ブックマーク eメール このページを印刷

PCI DSS準拠体制支援/認定審査サービス

PCI DSS準拠体制支援サービス クレジットカードが広く利用されている現在の社会において、情報漏えい等を防ぐため、クレジットカード情報を取り扱う事業者における 情報セキュリティの確保は重要な事項です。
 そのためには、クレジットカード情報を保存、処理、伝送するすべての事業者がクレジットカード業界の情報セキュリティ基準である PCI DSSに準拠することが求められています。対象となる事業者には、例えば、クレジットカードの加盟店やデータ処理事業者等が 挙げられます。

 トーマツの専門家が独自のアプローチで管理体制の構築を支援します。

トーマツのアプローチ

トーマツの強み

改善プログラム成功のヒント

PCI DSSに関する情報

トーマツのアプローチ

PCIDSS準拠体制構築支援 トーマツのアプローチ

各フェーズと主な作業 トーマツの支援例
1.適用範囲の定義
PCI DSSは、クレジットカード情報が保管、処理、あるいは伝送されている場合に適用されるため、社内のすべてのシステムが対象となるわけではありません。よって現状のデータフロー等を分析して、PCI DSSの対象となるシステム、要件等を識別する必要があります。適切なネットワーク・セグメンテーションを実施することにより、PCI DSSの適用範囲を限定し、効率的に導入、運用していくことが可能となります。		 業務およびシステム環境の調査
準拠対象範囲の特定の支援
データフロー分析図作成
データフローのイメージ図(PDF・4KB)
2.ギャップ分析
PCI DSSと現状のIT、ポリシー、手順等のセキュリティ対策を比較してギャップを洗い出し、それらを優先付けし、改善のためのロードマップ(アクションプラン)を策定します。		 対応状況のギャップ分析支援
分析結果に基づく改善策の策定支援
対策策定のためのアーキテクチャイメージ図(PDF・8KB)
3.改善プログラム
改善プログラムを管理可能なプロジェクトに分割し、それぞれのプロジェクトの導入を支援します。		 システム実装支援
各種手順書の作成支援
プロジェクト管理
4.審査
脆弱性スキャン結果の確認や予備審査を実施します。予備審査における改善点への対応完了後、本審査を実施します。		 予備審査の実施
予備審査結果を受けた改善に関する助言
本審査の実施

トーマツの強み

  • 広範囲にわたる深いスキル
     トーマツにはPCI DSS準拠プログラムにおいて直面する問題に対処するための広範囲にわたる深いスキルを持った専門家を多数擁しています。
     ITの側面からではなく,クレジットカードを取り扱うインダストリーの特性とビジネスを理解し,単にITの導入ではなく,ビジネスを成功に導くためのソリューションを提案します。
  • 現実的なセキュリティ改善策導入支援の経験
     トーマツは、人、プロセス、ITを含む複雑なセキュリティ改善プログラムに関する多くの経験と実績を有しています。現場が実行できるセキュリティ対策の実施が重要です。ITのみならず,オペレーション,マネジメントまで理解をした経験者が,グローバルで培った豊富な事例も踏まえ,現実的なソリューションの提案を行います。
  • 綿密なプログラム管理のスキル
     トーマツでは数多くのプログラム管理の経験を持った専門家がプロジェクトチームを組成し、サービスを提供します。
     様々な部門との調整を行う必要がありますが,大規模プロジェクトのマネジメント経験者が,複雑になりがちなプロジェクトを整理し,プロジェクトを成功に導きます。

改善プログラム成功のヒント

 クレジットカード情報管理体制の改善プログラムを成功させるためには、例えば、次のような事項を考慮することが重要です。

  • 経営陣の積極的な関与やステークホルダーの賛同
  • ITだけにフォーカスするのではなく、人やプロセスの要素も考慮した対策
  • 様々な能力を持ったメンバーによるチーム編成
  • 深い知識や経験を持ったコンサルタントの活用
  • 業務上必要のないクレジットカード情報を削除することによるPCI DSS準拠プログラムの適用範囲の縮小

PCI DSSに関する情報

PCI DSSとは

 PCI DSSは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)がクレジットカード情報の保護のために制度運営しているクレジットカード業界の情報セキュリティに関する基準がPCI DSS(Payment Card Industry Data Security Standards)です。
 クレジットカード情報を保存、処理、伝送するすべての事業者がこのPCI DSSに準拠することが求められています。対象となる事業者には、例えば、クレジットカードの加盟店やデータ処理事業者等が挙げられます。

6つのカテゴリーと12の要件

PCI DSSでは、クレジットカード情報と取引情報を保護するために、12のセキュリティ要件が定められており、これらは次に示す6つのカテゴリに分類することができます。

1 安全なネットワークの構築と維持
要件01 カード会員データを保護するために、ファイアウォールをインストールして構成を維持すること
要件02 システムパスワードおよびその他のセキュリティパラメータに、ベンダ提供のデフォルト値を使用しないこと
2 カード会員データの保護
要件03 保存されるカード会員データの保護
要件04 オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化すること
3 脆弱性管理プログラムの整備
要件05 アンチウイルスソフトウェアを使用し,定期的に更新すること
要件06 安全性の高いシステムとアプリケーションを開発し,保守すること
4 強固なアクセス制御手法の導入
要件07 カード会員データへのアクセスを、業務上必要範囲内に制限すること
要件08 コンピュータにアクセスできる各ユーザに一意のIDを割り当てること
要件09 カード会員データへの物理的アクセスを制限する
5 ネットワークの定期的な監視およびテスト
要件10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
要件11 セキュリティシステムおよびプロセスを定期的にテストする
6 情報セキュリティポリシーの整備
要件12 情報セキュリティポリシーを整備する

財団法人日本情報処理開発協会 クレジット産業向け"PCI DSS"/ISMSユーザーズガイド(11/21ページ)より

問い合わせ

デロイト トーマツ リスクサービス株式会社

問い合わせフォーム
TEL     : 03-6213-1300(代表)
所在地 : 〒100-0005
東京都千代田区丸の内3-3-1 新東京ビル8階 地図はこちら

関連するサービス

情報セキュリティ監査
ISMS認証取得支援
PCI DSS準拠体制支援/認定審査

関連するナレッジ

ガバナンス&リスクマネジメント

リスクマネジメント、コンプライアンス、内部統制、情報セキュリティ、事業継続管理、CSR、温暖化対策、内部監査、システム監査に関する最新情報です

季刊誌『企業リスク』

 トーマツ企業リスク研究所では、2003年10月より、季刊誌『企業リスク』(年4回発行)を発行しております。

会計情報

会計・監査の最新情報を発信しています。皆さまのビジネスにお役立てください。

書籍

トーマツグループの専門家が執筆した書籍をご紹介します。

セミナー

トーマツグループが開催するセミナーをご案内しています。

トーマツ メールマガジン

トーマツが発行するメールマガジンです。