IT資格一覧

PCI DSS(クレジットカード業界のセキュリティ基準)

概念と要件を理解して、ビジネスに最適な準拠の仕方、運用を学ぶ!!
QSAによるPCI DSS教育
最新バージョン4.0に向けた要件解説

PCIデータセキュリティスタンダード

pcidss

PCI DSS(Payment Card Industry Data Security Standard)は、国際カードブランド6社(VISA、 MasterCard 、American Express、JCB、 Discover、銀聯)によるPCIセキュリティ基準審議会(PCI SSC)が制定する、クレジットカードデータを安全に取り扱う国際的なデータセキュリティ基準である。

おすすめの商品

PCIDSSについて詳しく学ぶ!

PCI DSSとは

加盟店やサービスプロバイダにおいて、クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準

Payment Card Industry Data Security Standardの頭文字をとったもので、国際カードブランド5社(VISA、 MasterCard 、American Express、JCB、 Discover)が共同で設立し、2020年より銀聯が参加、計6社によるPCIセキュリティ基準審議会(PCI SSC)が制定する事実上の基準です。

元々は各国際カードブランドが独自に運用していたリスク管理プログラムがあり、加盟店は各ブランドの求める要求に応える必要がありました。しかし、ひとつの加盟店で複数のカードが使える仕組み(マルチアクワイヤリング)が一般的な現在、各ブランドの要求に対応しなくてはならない加盟店にとっては、非常に大きな負荷とならざるを得ない状況だったわけです。

その状況とは裏腹に、インターネットの普及に合わせ、国境を隔てたネット決済の普及とともに、極めて大規模なクレジットカード被害も世界規模で発生するようになり、ICカードによるカード偽造防止や対面取引における暗証番号での本人確認ではますます不十分となってきました。

ここで、加盟店のリスクとコストに対応できる仕組みを作るべく、国際カードブランド5社が手を合わせ、世界的に統一されたクレジットカード情報保護のためのセキュリティ対策フレームワークができる流れとなりました。

認定取得のメリット

PCI DSS遵守により、企業価値(信用、ブランド)の向上はもちろんのこと、これまでの個人情報保護制度と違い、より具体的にセキュリティポリシーを定義されることにより、現実的にハッカーやクラッカー等による 様々な不正アクセスからお客様のサイトを保護し、サイトの改ざんや悪用、情報盗用などのリスクを低減します。

認定取得について

PCIDSSへの具体的な対応方法は、カード情報の取扱い形態や規模によって、2つの方法があります。

1:訪問審査(オンサイト監査)

PCIセキュリティ基準審議会(PCI SSC)によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得ます。QSAの一覧は、PCI国際協議会のサイトに掲示されています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。

2:自己問診(SAQ: Self-Assessment Questionnaire )

PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。
自己問診にはA~D、P2PE等のタイプがあり、事業形態により適用されるタイプが分かれます。カード情報を保存しない、または取扱い件数が比較的少ない、中小規模の加盟店向けの方法です。サービスプロバイダは、要件が最も多いタイプDのみ、適用されます。

日本語版のPCI DSSの要件書、および自己問診(SAQ)は、PCI SSC公式サイトから入手できます。
https://www.pcisecuritystandards.org/lang/ja-ja/

PCI DSS準拠の対象となる企業

カード情報を扱う全ての企業が対象です。
加盟店、プロセシング、アクワイアラ、イシュア、決済代行業者、サービスプロバイダなど、カード情報を「伝送」、「処理」、「保存」のいずれか、または全てに関わる事業体が対象です。
カード情報の「伝送」 「処理」 「保存」を行わない事業体であっても、カードド情報のセキュリティに影響を及ぼすシステムやコンポーネント、業務、人に関わりが有る場合、準拠対象になります。

PCI DSS遵守の対応が想定されるお客様

イシュアー、アクワイアラー、サービス・プロバイダー、加盟店(※特にEC加盟店)

業界一例(限定ではありません)

金融業

クレジットカード会社、クレジットカード発行金融機関、保険会社

流通業

百貨店、スーパー、量販店、鉄道、航空会社

旅行業

旅行代理業

情報サービス業

ゲーム業界 他

通信/メディア/公共

携帯電話会社、通信会社、ユーティリティ、新聞

製造業

石油業界 他

PCI DSSの12の要件

PCI DSSは、カード会員データを扱うシステムをほかのシステムと分離するように求め、ネットワークを分離して適切に管理するための6つの「コントロールの目的」と、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシージャなどに関する基準が、12の「要件」として規定されています。

I.安全なネットワークの構築・維持

  • 要件1:ネットワークセキュリティコントロールの導入と維持
  • 要件2:すべてのシステムコンポーネントにセキュアな設定を適用する

II.アカウントデータの保護

  • 要件3:保存されたアカウントデータの保護
  • 要件4:オープンな公共ネットワークでの送信時に、強力な暗号化技術でカード会員データを保護する

III.脆弱性管理プログラムの維持

  • 要件5:悪意のあるソフトウェアからすべてのシステムおよびネットワークを保護する
  • 要件6:安全なシステムおよびソフトウェアの開発と維持

IV.強固なアクセス制御の実施

  • 要件7:システムコンポーネントおよびカード会員データへのアクセスを、業務上必要な適用範囲(Need to Know)によって制限する
  • 要件8:ユーザの識別とシステムコンポーネントへのアクセスの認証
  • 要件9:カード会員データへの物理アクセスを制限する

