非保持化、PCI DSS、セキュリティ支援サービス
改正割賦販売法が2018年6月に施行され、加盟店の非保持化や、事業者のPCI DSS準拠を義務とする「実行計画」はこの法令の具体的なガイドラインに位置づけられて、すべての事業者に対応が求められました。そして2020年3月、「実行計画」は「クレジットカード・セキュリティガイドライン」に更新されました。
このガイドラインは2020年以降も毎年3月に改訂が加えられ、(一社)日本クレジット協会のホームページで公開されています。
弊社は多くのお客様の基幹システムを構築・運用サービスを行ってきた経験に加えて、日本カード情報セキュリティ協議会(JCDSC)の事務局を、2009年の設立当初から担当している知見を活かし、JCDSC会員各社と協業して、セキュリティ・ソリューションをバランスよくコーディネイトする支援を行っています。ぜひご相談ください。
PCI DSS脆弱性検査サービスの背景
- PCI DSSに準拠するために、どのような検査が必要か。
- いずれの検査会社に依頼すればよいか、信頼性の基準は。
- 検査結果に対して、そのように対応すればよいのか。
NOSのPCI DSS脆弱性検査サービスがあります!
1. 経験と実績
PCI DSS準拠の認定監査機関(QSA)資格を保有する 米国ControlCase社を始め、
世界で豊富な経験に基づいた、各種脆弱性テストを実施します。
2. 信用と安心
結果レポートにより、改善の必要な脆弱性に対しては、弊社がソリューションの提案やアドバイスを行います。
3. 外部評価の獲得
クレジットカードの関係事業者に限らず、顧客情報の安全管理について、
「PCI DSSに基づいた各種脆弱性検査を採用し、対応している」ことで、対外的・客観的な評価を得られます。
サービス内容
ネットワークスキャン検査(四半期ごと4回)
① 外部ネットワークスキャン検査
PCI DSS準拠と認められる外部ネットワークスキャン検査は、ASV(Approved Scanning Vendors)として、PCI DSS国際評議会(PCI SSC)から認定された検査会社によって、グローバルIPアドレスに対して、四半期ごとに実施する必要があります。ASVがその都度外部から検査する方法と、検査ツールを導入してお客様が自社スタッフで操作し結果レポートを出力する方法があります。弊社はご希望の選択で、ASV検査をご提供します。
② 内部ネットワークスキャン検査
お客様に所定のソフトウェアを導入いただき、四半期ごとに実施して、結果レポートを取り出すことができます。内部ネットワークスキャンは、ASVやQSAなどPCI SSCが認定した検査会社によらなくてもかまいませんが、国際的および国内のコンピューター緊急対応チーム(CERT)が選定した脆弱性を検知可能なツールを使用して、社内または外部の有資格者によって実施する必要があります。
ペネトレーションテスト (年1回)
③ 外部ペネトレーションテスト
ネットワーク層とアプリケーション層に対して、外部から侵入して、年に一度検査をします。
特にアプリケーション層の検査は、OWASPに基づいた内容で、インジェクション(特に SQLインジェクション)の不具合や、バッファオーバーフロー、クロスサイト・スクリプティング(XSS)などの詳細なチェックを行います。
④ 内部ペネトレーションテスト
③と同様に、こちらはシステム内部から、ネットワーク層とアプリケーション層に対して、年に一度検査します。内部ペネトレーションテストは、組織の情報セキュリティプログラムの効果と独立性の検証のために行われます。
オンサイト(訪問)、または VPNを利用してリモートでの検査が可能です。
内部・外部ともペネトレーションテストは、PCI DSSがOWASP等をもとに定める脆弱性を検知できる、外部の検査会社によって実施する必要があります。
※ サービス費用のお見積もりについては、弊社営業もしくは、「お問い合わせ」フォームから、お問い合わせください
■トピック:増え続けるカード番号盗用被害
非保持化した加盟店がどうして番号盗用の原因になるのか
2016年の「実行計画」以来、加盟店業界はカード番号の非保持化を進めてきたにもかかわらず、クレジットカードの番号盗用による被害額は、2022年も増え続けています。どうしてカード番号が盗まれ続けているのか、スライド動画で解説します。
※日本カード情報セキュリティ協議会(JCDSC)のベンダー部会で、事務局の弊社が公表した10分間のスライド動画です。
関連情報リンク
NOSは日本カード情報セキュリティ協議会 (JCDSC) の会員です。
2009年4月のJCDSC設立時から事務局を担当し、現在は事務局長を務めています。
●弊社ホームページのリニューアルのため、このPCI DSS関連ページも改訂を実施中です。
順次新しいコンテンツを加えてまいります。