オンライン、オフライン、またはその他のチャネルを通じて、クレジット、デビット、またはその他のカードを介してあらゆる種類の支払い取引を行う企業は、特に PCI DSS 認定および準拠していない場合、サイバー犯罪のリスクにさらされます。悪意のある攻撃者は常に、このような機密性の高い機密情報 (CHD/SAD) を直接の盗難や詐欺の対象とします。あなたの会社が加盟店として決済エコシステムに参加している場合、処理業者またはこれらの会社にサービスを提供している場合も、さまざまな種類のサイバー攻撃の被害に遭う可能性があります。これらのリスクを軽減するために、Payment Card Industry (PCI) Security Standards Council (SSC) は、企業と消費者の使用を保護するための多数のセキュリティ標準に対する管理を確立しました。 PCI SSC 標準について詳しくは、こちらをご覧ください。
評価の高いセキュリティ規格の 1 つが PCI DSS です。 Payment Card Industry Data Security Standard (PCI DSS) は、Visa、Mastercard、JCB、American Express、Discovery などの主要なカード ブランドが推奨する、広く受け入れられている世界標準です。
PCI DSS 標準には、クレジット カード、デビット カード、現金取引のセキュリティを最適化し、カード所有者を個人情報の悪用から保護するための一連のポリシーと手順が含まれています。PCI DSS は、加盟店、処理業者、支払人、発行者、サービス プロバイダーなど、ペイメント カード取引に関与するすべてのエンティティに加え、カード所有者データ (CHD) や機密認証データ (SAD) を保存、処理、送信するその他のすべてのエンティティに適用されます。 )。
ほぼすべてのペイメント カード ブランドは、さまざまなセキュリティ プログラムで定義されたレベルに従って、少なくとも毎年 PCI DSS コンプライアンスを施行しています。組織は、カード会員データ環境の安全性を確保するために、PCI DSS 標準の 6 つの管理目標にまたがる 12 の中核要件を実装する必要があります。 PCI DSS 4.0 コア 12 要件について詳しくは、こちらをご覧ください。
販売業者およびサービス プロバイダーは、該当する自己評価アンケート (SAQ) またはそのレベルの認定セキュリティ評価者によるオンサイト評価に記入することで、PCI DSS 準拠を報告できます。当社のブログ「販売者とサービスプロバイダーのさまざまなレベルを理解する」をお読みください。
PCI DSS 4.0 は、2022 年 3 月 31 日に PCI Council によって導入された最新バージョンです。すべてのユニットが 3.2.1 から 4.0 に移行するには 2 年間、つまり PCI DSS 3.2.1 認定を受けている場合は 2024 年 3 月に移行する必要があります。
私たちが提供するもの: 強力なセキュリティ管理を実装する鍵は、適切な範囲を決定し、コンプライアンスとセキュリティの違いを認識し、適切な管理を実装する際に後者へのコンプライアンスを維持することにあります。
- ビジネスの理解: ビジネス プロセスと環境を評価して、スコープ要素を理解します。
- スコープの最終決定: スコープの要素を最終決定し、要件文書を準備します。
- 準備状況の評価: リクエストの実装中に発生する可能性のある潜在的な課題を特定します。
- リスク評価: 情報セキュリティ状況におけるリスクを特定し、分析します。
- データ フローの評価: 徹底的なシステム分析を実施して、データ フローと漏洩の可能性を評価します。
- 文書サポート: 証拠の認証や収集に役立つポリシーと手順のリストを提供します。
- 修復サポート: コンプライアンスの課題に対する解決策を推奨することでサポートします。
- 意識向上トレーニング: チームと参加者向けに意識向上セッションを実施します。
- スキャンとテスト: 強力なテスト方法を使用して、システム内の重大な脆弱性を特定します。
- 証拠のレビュー: 収集された証拠をレビューして、コンプライアンスと一致した完全性を評価します。-
最終監査と認証: 監査が成功した後、監査チームによるコンプライアンスの認証をお手伝いします。
- 継続的なコンプライアンス サポート: ガイダンスを提供することで、コンプライアンスの維持を支援します。
よくある質問
PCI コンプライアンス チェックリストとは何ですか?
PCI コンプライアンス チェックリストは、組織が Payment Card Industry Data Security Standard (PCI DSS) の要件を確実に満たしていることを確認するのに役立つツールです。チェックリストには通常、企業がコンプライアンスを達成するために従う必要がある要件とベスト プラクティスのリストが含まれています。PCIコンプライアンスとは何ですか??PCI コンプライアンスとは、クレジット カード情報を安全に取り扱うために企業や組織が満たさなければならない一連の要件を指します。 Payment Card Industry Data Security Standard (PCI DSS) は、クレジット カード詐欺やデータ侵害から保護するために、主要なクレジット カード会社によって確立された一連のセキュリティ標準です。
CHDとSADの違いは何ですか?
アカウント データは 2 つのデータ グループに編成されます。 1) カード所有者データ (CHD) 2) 機密認証データ (SAD)。 CHD には次のものが含まれます