V.ネットワークの定期的な監視とテスト

  • 要件10:システムコンポーネントおよびカード会員データへのすべてのアクセスをログに記録し、監視すること
  • 要件11:システムおよびネットワークのセキュリティを定期的にテストする

VI.情報セキュリティポリシーの維持

  • 要件12:組織の方針とプログラムによって情報セキュリティをサポートする

PCI DSS準拠のための教育トレーニング

eラーニングで学ぶ「PCI DSS v4.0 概念と要件」

PCI SSC発行『Payment Card Industry データセキュリティ基準 要件とテスト手順 』要件の前文を含め、全12要件の概要、各要件を満たすシステム条件や文書化要求などポイントが整理されており、要件を理解しながら準拠の準備・適切な運用の維持を可能にします。
幅広い業界で多くのPCI DSS監査実績を持つICMS社QSAの監修により、PCI DSS要件の目的を把握し確実な準拠と適切な運用へのガイドとなる実用的な教材です。

<監修>国際マネジメントシステム認証機構 (ICMS) 代表取締役社長 PCI DSS QSA監査員 上野 洋一

eラーニングの特長

  • QSA(PCI SSC認定監査員)監修によりPCI SSC発行『Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0 2022年3月』の前文を含め全12要件の文書化要求、システム条件などのポイントが整理されています。
  • 国内のクレジットカード情報セキュリティをとりまく状況、システム図解、要件ごとの小テストなどにより、PCI DSSの理解を深めることができます。
  • v4.0の新要件にはマークが付いてあり、v3.2.1からの差分を確認することができます。

eラーニング概要

    【学習内容】
  • PCI DSS要件(v4.0)の概要と準拠へのガイドについて学習します。
    【コース受講の目的】
  • PCI DSSの概念と要件を理解して、自社ビジネスに最適な準拠の仕方、運用を行えるようにする
  • QSA同等の知識を目指す
    【コースの特徴】
  • PCI SSC発行『Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0 2022年3月』の前文を含め全12要件の文書化要求、システム条件などを*QSA監修によりポイントが整理されています。コースには、国内のクレジットカード情報セキュリティをとりまく状況、要件ごとの小テストなどが含まれ、PCI DSSを実用的に学ぶことができます。
    *QSA:PCI SSC認定監査員
    【標準学習時間】
  • 28時間(詳細学習時間は下記の『教材の構成』を参照)
    【ログイン可能期間】
  • 受講開始日から6ヶ月
    【教材の使い方】
  • PCI SSC発行『Payment Card Industry データセキュリティ基準 要件とテスト手順 v4.0 2022年3月』に記されている前文と要件に従い、構成されています。
    公式の要件を参考にしながら本書を進める事で、要件のポイントや解釈をより分かり易く効率的に習得する事ができます。
    v4.0の新要件にはマークが付いてあり、v3.2.1からの差分を確認することができます。
    【教材の構成】
  • 前文、12の要件、「付録」と関連情報の補足を適宜パートに分けています。各パートおよび学習目標時間は以下の通りです。
    章タイトル 学習目安時間
    Part1 PCI DSS概論 195分
    Part2 PCI DSS準拠のための事前準備 85分
    Part3 要件(1~2)とテスト手順 145分
    Part4 要件(3~4)とテスト手順 185分
    Part5 要件(5~6)とテスト手順 160分
    Part6 要件(7~9)とテスト手順 260分
    Part7 要件(10~11)とテスト手順 310分
    Part8 要件(12及びまとめ)とテスト手順 175分
    Part9 「付録」と関連情報の補足 105分
    Part10 総合テスト 60分
    ※各パートは「教材」と「テスト」で構成されています。
    ※Part10はテストのみの提供となります。
    【コース修了条件】
  • 総合テストで70点以上取得していること。
    ※ 専門性を高めたい方は、100点の取得を目標としてください。
    【ご意見・ご要望 / 学習質問・その他問い合わせ】
  • コースに対するご意見やご要望は下記アドレスまでお問い合わせください。
  • 学習内容に関するお問い合わせはQSAによる有償サポートで提供しております。価格はお問い合わせください。
  • 問い合わせ先:[suishin@icmssol.co.jp]

eラーニングは次のような方にオススメ!

PCI DSS準拠検討・準備中、準拠中の方

  • 各要件の目的を理解して、自社にとって最適なビジネスとシステムで準拠、運用を行いたい。

コンサルの方

  • 要件の理解を深め、コンサルで顧客満足度を高めたい。

ITご担当者の方

  • 実践的なテストでQSA同等の知識を目指したい。

本サイトおよび商品・サービスの監修、情報提供

情報セキュリティ対策のコンサルティング、および関連するサービスの提供

PCI DSS eラーニングサービス窓口:ICMSソリューションズ
https://www.icmssol.co.jp/

規格の制定早期より携わる審査スキルを強みとした審査・監査事業を中心に、情報セキュリティ関連の教育やサービスを提供

PCI DSS eラーニング監修元:国際マネジメントシステム認証機構株式会社(ICMS)
https://www.icms.co.jp/

※ ICMSソリューションズ・国際マネジメントシステム認証機構株式会社(ICMS)の許諾を得て掲載しています。無断で転載することを禁止します。

アイテックオススメ速報!! 人気商品を厳選!!

サイトマップ
TOPへ