PCI DSS認証取得支援/審査サービス

QSAの立場を活かした効率的な認証取得をサポート

サービス概要

導入事例 JTBグループ様

PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報、および取引情報を安全に保護することを目的に策定した基準です。
PCI DSSへの準拠は、加盟店、決済代行業者などのクレジットカード情報を取り扱う事業体が求められており、対象事業体は、ネットワークのセキュリティ、カード会員データの保護、脆弱性管理、アクセス制御、情報セキュリティ・ポリシーに関する12の要件に対応することが求められます。

PCIデータセキュリティ基準 - 概要
安全なネットワークと
システムの構築と維持
  • 1. カード会員データを保護するために、ファイアウォールをインストールして維持する
  • 2. システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
カード会員データの
保護
  • 3. 保存されるカード会員データを保護する
  • 4. オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
脆弱性管理プログラム
の維持
  • 5. マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する
  • 6. 安全性の高いシステムとアプリケーションを開発し、保守する
強力なアクセス制御
手法の導入
  • 7. カード会員データへのアクセスを、業務上必要な範囲内に制限する
  • 8. システムコンポーネントへのアクセスを識別・認証する
  • 9. カード会員データへの物理アクセスを制限する
ネットワークの定期的な監視およびテスト
  • 10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
  • 11.セキュリティシステムおよびプロセスを定期的にテストする
情報セキュリティポリシーの維持
  • 12.すべての担当者の情報セキュリティに対応するポリシーを維持する

インフォセックは、認定審査機関(QSA)としての視点から現状分析、準拠対応を効果的かつ効率的に支援します。

サービスラインナップ/メニュー①

現状分析サービス

  • 現状調査
    カード会員データを保存/処理/伝送するシステム、および取引データの転送経路を把握し、PCI DSSコンプライアンス適用範囲を特定します。
  • ギャップ分析
    ヒアリング、チェックシート、文書レビューおよび実地確認により現状を把握し、適用範囲における規格要求事項との差分を抽出します。
  • 改善計画策定
    ギャップ分析の結果に基づき、改善点の洗い出しと優先順位付けを実施し、改善計画案(方針、期間、費用等含む)を策定します。

サービスラインナップ/メニュー②

準拠支援サービス

  • 改善/対策実施支援
    改善計画に基づき、対象システムへの要件実装や文書種類の整備等、規格準拠へ向けた各種対策の実施をご支援します。
  • 準拠状況確認
    準拠対応完了後、準拠状況を再点検、審査準備を行います。
    *認証取得済み組織へ向けた資格の維持・継続、更新審査へのご支援にも対応します。
    *準拠対応時に必要なソリューション導入および構築支援も行っています。
      詳細については別途お問い合わせ下さい。

サービスラインナップ/メニュー③

審査サービス

QSA資格を保有する専門審査員がPCI DSS12要件の準拠状況を訪問審査を行い、確認します。

PCI DSS認証取得支援/審査サービスは、
JASAの「情報セキュリティサービス基準適合サービスリスト」に登録されています。

018-0011-10

情報セキュリティサービスマークについて

特長

インフォセックの強み

  • QSA(認定審査機関)としての信頼性
    PCI SSC認定のコンサルタントが、審査機関の視点からチェックするポイントを指摘します。
    QSA(Qualified Security Assesor)としての審査ができるため、ご要望に応じ、対策実施から訪問審査までワンストップでのサービス提供が可能です。
  • 経験豊富なコンサルタントが対応
    これまで実施したPCI DSS認証取得支援で得たノウハウを提供。
    現状分析サービスで洗い出されたタスクは、審査時確認項目との関連を考慮した確立されたプロセスにより各組織に応じた 無理・無駄のない対策推進をご支援します。
  • リスクマネジメント専門企業としての卓越した知見
    ISMS(ISO/IEC27001)、PMS(JIS Q 15001)等、規格に基づく認証取得支援での多くの実績に裏打ちされた、規格準拠・認証取得のためのノウハウをご提供します。
    体制整備、ポリシー策定から文書化支援、監査、運用改善支援まで、確立されたプロセスにより、各組織に応じた無理・無駄のない対策推進をご支援します。
  • 柔軟かつ幅広い対応が可能な支援体制
    セキュリティ診断やウェブアプリケーションソースコードレビューの豊富な経験に基づき、認証取得後の資格維持も継続的にご支援します。また、技術的支援のみならず、マネジメントシステム構築、監査、教育支援等、組織のリスクマネジメントをあらゆる面から支えるインフォセックだからこそ、各組織が求める到達点までの道のりをトータルにサポートします。

導入フロー

現状分析から審査まで、組織の特性・要望に応じ、柔軟に対応します。

現状分析から審査まで、組織の特性・要望に応じ、柔軟に対応

サンプル

現状分析サービス時/報告書

現状分析サービス時/報告書