決済セキュリティ:決済取引におけるPCI DSS認証
決済カード情報への侵害を防止し全関連団体に最適な保護手段を提供するため、クレジットカードブランドは決済カードおよび取引情報の取り扱いに関する安全基準を導入しました。決済カード業界データセキュリティ基準またはPCI DSSと呼ばれる本基準は、銀行(イシュアおよびアクワイアラ)、決済サービスプロバイダ、ホスティングプロバイダ、加盟店、そして決済アプリケーションプロバイダに対して等しく適用されます。PCI DSS基準への適合性は定期的に検証されます。PCI DSS認証証明を提示できない当事者には、決済カード情報の取り扱いが許可されません。
弊社はセキュリティ対策に関する包括的なアドバイス、事前準備、監査および検証の提供を通じ、PCI DSS認証のすべての要件について貴社をサポートします。PCI DSS基準を満たした場合、テュフズードはPCIに認定された認証機関として貴社にテュフズード認証マークおよびクレジットカードブランドが要求するすべてのエビデンスを提供します。サービスプロバイダ、ソフトウェア製造業者、加盟店、アクワイアラのそれぞれについて、PCI DSSやPA DSSのさまざまな要件およびセキュリティ評価手順に従う必要があります。業種に特化したサービスについての詳細は以下を参照してください。
PCI認証とは
PCI基準には、カード会員情報の保存、処理および送受信に関する技術的および組織的な要求事項が定義されています。これらの基準は、決済カードの処理に関係するすべての当事者に対して適用されます。また、PCI標準はインフラ、データセンターおよびその他のセキュリティ関連設備の運用または提供に関わる組織にも適用されます。PCIに準拠するため、各組織は一定の基準を満たしたうえで適切な証明を提示する必要があります。
PA DSS認証は決済ソフトウェアの製造業者のみに適用されるため(決済アプリケーションセキュリティ基準)、弊社はPA DSS認証とPCI DSS認証とを明確に区別しています。
ひとめでわかるPCI要求事項
PCI認可要求事項は、12条項から構成される基準により規定されています。顧客および加盟店と相互信頼関係を確立するためには、これらすべての要求事項を遵守し定期的に検証する必要があります。個々のPCI要求事項は以下の通りです:
-
カード会員データを保護するためのファイアウォール構成の導入およびメンテナンスを実施すること。
-
システムパスワードおよびその他のセキュリティパラメータにベンダー提供の既定値を使用しないこと。
-
保存されたカード会員データの保護すること。
-
カード会員データおよびその他の機密情報をオープンな公共ネットワークを介して送信する際には暗号化すること。
-
ウイルス対策プログラムを使用し、定期的に更新すること。
-
安全なシステムおよびアプリケーションを開発し、維持すること。
-
カード会員データへのアクセスは、「Need to know」の原則に従って制限すること。
-
コンピューターにアクセスする各個人には、明確なユーザー認証を割り当てること。
-
カード会員データへの物理的なアクセスを制限すること。
-
カード会員データおよびネットワークリソースへのすべてのアクセスに対して包括的な追跡および監視を実施すること。
-
システムおよび工程に関するセキュリティについて定期的に検査すること。
-
情報セキュリティポリシーを遵守し、維持すること。
テュフズードのサービス:PCI認証およびコンプライアンス
貴社が常にPCI基準に準拠し、最高水準のセキュリティ対策のもとで事業にあたれるよう、弊社はPCI DSS認証およびPA DSS認証に必要なソリューションならびに数々の関連サービを提供しています。厳選されたサービスには以下が含まれます。
• PCI DSS準拠に関するすべての問題および手順に関する技術的助言
• セミナー、トレーニングおよびワークショップ
• 加盟店、サービスプロバイダおよびアクワイアラ向けに各適合要求事項に関する効率的な証明を可能にするポータルサイト
• 認定セキュリティ評価者 (QSA)による現地監査
• 認証スキャンベンダー(ASV)としての脆弱性調査
• 啓発トレーニング(eラーニング)
• PCI自己評価質問票(SAQ)の完成に向けたサポート
• 認証取得した組織に対するテュフズード認証マーク
カテゴリーごとの要求事項
サービスプロバイダと加盟店との区別は困難な場合もあるため、PCI要求事項およびカテゴリー分類についてはこちらで丁寧にアドバイスいたします。
加盟店
標準化された脆弱性スキャン(ASV) から加盟店のコンプライアンスを包括的にサポートするポータルサイトおよび個別アドバイスまで、弊社は加盟店に対してPCI DSSコンプライアンスの達成に必要なすべてのソリューションを提供し、、そしてそれにより加盟店はPCI DSS認証を取得します。さらに詳しくは.
アクワイアラ
テュフズードではPCI DSS認証で必要となるレポートタスクおよびその他の要求事項への対応を簡単にできるアクワイアラ向けの包括的なポータルサイトの提供を通じ、アクワイアラ自身だけでなく、加盟店およびサービスプロバイダに対してもエンドツーエンドでPCI DSSコンプライアンスを満たせるようサポートします。貴社の認定加盟店に対しても、弊社は包括的なサポートおよび使いやすい加盟店用コンプライアンスポータルサイトの提供を通じ、効率的にPCIDSS要求事項を満たし、エビデンスの提出をサポートします。さらに詳しくは
製造業者
ソフトウェア製造業者に対しては、PA DSSの認証に関する統合ソリューションを提供します。各段階において貴社の立場に立った個別のアドバイスや必要なセキュリティ監査を通じてサポートします。さらに詳しくは
サービスプロバイダ向け
決済サービスプロバイダ、クラウドまたはホスティングプロバイダに対しては、PCI DSS認証に向けたPCI基準に関する詳細なアドバイス、包括的な監査、セミナーおよびトレーニング、そして数多くの建設的なソリューションを提供します。さらに詳しくは
テュフズード-PCIに関するすべての疑問に応える認証機関
弊社のソリューションはPCI DSS基準に関するすべての領域をカバーし、PCI認証への貴社の道のりをサポートします。弊社の情報セキュリティ分野におけるノウハウ、および決済カード業界における経験により、貴社の決済セキュリティが安全な側にいることをお約束します。弊社の包括的なサービスを受けることで、効果的なセキュリティシステムの実装が実現します。
銀行や対面取引、非対面取引分野にまたがる金融および決済関連の顧客リストをご覧になれば、弊社の決済セキュリティに関する豊富な経験がお分かりいただけるでしょう。
PCI DSS基準は業界標準として決済カードの処理に関わるすべての組織をサポートするとともに、GDPR(一般データ保護規則)が要求するコンプライアンス達成への足掛かりともなります。
PCI評議会による認定
PCISSCおよび決済ブランドによる認定を受けているため、弊社はPCI認証への過程およびPCI認定証の発行におけるすべての側面において貴社を支援することができます。弊社は以下の範囲を含む認証サービスを提供します:
- 認定セキュリティ評価機関(QSAC)
- 認定スキャンベンダー (ASV)
- 認定決済アプリケーションセキュリティ評価者(QPASA)
