応すべきか思い浮かばない。 
  (すべてのPCI DSSのセキュリティ要件を、オリジナル要件のままで対応している組織は存在
   しないと言われています。 代替コントロールをうまく活用することで組織の実情に即した
   PCI DSSとなり、実効性の確保に繋がっていきます)

◎ PCI DSSの各要件は、技術的セキュリティを始めとし、専門知識が無いと理解の難しい事項
   が少なくありません。そのため、各要件を曲解したり、拡大解釈してしまいやらなければな

   らない対策が不十分であったり、逆にやり過ぎてしまう恐れがあります。

  (年1回、QSAが実施する訪問審 査時においても多大な苦労を強いられてしまいます)

 

PCI DSS認証取得支援 PCIDSSの要件

GSXコンサルティングの特色

point1

無駄なく低コストでPCI DSS準拠認定を支援します。

◆ 費用対効果を考慮し、特に重要でリスクの高いシステムを対象として認定スコープを選定

◆ 製品導入ありきでない、代替コントロールの選択による工夫

point2

先進のコンサルティング経験に基づき支援します。

◆ カード会社向けPCI DSS整備支援実績によるノウハウ

point2

PCI DSS検討段階からの各種コンサルティング(スコープ選定、PCI DSS関連セミナー、初期アセスメント等)、システム実装等の対応実施支援、スキャニングサービス、ペネトレーションサービス及び訪問審査までをワンストップで提供します。

◆ GSX(弊社)

   コンサルティング及びプロジェクトマネジメント

◆弊社提携ベンダー

   システム実装

◆QSA

   訪問審査(準拠認定)

 

※QSAはコンサルティングに直接関与しないことにより、認定/認証業務の公平性、客観性、独立性を確保するのが原則です。

PCI DSS認証取得支援

構築ステップ

step1

現状調査
文書・記録調査及び関係者へのヒアリングを行う。

step2

PCI DSS整備計画の提示
PCI DSSの要求事項に対して追加で対応すべき事項を洗い出し、対応方法及び担当部署の案をまとめた「PCI DSS整備計画」を提示する。

step3

PCI DSS準拠認定スコープ設定
現状調査の結果をもとに、貴社のカード情報取り扱いに関するリスクを考慮の上、準拠認定のための適切なスコープを設定する。

step4

システム構築(実装)
PCI DSS要件を満たすセキュリティ製品の選定・導入・実装について、弊社提携ベンダーと共同でシステム構築全般を支援する。

step5

訪問審査対応
QSAによる訪問審査の準備について助言やレビューを行う。また、審査当日の対応や、指摘事項への対応についても助言する。

導入後の効果・メリット

PCI DSS認証取得支援を利用していただくことにより、下記のメリットがあります。

無理・無駄がなく、貴社に最適なPCI DSS運用プロセスを確立することができます。

導入・運用コストの問題を解決することができます。

 ◆本当に必要かつ貴社に最適な製品を導入できます。
 ◆次年度から自社でPCI DSSを運用することが可能となります(内製化)。

毎年の訪問審査が円滑に対応することができます。

 ◆PCI DSSの対象範囲(スコープ)が明確になります 。
 ◆PCI DSSの年間運用スケジュールが確立できます。
 ◆実装した管理策を適切にコントロールすることができます。
 ◆審査機関(QSA)と有効なコミュニケーション が図れます。

Q&A

Q1

キックオフからPCI DSS準拠認定まで、どの程度の期間がかかりますか。

A1

要求事項の対応完了後に、QSAによる訪問審査を受ける必要があります。そのため、対応内容

(現状の過不足)やスコープの規模により期間は大きく異なりますが、一般的には8ヶ月~1年程度です。

Q2

既に取得済みのISMSや、プライバシーマーク等の認証スキームとの関係はどうなりますか。

A2

ISMSとの統合認証が可能です。また、Pマークやその他、貴社における既存の取組みを活かしながら、PCI DSS準拠認定に向けたコンサルティングを実施します。

Q3

関係者の負担は、どの程度ですか。

A3

事務局2~3名が作業を分担する想定で、各自業務時間の2~3割程度となります。各システムの担当者については、必要な対応内容によって大きく異なります。