PCI DSS v4.0対応診断サービス
PCI DSS v4.0に準拠するための診断をご提供いたします
PCI DSS とは
PCI DSS は、加盟店やサービスプロバイダにおいてクレジットカード会員データを安全に取り扱う事を目的に策定された、クレジットカード業界のセキュリティ基準で、Payment Card Industry Data Security Standardの頭文字を取ったものです。
国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)が共同で設立したPCI SSC(Payment Card Industry Security Standards Council)によって運用、管理されています。
元々は国際カードブランド5社が独自にセキュリティ基準を運用していたため、加盟店はそれぞれの要求に応える必要がありました。しかし、マルチアクワイヤリング(ひとつの加盟店で複数のカードが使える仕組み)の普及や、国境を隔てたオンラインによるカード決済の普及とともに、クレジットカードのセキュリティ被害が世界規模で発生するようになり、効果的な対策が必要となってきました。
そのため国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークとしてPDCI DSS が策定されました。
PCI DSS v4.0 について
新たな「PCI DSS v4.0」は従来のPCI DSSから、近年のカード情報漏えいの傾向をふまえた新たな要件、リスクベースでの考え方などが追加されています。
従来の「PCI DSS v3.2.1」は2024年3月31日までは有効となっていますが、その日付以降はすべて「PCI DSS v4.0」またはそれ以降でのバージョンにおけるPCI DSS要件に準拠する必要があります。
このようなお客様におすすめ
- PCI DSSに準拠する必要があり、対応を検討している
- V4.0になって改めてコスト確認や検討をしたい
- 内部リソースが足りず、診断経験の豊富な外部業者に依頼したい
当社のPCI DSS 対応診断サービスで解決できます
サービス内容
PCI DSS要件では、以下のセキュリティ診断が求められます。
PCI DSSは、6つの目標と12の要件で構成されています。その中の要件11に準拠した診断を行います。
| 要件11 |
|---|
| セキュリティシステムおよびプロセスを定期的にテストする |
要件11における診断詳細内容や実施サイクルは以下となります。
| 要件 | 診断内容 | 戦略シナリオ | 実施サイクル |
|---|---|---|---|
| 11.3.1 | 内部脆弱性スキャン | ・PCI DSS対象範囲内の全てのシステムが対象 ・同一セグメントから対象に対して実施 | 三ヶ月に1回、 および大幅な変更時 |
| 11.3.2 | 外部脆弱性スキャン | ・外部(インターネット)に公開しているグローバルIPが対象 ・外部に公開しているグローバルIPに対して、社外ネットワークからインターネット経由で実施 ・外部ベンダでの実施が必須(ASVスキャン認定ベンダ) | 三ヶ月に1回、 および大幅な変更時 |
| 11.4.2 | 内部ネットワークペネトレーションテスト | ・CDEとそのセキュリティや認証などに関連するシステムが対象 ・同一セグメントから対象に対して実施 | 年に1回、 および大幅な変更時 |
| 11.4.2 | 内部アプリケーションペネトレーションテスト | ・外部に公開されていない、カード情報を取扱うカスタムアプリケーションが対象 ・同一ソースコードのステージング環境で実施可能 | 年に1回、 および大幅な変更時 |
| 11.4.3 | 外部ネットワークペネトレーションテスト | ・外部(インターネット)に公開しているグローバルIPが対象 ・外部に公開しているグローバルIPに対して、社外ネットワークからインターネット経由で実施 | 年に1回、 および大幅な変更時 |
| 11.4.3 | 外部アプリケーションペネトレーションテスト | ・外部に公開されている、カード情報を取扱うカスタムアプリケーションが対象 ・同一ソースコードのステージング環境で実施可能 | 年に1回、 および大幅な変更時 |
| 11.4.5 | セグメント(境界)ペネトレーションテスト | ・シナリオ作成して対象を確定させる ・PCI DSS対象範囲外から対象範囲内に対して実施 ・加盟店は「年に1回」、サービスプロバイダは「6ヶ月に1回」 | 年に1回、 (サービスプロバイダーは年に2回) および大幅な変更時 |
セキュアイノベーション サービス一覧
