PCI DSS*1審査員(QSA*2)の支援なしで、
自己問診(SAQ*3作成)を自社で実現
PCI DSSに準拠していることを確認するための方法として、QSA(認定審査員)による訪問審査を受ける方式とは別に、SAQ(Self Assessment Questionnaire)と呼ばれるセルフチェック(自己問診)形式での準拠確認方法もあります。
SAQは、サービスの業態やカード情報の取扱い形態によってタイプが分けられており、自社に合致したSAQタイプで準拠状況を確認する必要があります。
加盟店は、サービスを提供する業態と、クレジットカード情報の取扱い形態によってタイプが分けられています。
サービスプロバイダーは、カード情報の取扱い形態に関わらずSAQ Dとなります。
タイプ | 加盟店の業態 | カード情報の取扱い形態 | 準拠項目数 |
---|---|---|---|
A | ・決済サービスプロバイダ(PSP)のリンク(リダイレクト)型の決済サービスを使用するEC加盟店 ・カード情報の全ての処理を外部委託するEC/通信販売加盟店 |
ECまたは通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない | 24 |
A-EP | ・決済サービスプロバイダ(PSP)のJavaScript型の決済サービスを使用するEC加盟店 | ECの決済をPCI DSS準拠済みのサービスプロバイダに部分的に委託しているECの加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない | 192 |
B | ・CCTなどの決済端末をダイアルアップ接続する主に対面加盟店 | インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。 | 41 |
B-IP | ・CCTなどの決済端末をIP接続する主に対面加盟店 | 決済ネットワークまたはASP/クラウド事業者にIP接続されるスタンドアロン型のPCI PTS認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。 | 87 |
C-VT | ・電話やハガキ/FAXでカード処理する主に通信販売加盟店 | Webブラウザなどの仮想端末のみでインターネットを経由して、1件ずつカード情報を処理し、カード情報をコンピュータシステムに保存しない。決済に利用するWebアプリケーションはPSP、アクワイヤラーなどサードパーティから提供される必要がある。 | 84 |
C | ・POSをインターネットに接続してカード処理する主にPOS加盟店 | POSシステムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない | 161 |
D | ・決済サービスプロバイダ(PSP)のモジュール(プロトコル)型を使用するEC加盟店 ・カード情報をサーバやPCで保存するPOSや通信販売加盟店 ・カード情報をPOSシステムで通過、処理、保存する加盟店 ・他のSAQタイプに当てはまらない全ての加盟店 |
・カード情報を自社のサーバで処理する ・カード情報を電子形式で保存する ・カード情報を電子形式で保存しないが他のSAQタイプの基準を満たさない ・他のSAQタイプを満たす環境にあるが、自社の環境に他のPCI DSS要件が適用される |
330 |
P2PE | ・PCI P2PEソリューションを導入した主にPOS加盟店 | PCI P2PEに認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない。 | 33 |
自社のサービスがどのタイプに当てはまるのかを判定し、求められている要求事項を理解した上でセルフチェック(自己問診)をすることが難しい場合は、QSA審査の経験を持つコンサルタントがSAQタイプの判定から準拠可否のチェックまで、セルフチェックを支援します。
サービス形態やシステム、カード情報の取扱い状況などを確認し、どのSAQタイプに当てはまるか確認の支援をします。
セキュリティコンサルタントが確認することで、実施するべき必要なセキュリティ対策に合致した正しいSAQタイプを判定できます。
セルフチェックで基準に準拠するためには、自社のシステムや業務の環境を確認し、要求事項を満たしているか、あるいは改善が必要かを判断し対策をとる必要があります。
要求事項を満たすためには何をすべきか、セキュリティコンサルタントが確認して支援を実施します。また、必要な対策を取るためのソリューション紹介やアドバイスも行います。
PCI DSSの要求事項に沿ってセキュリティ対策ができていることを確認するためのセルフチェックを、PCI SSCが定めるフォーマットに沿って確認、チェックした準拠証明書を作成していただきます。これは、顧客や委託先、カード会社などに、自社の準拠状況の確認結果を示す証跡になります。
準拠証明書の作成を弊社QSA審査員がサポートし、SAQ実施確認として、準拠証明書にQSA審査員の支援を示す署名をします。
サービスメニュー | 料金 |
---|---|
SAQタイプ判定支援 | 個別見積 |
SAQ対策実施・検討支援 | 個別見積 |
SAQ実施確認支援 | 個別見積 |
※その他、ご要望に応じて個別メニューも承りますので、詳細はお問い合わせください。
NRI SecureTechnologies, Ltd.