EN

メールマガジン登録
お役立ち資料
TOP
SERVICE & SOLUTION
CASE STUDY
SEMINAR
BLOG
NEWS
COMPANY
RECRUIT
セキュリティ用語解説
目的・課題テーマから探す
お問い合わせ
SERVICE & SOLUTION
セキュリティ用語解説
目的・課題テーマから探す
マップから探す
COMPANY
consulting-hero-bg

PCI DSS SAQ対応支援コンサルティング

PCI DSSの審査経験を持つコンサルタントがSAQタイプの判定から準拠可否のチェック
まで、お客さまのセルフチェックを支援します。

お問い合わせ

こんな課題ありませんか?

icon_01

自社のサービスがどのSAQタイプに
該当するか分からない

icon_02

要求事項の理解が難しい

icon_03

SAQタイプの判定から準拠可否の
チェックまでだけを手伝ってほしい

security_management-image

PCI DSSに準拠しているかセルフチェック方式で確認

PCI DSSに準拠していることを確認するための方法として、QSA(Qualified Security Assessor:認定審査員)による訪問審査を受ける方式とは別に、SAQ(Self Assessment Questionnaire)と呼ばれるセルフチェック形式での準拠確認方法も選択可能です。

SAQは、サービスの業態やカード情報の取り扱い形態によって準拠タイプが分類されており、自社に合致したSAQタイプで準拠状況を確認する必要があります。
reason

お客様に選ばれる理由

1

PCI SSCによるQSA認定企業

PCI SSCによる認定を受けたプロフェッショナルが、SAQのタイプの選定、対策の実施、評価に至るまで支援を行います。

2

決済セキュリティ対策支援の豊富な実績とノウハウ

弊社はこれまでに規模・業種を問わず、SAQについて豊富な支援実績を有しています。また、PCI DSS以外にも決済セキュリティに関する国内トップクラスの豊富な知見と実績があり、企業の決済セキュリティ対策を総合的に支援いたします。

3

NRIグループとしての総合力

あらゆる分野のプロフェッショナルによるバックアップが可能で、お客様の課題に合わせて最も効果的な体制で支援します。

SAQ(自己問診)によるPCI DSS準拠確認の流れ

  1. STEP

    1

    SAQタイプの判別

  2. STEP

    2

    準拠に向けた対策実施

  3. STEP

    3

    準拠の確認(自己問診の実施)

提供メニュー

自社のサービスがどのタイプに当てはまるのかを判定し、求められている要求事項を理解した上でセルフチェック(自己問診)をすることが難しい場合は、QSA審査の経験を持つコンサルタントがSAQタイプの判定から準拠可否のチェックまで、セルフチェックを支援します。

SAQタイプ判定支援

サービス形態やシステム、カード情報の取扱い状況などを確認し、どのSAQタイプに当てはまるか確認の支援をします。セキュリティコンサルタントが確認することで、実施するべき必要なセキュリティ対策に合致した正しいSAQタイプを判定できます。

加盟店は、サービスを提供する業態と、クレジットカード情報の取扱い形態によってタイプが分けられています。サービスプロバイダーは、カード情報の取扱い形態に関わらずSAQ Dとなります。

タイプ 加盟店の業態 カード情報の取扱い形態
A
  • 決済サービスプロバイダ(PSP)のリンク(リダイレクト)型の決済サービスを使用するEC加盟店
  • カード情報の全ての処理を外部委託するEC/通信販売加盟店
 ECまたは通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない
A-EP
  • 決済サービスプロバイダ(PSP)のJavaScript型の決済サービスを使用するEC加盟店
 ECの決済をPCI DSS準拠済みのサービスプロバイダに部分的に委託しているECの加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない
B
  • CCTなどの決済端末をダイアルアップ接続する主に対面加盟店
 インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。
B-IP
  • CCTなどの決済端末をIP接続する主に対面加盟店
 決済ネットワークまたはASP/クラウド事業者にIP接続されるスタンドアロン型のPCI PTS認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。
C-VT
  • 電話やハガキ/FAXでカード処理する主に通信販売加盟店
 Webブラウザなどの仮想端末のみでインターネットを経由して、1件ずつカード情報を処理し、カード情報をコンピュータシステムに保存しない。決済に利用するWebアプリケーションはPSP、アクワイヤラーなどサードパーティから提供される必要がある。
C
  • POSをインターネットに接続してカード処理する主にPOS加盟店
 POSシステムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない
D
  • 決済サービスプロバイダ(PSP)のモジュール(プロトコル)型を使用するEC加盟店
  • カード情報をサーバやPCで保存するPOSや通信販売加盟店
  • カード情報をPOSシステムで通過、処理、保存する加盟店
  • 他のSAQタイプに当てはまらない全ての加盟店
  • カード情報を自社のサーバで処理する
  • カード情報を電子形式で保存する
  • カード情報を電子形式で保存しないが他のSAQタイプの基準を満たさない
  • 他のSAQタイプを満たす環境にあるが、自社の環境に他のPCI DSS要件が適用される
P2PE
  • PCI P2PEソリューションを導入した主にPOS加盟店
 PCI P2PEに認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない。

SAQ対策実施・検討支援

セルフチェックで基準に準拠するためには、自社のシステムや業務の環境を確認し、要求事項を満たしているか、あるいは改善が必要かを判断し対策をとる必要があります。要求事項を満たすためには何をすべきか、セキュリティコンサルタントが確認して支援を実施します。また、必要な対策を取るためのソリューション紹介やアドバイスも行います。

SAQ実施確認支援

PCI DSSの要求事項に沿ってセキュリティ対策ができていることを確認するためのセルフチェックおよび準拠証明書の作成について、弊社QSA審査員がサポートします。加えて、SAQ実施確認として、準拠証明書にQSA審査員の支援を示す署名をします。

料金

個別見積もりとなります。
その他、ご要望に応じて個別メニューも承りますので、詳細はお問い合わせください。

よくある質問

Q. 支援期間はどのくらいですか?
A.

サービスの規模、SAQの種類、支援内容にもよりますが、SAQ実施確認支援であれば標準で2-3か月程度となります。ご支援内容とお客様の希望に応じて、適切な支援期間をご提案します。
Q. どのような企業を対象としたサービスですか?
A.

クレジットカードを取り扱う事業者様が対象となります。