pci dssサービス紹介サイト - ペイメントワールド

[ 2012年02月28日 - PAYMENT WORLD ]書籍「PCI DSSのすべて」の掲載内容が決定、PCI DSSの概要や要件、加盟店やサービスプロバイダの事例、カード会員情報保護の最新動向まで網羅した完全ガイド

2012年2月28日22:16

TIプランニングでは、2012年3月10日に書籍「PCI DSSのすべて」を発行する予定となっていますが、その掲載コンテンツが大方決定しました。これまでの「ペイメントナビ(payment navi)」、「ペイメントワールド(PAYMENT WORLD)」の取材経験から、PCI DSSについてチェックしておかなければならない項目は網羅した内容となっています。ぜひ、この機会に購入をご検討いただければ幸いです。

書籍「PCI DSSのすべて」コンテンツ(予定)

●はじめに

第1章 PCI DSS基準と関連プレイヤー
(1)ペイメントカードの不正利用の現状
(2)PCI DSS(Payment Card Industry Data Security Standard)とは?
(3)PCI DSS にかかわるプレイヤー
(4)PCI SSC (Payment Card Industry Security Standards Council)
(5)国際ペイメントブランド
(6)QSA・ISA とASV
(7)PCI DSS 準拠の確認方法
①自己評価(自己評価問診票)
②脆弱性スキャンテスト
③訪問審査(オンサイトレビュー)
(8)国内でのPCI DSS の遵守状況
(9)国内でPCI DSS を推進する動き

第2章 国際ブランドの取り組み
(1)Visa のAIS の概要
●年間の取引件数により、レベル1 ~ 4 の4レベルに分類
●Visa はPCI DSS 普及のためにさまざまな準拠期限を設定
●国内での普及に向けたさまざまな取り組み
●普及への課題は対応や維持コストの軽減策
(2)MasterCard Worldwide JapanのPCI DSS普及/推進戦略
●MasterCardにおけるPayment System Integrity
●MasterCardは国際ペイメントカードブランドとして、全世界に張り巡らされている
●PCI SSCとMasterCard
●PCI DSSとSDP
●PCI DSS実施は複数の関係者の緊密な協力によって達成できる
●加盟店の役割は何か?
●ペイメントカードデータ流出事件が発生した場合の対応
●MasterCard提供のPCI DSS Webセミナー
●JIPDECとの協力
●まとめ
(3)JCB の「JCB データセキュリティプログラム」
●3種類の診断プログラム(自己診断、脆弱性スキャンテスト、訪問審査)を用意
●JCB の推進の第一優先はEC加盟店
●各国の事情や決済環境に応じた取り組みを実施
(4)American Express の「データセキュリティ運営方針(DSOP)」
●American Express のバリデーション基準

3章 PCI DSSの12要件を概観
(1)カード会員データとセンシティブ認証データ
(2)PCI DSS の対象範囲
(3)PCI DSS の12 要件と各項目
●安全なネットワークの構築と維持
要件1
要件2
●カード会員データの保護
要件3
要件4
●脆弱性管理プログラムの整備
要件5
要件6
●強固なアクセス制御手法の導入
要件7
要件8
要件9
●ネットワークの定期的な監視およびテスト
要件10
要件11
●情報セキュリティポリシーの整備
要件12
●共有ホスティングプロバイダ向けのPCI DSS追加要件(付録A)
●代替コントロール
(4)対応が困難な要件、解釈に迷う部分は?
●JCSC QSA部会で議題にあがった要件は2、3、6、10、11が多い
(5)PCI DSS Version2.0 のポイントは?

