お問い合わせ
Nri Secure

PCI DSS SAQ対応支援コンサルティング

PCI DSS*1審査員(QSA*2)の支援なしで、
自己問診(SAQ*3作成)を自社で実現

概要

PCI DSSに準拠していることを確認するための方法として、QSA(認定審査員)による訪問審査を受ける方式とは別に、SAQ(Self Assessment Questionnaire)と呼ばれるセルフチェック(自己問診)形式での準拠確認方法もあります。

SAQは、サービスの業態やカード情報の取扱い形態によってタイプが分けられており、自社に合致したSAQタイプで準拠状況を確認する必要があります。

SAQタイプ

加盟店は、サービスを提供する業態と、クレジットカード情報の取扱い形態によってタイプが分けられています。
サービスプロバイダーは、カード情報の取扱い形態に関わらずSAQ Dとなります。

タイプ 加盟店の業態 カード情報の取扱い形態 準拠項目数
A ・決済サービスプロバイダ(PSP)のリンク(リダイレクト)型の決済サービスを使用するEC加盟店
・カード情報の全ての処理を外部委託するEC/通信販売加盟店		 ECまたは通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない 24
A-EP ・決済サービスプロバイダ(PSP)のJavaScript型の決済サービスを使用するEC加盟店 ECの決済をPCI DSS準拠済みのサービスプロバイダに部分的に委託しているECの加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない 192
B ・CCTなどの決済端末をダイアルアップ接続する主に対面加盟店 インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。 41
B-IP ・CCTなどの決済端末をIP接続する主に対面加盟店 決済ネットワークまたはASP/クラウド事業者にIP接続されるスタンドアロン型のPCI PTS認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。 87
C-VT ・電話やハガキ/FAXでカード処理する主に通信販売加盟店 Webブラウザなどの仮想端末のみでインターネットを経由して、1件ずつカード情報を処理し、カード情報をコンピュータシステムに保存しない。決済に利用するWebアプリケーションはPSP、アクワイヤラーなどサードパーティから提供される必要がある。 84
C ・POSをインターネットに接続してカード処理する主にPOS加盟店 POSシステムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない 161
D ・決済サービスプロバイダ(PSP)のモジュール(プロトコル)型を使用するEC加盟店
・カード情報をサーバやPCで保存するPOSや通信販売加盟店
・カード情報をPOSシステムで通過、処理、保存する加盟店
・他のSAQタイプに当てはまらない全ての加盟店		 ・カード情報を自社のサーバで処理する
・カード情報を電子形式で保存する
・カード情報を電子形式で保存しないが他のSAQタイプの基準を満たさない
・他のSAQタイプを満たす環境にあるが、自社の環境に他のPCI DSS要件が適用される		 330
P2PE ・PCI P2PEソリューションを導入した主にPOS加盟店 PCI P2PEに認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない。 33

 

PCI DSS SAQ対応支援コンサルティング

サービスの特徴

自社のサービスがどのタイプに当てはまるのかを判定し、求められている要求事項を理解した上でセルフチェック(自己問診)をすることが難しい場合は、QSA審査の経験を持つコンサルタントがSAQタイプの判定から準拠可否のチェックまで、セルフチェックを支援します。

SAQ(自己問診)によるPCI DSS準拠確認の流れ

pcidss_saq_consulting_fig01

サービス提供メニュー

SAQタイプ判定支援

サービス形態やシステム、カード情報の取扱い状況などを確認し、どのSAQタイプに当てはまるか確認の支援をします。
セキュリティコンサルタントが確認することで、実施するべき必要なセキュリティ対策に合致した正しいSAQタイプを判定できます。

SAQ対策実施・検討支援

セルフチェックで基準に準拠するためには、自社のシステムや業務の環境を確認し、要求事項を満たしているか、あるいは改善が必要かを判断し対策をとる必要があります。
要求事項を満たすためには何をすべきか、セキュリティコンサルタントが確認して支援を実施します。また、必要な対策を取るためのソリューション紹介やアドバイスも行います。

SAQ実施確認支援

PCI DSSの要求事項に沿ってセキュリティ対策ができていることを確認するためのセルフチェックを、PCI SSCが定めるフォーマットに沿って確認、チェックした準拠証明書を作成していただきます。これは、顧客や委託先、カード会社などに、自社の準拠状況の確認結果を示す証跡になります。
準拠証明書の作成を弊社QSA審査員がサポートし、SAQ実施確認として、準拠証明書にQSA審査員の支援を示す署名をします。

料金

サービスメニュー 料金
SAQタイプ判定支援 個別見積
SAQ対策実施・検討支援 個別見積
SAQ実施確認支援 個別見積

※その他、ご要望に応じて個別メニューも承りますので、詳細はお問い合わせください。
twitter facebook linked-in

NRI SecureTechnologies, Ltd.