PCI DSSに準拠していることを確認するための方法として、QSA(認定審査員)による訪問審査を受ける方式とは別に、SAQ(Self Assessment Questionnaire)と呼ばれるセルフチェック(自己問診)形式での準拠確認方法があります。NRIセキュアでは、QSA審査員の資格を持つセキュリティコンサルタントがSAQタイプの判定から準拠状態の確認までを支援します。
決済手段の1つであるクレジットカードの利用にあたって、加盟店・イシュア・アクワイアラ・サービスプロバイダ等のクレジットカードを取り扱う事業者は、取り扱う情報やサービスによって、PCI Security Standards Council (PCI SSC)に定められたPCI基準に準拠する必要があります。
NRIセキュアでは、クレジットカード決済のセキュリティに関するコンサルティングから、PCI基準の準拠まで一貫して課題解決を支援します。NRIセキュアは、クレジットカード会員データを安全に取り扱うことを目的として制定されたセキュリティ基準である、PCI DSS(Payment Card Industry Data Security Standards)の審査資格であるQSAのほかに、P2PE QSA、3DS Assessor、QPA、CPSA、ASVの認定を取得しており、様々な事業者様に対して一貫して課題解決のための支援が可能です。
クレジットカード取り扱い事業者は非保持化対応または各種PCIの認定に準拠する必要があります。NRIセキュアでは下記のサービスを提供しており、各事業者様のニーズにあわせて様々な支援が可能です。
キーワード |
NRIセキュア提供サービス |
加盟店 |
アクワイアラ |
サービス |
イシュア |
カード製造 |
PCI DSS |
〇 |
- |
〇 |
〇 |
- |
|
〇 |
〇 |
〇 |
〇 |
- |
||
〇 |
〇 |
〇 |
〇 |
- |
||
PCI P2PE |
- |
- |
〇 |
- |
- |
|
PCI 3DS |
- |
- |
〇 |
〇 |
- |
|
PCI CP |
- |
- |
〇 |
- |
〇 |
|
PCI PIN Security |
- |
〇 |
〇 |
- |
- |
|
ASV(診断) |
〇 |
〇 |
〇 |
〇 |
〇 |
|
非保持化 |
〇 |
- |
- |
- |
- |
PCI DSS SAQ対応支援コンサルティング
PCI DSSに準拠していることを確認するための方法として、QSA(認定審査員)による訪問審査を受ける方式とは別に、SAQ(Self Assessment Questionnaire)と呼ばれるセルフチェック(自己問診)形式での準拠確認方法があります。NRIセキュアでは、QSA審査員の資格を持つセキュリティコンサルタントがSAQタイプの判定から準拠状態の確認までを支援します。
PCI DSS対策基準書
PCI DSS対策基準書は、これまで数多くのカード会社や加盟店のPCI DSS準拠を支援してきたNRIセキュアの知見を活かし、PCI DSS v4.0で求められている各要件を網羅的に集約したものです。
PCI DSS要件で求められているセキュティ基準を1文書にまとめた対策基準書と証跡類(運用記録や台帳等)のひな型を提供いたします。
PCI DSS 準拠支援コンサルティング/審査
PCI DSSはクレジットカードを取り扱う全ての事業者が対象となっており、PCI DSSに準拠するためには、安全なネットワーク構築、カード会員データの保護、脆弱性管理、アクセス制御、ネットワークの監視とテスト、情報セキュリティポリシーに関する12の要件を完全に満たすことが要求され、準拠状況はQSA(Qualified Security Assessor:認定セキュリティ評価機関)による訪問審査によって判定されます。
NRIセキュアでは、情報セキュリティに関わる多くの実績・ノウハウや、認定審査機関(QSA)としての立場を活かし、PCI DSSが求める12要件を満たすための効果的な対策の実施から訪問審査までワンストップで支援します。
PCI P2PE 準拠支援コンサルティング/審査