第4章 関連団体の取り組み
(1)PCI DSSの普及・啓発に取り組む日本カード情報セキュリティ協議会
●国内のQSA有資格者が集う「QSA部会」
●「認定トレーニングに関するワーキンググループ」、「統一ロゴマーク」の発行を検討へ
●ソリューションベンダーが活動するベンダー部会
(2)PCI SSC PO Japan連絡会の活動とは?
●2010年度は「PCI DSS部会」「PTS/PA-DSS部会」を設置
●2011年度はPCI DSSのさらなる認知度向上に力を入れる
(3)ISMS との同時審査によるメリット
(4)割賦販売法によるクレジットカード番号等の保護
(5)データベース・セキュリティ・コンソーシアムが「データベース暗号化ガイドライン 第1.0版」を策定

第5章 カード会員情報を保護するセキュリティ最新動向
(1)カード番号を保管しないメリット
(2)情報漏えいの傾向とフォレンジック対応
(3)新たなテクノロジーとして注目を集めるトークナイゼーション
事例 ゴルフダイジェスト・オンライン
日本最大級のゴルフポータルサイトがトークナイゼーションを導入
●決済代行事業者へのデータ委託ではセキュリティ強化の抜本的解決にはならない
●SQLインジェクションなどの攻撃に対応 暗号化よりもセキュリティ対策が強固に
●今後は会員の個人情報のトークナイゼーション管理も視野に
(4)「PCI DSS Virtualization Guidelines」とは?
●リリースの前から強い関心を集める ガイドラインでは11の仮想化のリスクを紹介
●混合モードの使用は避け、ハイパーバイザのセキュリティ管理が必要
(5)PA-DSS、PCI PTS について
事例 日本NCR
日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得
●国内で初めて2008年にPA-DSSに準拠
●前回の審査よりもPA-QSAの要求が高まる
●最近は顧客企業からもPA-DSS準拠のリクエストが増える

