PCI 3DS準拠のためのコンサルティングから
訪問審査までをワンストップで支援
3DS Assessorを保有する専門審査員にサポートをお願いしたい
自社がPCI 3DSの準拠準備が整っているのか自信がない
PCI 3DSへの準拠支援から審査までをまとめて受けたい
PCI 3DS準拠のためのコンサルティングから訪問審査までをワンストップで支援
インターネット上で行われる非対面取引では、クレジットカードによる決済の利便性が高いと言われる反面、不正使用のリスクが潜んでいます。カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり、「3Dセキュア」もそのひとつです。
クレジット取引セキュリティ対策協議会が策定する「実行計画」における対策の3本柱のひとつに「ECにおける不正使用対策」があげられ、ネットでなりすましをさせないための「多面的・重層的な不正使用対策の導入」がうたわれています。また、「クレジットカードセキュリティガイドライン」には、検討事項として本人認証の強化策となる「EMV 3-D セキュアの導入(3-Dセキュア2.0以上の導入)」も含まれています。
| Part1 要件区分 | 概要 |
|---|---|
| P1-1: 運用保守要員のためのセキュリティポリシーの整備 |
組織のセキュリティ方針を確立、かつ文書化し、関係者全員に配布する。 |
| P1-2: 安全なネットワーク接続 |
不正アクセスや脅威から3DSシステムを保護する。 |
| P1-3: 安全なシステムの開発と維持 |
3DEでアプリケーションおよびシステムを開発し、展開するために必要な技術を適用する。 |
| P1-4: 脆弱性管理 |
優れた脆弱性管理プログラムを導入する。 |
| P1-5: アクセス管理 |
強力なアクセス制御により、不正なアクセスからシステムやデータを保護する。 |
| P1-6: 物理セキュリティ |
強力な物理的アクセス制御により、不正な人物が3DSシステムに物理的にアクセスすることを防止する。 |
| P1-7: インシデント対応準備 |
インシデント対応および潜在的な脅威へ対応する。 |
| Part2 要件区分 | 概要 |
|---|---|
| P2-1: スコープの妥当性 |
PCI 3DSの対象となる全てのネットワークおよびシステムコンポーネントを特定し、文書化および検証する。 |
| P2-2: セキュリティガバナンス |
3DEおよび関連プロセスの保護のためにリスク管理や責任の割当てを行う。 |
| P2-3: 3DSのシステムとアプリケーションの保護 |
3DSシステムおよび3DEをサポートするアプリケーションを保護する。 |
| P2-4: 3Dセキュアシステムへの安全な論理アクセス |
3DSシステムおよび環境への論理的アクセスを保護する。 |
| P2-5: 3Dセキュアのデータ保護 |
3DS dataを保護する。 |
| P2-6: 暗号化と鍵管理 |
3DSエンティティの鍵管理およびHSMを保護する。 |
| P2-7: 3Dセキュアシステムの物理的安全性 |
データセンター環境でACSおよびDSシステムコンポーネントを保護し、3DEに対して技術的および運用面でのセキュリティを導入する。 |
1
PCI SSCによる認定を受けたプロフェッショナルが、コンサルティングから訪問審査に至るまでトータルでサポートします。
2
業界のトップグループに対して、これまでに様々なタイプのPCI系セキュリティ基準(PCI P2PE/PCI DSS/PCI TSP 等々)に対する準拠支援を数多く行っており、実態に則した進め方のノウハウを保有しております。お客様固有のシステム環境やセキュリティ事情を踏まえた、現実的な方針案をご提示します。
3
情報セキュリティを基軸としながら、あらゆる分野のプロフェッショナルによるバックアップが可能で、お客様の課題に合わせて最も効果的な体制で支援します。