P2PEソリューションは、対面決済において、カードリーダ(決済端末)で読み取ったクレジットカード番号を暗号化し、P2PEソリューションプロバイダの提供する復号環境に伝送するためのソリューションであり、P2PEソリューションを提供する事業者はPCI P2PEの認定の対象となります。対面加盟店では、PCI P2PE認定済みのP2PEソリューションを利用することで、PCI DSS準拠のための負荷が大幅に軽減されます。
NRIセキュアでは、QSA(P2PE)資格を保有する専門審査員にて、PCI P2PEに準拠するためのコンサルティング支援から、訪問審査、認定登録支援までワンストップでお客様を支援します。
PCI 3DS準拠支援コンサルティング/審査
3Dセキュアはオンラインショッピングに代表される非対面でのクレジットカードを用いた決済時に、不正取引を防止する本人認証手法であり、PCI 3DSは 3Dセキュアシステムを構築・提供するサービス事業者(サービスプロバイダ)が準拠の対象となります。非対面決済の増加により、不正利用額も増加の傾向にあり、3Dsecureによる本人認証の重要性は増しています。
NRIセキュアでは、3DS Assessor資格を保有する専門審査員にて、PCI 3DSに準拠するためのコンサルティング支援から、訪問審査、認定登録支援までワンストップでお客様を支援します。
PCI CP準拠支援コンサルティング/審査
PCI CPはプラスチック製のクレジットカードの製造に加えて、スマートフォンやスマートウォッチなどの端末にカード情報を登録する「モバイルプロビジョニング」におけるセキュリティ要件がまとめられており、カード製造やモバイルプロビジョニングに関わる事業者はPCI CPの準拠の対象となります。
NRIセキュアでは、CPSA資格を保有する専門審査員にて、PCI CPに準拠するためのコンサルティング支援から、訪問審査までワンストップでお客様を支援します。
PCI PIN Security準拠支援コンサルティング/審査
PCI PIN SecurityはPINコードの入力・伝送や証明書・暗号化鍵を取り扱う事業者等向けの基準であり、PINを扱う、ATM事業者、アクワイアラ(加盟店契約会社)、スイッチング事業者、決済サービス事業者が準拠の対象となります。
NRIセキュアでは、QPA(Qualified PIN Assessor)資格を保有する専門審査員にて、PCI PIN Securityに準拠するためのコンサルティング支援から、訪問審査までワンストップでお客様を支援します。
PCI DSS 準拠/維持支援スキャンサービス
クレジットカード業界のセキュリティ基準であるPCI DSSやPCI CPでは、四半期ごとの脆弱性スキャンの実施が求められており、そのうち、外部ネットワーク(インターネット)に面しているシステムの脆弱性スキャンについては、PCI SSCによって認定されたASV(Approved Scanning Vendor)による実施が義務付けられています。NRIセキュアはPCI SSCからASVとして認定を受けているため、お客様は本サービスを利用してご自身のシステムの安全性を確認することでPCI DSS、PCI 3DS、PCI CP等で必要とされる要件を満たすことが可能となります。
NRIセキュアでは、診断のスペシャリストが、各基準に対応するための診断を実施いたします。また、認定スキャンだけでなく、ペネトレーションテスト、Webアプリケーション診断、無線LAN調査など各種診断メニューもそろえており、ワンストップでお客様を支援します。
非保持化支援コンサルティング
クレジットカードを取り扱う加盟店は、 2018年6月に改正施行された割賦販売法(改正割販法) により、カード情報の安全管理が義務付けられました。具体的には、クレジット取引セキュリティ対策協議会により提示されたクレジットカード・セキュリティガイドラインおいて、「PCI DSS」またはクレジットカード情報を独自で持たない「非保持化」対応を実施するよう求められています。
NRIセキュアでは、「非保持化」対応をするためには何をすればよいのか、QSA審査員の資格を持つセキュリティコンサルタントが、お客様の状況を確認しながら「非保持化」の対策を支援します。