第6章 PCI DSSの準拠事例(加盟店/サービスプロバイダ)
事例① メットライフアリコ
大手生命保険会社のメットライフアリコがPCI DSSに完全準拠
●年間取引件数は600万件を優に超える、システムが大規模なためファイアウォールの設定で苦労
●現場との交渉により社内のルールを見直す、業務委託先の管理基準も作成
●Webサイトに監査証明マークを掲載
事例② NECビッグローブ
大手ISPのBIGLOBEがPCI DSSに完全準拠、取得に向けて既存システムから決済環境を完全分離
●国際標準として自ら取得を決意、カード会員情報を既存のシステムから分離
●自社システムと要件とのギャップに苦しむ、8つの要件で代替コントロールを適用
●当初の想定よりも安価なコストで準拠を果たす、PCI DSS取得は営業面でもプラスに
事例③ ソネットエンタテインメント
レベル1のインターネットサービスプロバイダ「So-net」がPCI DSS準拠、ISMS、プライバシーマークと統合したマネジメントマニュアルを作成
●Version2.0の発行に合わせて準備を開始、2回の予備審査で準拠に備える
●従来からカード情報などの個人情報を一元管理、CVSSスコア4.0未満を維持するための素早い対応が課題
●ISMSとPCI DSSの合同審査を5日で実施、審査の負荷を軽減しISMSはコストを削減
事例④ ニフティ
@niftyのクレジットカード決済システムが完全準拠、取得に向け既存のデータベースからカード会員情報を分離
●会員数は1,000万人を超える、AISのバリデーションはレベル1
●アカウントの管理やセキュリティパッチの適用で苦戦、要件11はソリューションの導入で対応
●取得に向け予備審査を2回実施、大切なのは取得ではなくセキュリティレベルの維持、向上
事例⑤ ヤフー
「Yahoo!ウォレット」がPCI DSSに完全準拠、レベル1加盟店として世界基準のセキュリティ対応に意義を見出す
●取得に向け各部門のエキスパートが結集、審査まで5カ月かけて準備に取り組む
●「課題管理票」や「想定問答集」を作成 大きなシステム投資、予備調査を受けずに準拠を達成
●Ver.1.2にもスムーズに対応、取得経験も踏まえたPCI DSSの課題とは?
事例⑥ DMM.com/DMM.comラボ
大手ECサイト「DMM.com」運営のDMM.com社、システム委託先のDMM.comラボ社と共にPCI DSSに完全遵守
●レベル1の到達前に取得を決意 、カード会員情報は自社で保持
●準拠後の負担が大きいパッチの適用とログの集約、代替コントロールは適用せず
●加盟店より先にカード会社に準拠してほしい、2011年以降も審査は継続
 事例⑦ ユーシーカード
国内カード会社初、メインシステム環境でPCI DSSに完全準拠、継続的なセキュリティレベルの維持により大幅なシステム改修をせずに対応を果たす
●メインシステムで準拠する強みを生かす、社内規定やシステム要件設定書といった書類関係の確認・整備に時間を費やす
●代替コントロールは要件3などで適用、PCI DSSのオリジナル要件と遜色ないセキュリティを確保
●2011年はVersion2.0に完全準拠、要件6.2の脆弱性のリスクランク付けは導入済
事例⑧ 三井住友カード
厳密になった規格に対し予備調査を行うことでクリア、自社の経験を生かして加盟店へのサポートも
●審査基準の厳密化に備え予備調査を実施
●ブランドの意向に沿う形でカード会社もPCI DSSの審査対象に
●加盟店に対するサポートに意欲、業界全体の推進力に
事例⑨ NTTデータ
CAFISを中心とした6つのシステムでPCI DSSに完全準拠
●2008年からPCI DSSの準拠をスタート、2011年はCAFIS伝票保管で新規に準拠
●仮想環境下での利用についてはVersion1.2から対応、PCI DSS要件以上のセキュリティレベルの実装を意識
●日本NCRの決済アプリケーション・ソフトウェアとPastelPortと組み合わせPA-DSS Version2.0に準拠
事例⑩ GMOペイメントゲートウェイ
決済代行事業者のリーディングカンパニーとしてPCI DSSに取り組む、ISMSとの合同審査で審査日数の削減と作業の効率化を図る
●ISMSの認証を上場決済代行事業者で一番に取得、1.1から1.2へのバージョンアップで審査項目が増加
●Version 2.0の基準変更はプラスに?次期システムでは仮想化を意識
●「PGマルチペイメントサービス」で加盟店が安心して決済できる環境を
事例⑪ スマートリンクネットワーク
大幅な修正なく6年連続でPCI DSSに完全準拠、今後は加盟店への支援も積極的に実施
●詳細な事前書類の提示などシステム対応より人的コストが増大
●Version2.0の審査もスムーズに対応、日頃の社内の運用ルールも厳しく設定
事例⑫ ゼウス
バージョンアップごとに要件の明確化が図られ、運用面の負荷が増す、次年度以降はリスクランク付けのアプローチが課題に
●Version2.0の審査もスムーズに対応、QSAに確認を取りながらシステム対応を行う
●継続的なセキュリティの維持・向上に努める、トークナイゼーションの導入も検討へ
事例⑬ ソフトバンク・ペイメント・サービス
PCI DSSへの遵守について加盟店からの問い合わせが増加、2012年はリスクのランク分けを割り当てるためのプロセスの確立が課題に
●リスクランクの設定は審査の対象から外す、事前にVersion2.0の変更箇所についてQSAと確認
●PCI DSS準拠の問い合わせを受けた加盟店には(AOC)を提出、トークナイゼーションの導入も検討へ
事例⑭ 大日本印刷
カード決済における本人認証サービス「SIGN3D」でPCI DSSに完全遵守、Visaの「3-Dセキュア」の基準と並行して対応を進める
●3-Dセキュアと基準が異なる場合は厳しい基準に合わせて対応
●QSAの品質保証プログラム実施によりドキュメントとして証跡が必要に
●CDMSの運用管理はPCI DSS準拠により格段に向上、準拠を目指す企業のデータ受託も検討
事例⑮ ヤマトシステム開発
国内でいち早くPCI DSS取得に取り組む、準拠後もセキュリティレベルの強化を継続
●「クロネコwebコレクト(クロネコ@ペイメント)」を中心としたECシステムと決済サーバから準拠に取り組む
●Version2.0からは「Web明細サービス」も対象範囲に追加 QSAを変更し、前年までと違った角度での審査を実施
●リスクランク付けのアプローチも対応済み、ペイメント・アプリケーション基準「PA-DSS」の準拠も検討

⇒⇒⇒お申込みフォームへ

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド