PCI DSS準拠支援サービスの ご案内 クレジットカード情報の管理は 万全ですか? クレジットカード情報を安全に 取り扱うことを目的に策定され たPCI DSSに準拠することによ り、企業価値(信用、ブランド) の向上はもちろんのこと、具体 的にセキュリティポリシーを定 義することでサイバー攻撃によ る被害のリスクを低減すること ができます。 PCI DSS準拠の必要性 2020年のオリンピック・パラリンピック東京大会の開催などによる訪日外国人のクレジットカード利用機 会増加を踏まえ、経済産業省はクレジットカード情報を取り扱う加盟店に対し、PCI DSSへ準拠すること を推進する「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を発表しました。 クレジットカード情報の安心・安全を確保することは、企業のリスクを低減するだけでなく企業価値(信用、 ブランド)の向上にもつながることから、加盟店にとってPCI DSSの準拠は不可欠であると考えられます。 加盟店 (業務形態別)の PCI DSS対応期限 加盟店(業務形態別) PCI DSS 対応期限(年度) 2016/3末 2017/3末 2018/3末 2019/3末 2020/3末 非対面/EC 対面/POS (出典:経済産業省「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」を基に作成) PCI DSSとは PCI DSS (Payment Card Industry Data Security Standards)とは、国際カードブランド5社(American Express、Discover、JCB、Master Card、VISA)により設立されたPCI SSCが、加盟店やサービスプロ バイダにおいてクレジットカード情報を安全に取り扱うことを目的として策定したセキュリティ基準です。 PCI DSSでは、技術面(インフラ・開発)、運用面および情報セキュリティポリシーの整備を含む6つの目 的に沿った12要件への包括的な対応が必要になります。 PCI DSSの6つの目的と12要件 目的 安全なネットワークの構築・維持 カード会員データの保護 脆弱性を管理するプログラム 要件 要件1 要件2 要件3 要件4 要件5 要件6 目的 強固なアクセス制御手法の導入 定期的なネットワークの監視 およびテスト 情報セキュリティポリシーの整備 要件 要件7 要件8 要件9 要件10 要件11 要件12 クレジットカード取引を取り巻く環境の動向 昨今、クレジットカード決済にかかわる加盟店のシステムから、SQLインジェクションなどの手口により、 数百万件規模のカード情報が漏えいする事件が多発しています。 クレジットカード情報の漏えいが発生した場合、企業は業務停止リスク、信用低下リスク、事後対策コス ト(個人への補償、フォレンジック対応、アクワイアラーへのペナルティなど)、株価下落リスク、損害賠償 訴訟リスクなど多大なダメージを被ることになります。PCI DSSに準拠することは、これらのリスクの低減に 有効な施策となります。 当法人のサービス実績と特長 大手企業をはじめとする、多くのコンサルティング実績を基にPCI DSS準拠をご支援します。EYのグローバルナレッジの活用ならびに審査 機関(QSA)との協力により、リスクベースのアプローチでオーバースペックによるコスト高を回避します。 設計資料やヒアリングでシステム構成を十分に把握し、PCI DSS準拠の第一歩であるカード会員 データ環境(カード情報が伝送・保管される環境)およびカード会員データ環境に接続される機器 からなるPCI DSSの評価範囲を正確に特定します。 オーバースペック の回避 正確なスコープの 特定 効率的な対応計画の 組立て PCI DSSバージョン3.2では、約410項目にわたる要件への対応が求められておりますが、これ ら要件の対応状況確認と対応計画策定を手作業で行うことは効率的ではありません。コンサル ティング実績を重ねて開発したノウハウを活用し、効率的なアクションプランを計画します。 ベンダーフリーで無駄の ない対策の提案 新日本有限責任監査法人は日本を代表する監査法人の一つです。中立的な立場から、特定の ベンダーや製品に依存することなく、システム構成、現状の運用および組織の実態に合わせ、 リスクベースで適切な対応方針を提案します。 対象範囲特定のアプローチ(イメージ) アクションプランのアプローチ(例) ポリシー・ 体制の整備 (主に要件12) プロセスの 整備 (主に要件5・ 6・7・8・10) 手順の整備 (主に要件5・ 6・7・8・10) システムの設計・実装 (主に要件1・2・3・4) 運用の実施 (主に要件5・ 6・7・8・10) 診断の実施 (主に要件 11) 物理セキュリティ対策 (主に要件9) PCI DSS準拠までの流れとご支援内容 予備審査 審査 Phase 1 対応 フェーズ Phase 2 範囲特定 更新審査 本審査 ギャップ分析 Phase 3 アクションプラン策定 /対応方針検討 支援内容 現状のシステム構成を分 析し、カード会員データの 伝送経路と保存場所を特 定し、適用範囲定義書の 作成支援を行います。 カード会員データ環境のシ ステムに対してギャップ分 析を行い、あるべき姿との 差分を洗い出します。 前工程で洗い出された差分 に対し改善策の立案と、実 装のスケジュールの策定を 行います。 期間 (ご参考) 0.5~1カ月 0.5~1カ月 0.5~1カ月 Phase 6 Phase 5 Phase 4 実装 PCI DSSに準拠するため の体制整備の支援、運用 ドキュメント整備やシステ ム改修(インフラ・アプリ) に関する各種アドバイスを 行います。 2カ月~(システム規模 や改修量により変化) 運用 継続 PCI DSSの運用計画に沿 った運用手順の検証に関 する各種アドバイスを行い ます。 次年度の更新審査に向け、 運用実施状況のモニタリ ング支援を行います。 1~4カ月 12カ月 EYが提供するサイバーセキュリティサービスのご案内 当法人はEYのメンバーファームです。EYではサイバーセキュリティの問題を解決するためのさまざまなサービスをご用意しています。詳しくは、 EYサイバーセキュリティのウェブサイト<http://www.shinnihon.or.jp/services/advisory/risk-advisory/cybersecurity/>をご覧ください。 問合わせ先: 新日本有限責任監査法人 アドバイザリー事業部 〒100-6028 東京都千代田区霞が関3-2-5 霞が関ビルディング Tel: 03 3503 3500(代表) Fax: 03 3503 1966 Email: [email protected] EY | Assurance | Tax | Transactions | Advisory EYについて EYは、アシュアランス、税務、トランザクションおよびアドバイザリーなどの分野における世界的なリーダーです。私たちの深い洞察と高品質なサービスは、世界中の資本市場や 経済活動に信頼をもたらします。私たちはさまざまなステークホルダーの期待に応えるチームを率いるリーダーを生み出していきます。そうすることで、構成員、クライアント、 そして地域社会のために、より良い社会の構築に貢献します。 EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した 組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。詳しくは、ey.comをご覧ください。 新日本有限責任監査法人について 新日本有限責任監査法人は、EYの日本におけるメンバーファームです。監査および保証業務をはじめ、各種財務アドバイザリーサービスを提供しています。詳しくは、 www.shinnihon.or.jp をご覧ください。 © 2016 Ernst & Young ShinNihon LLC. All Rights Reserved. ED None 本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務およびその他の専門的なアドバイスを行うものではありません。新日本有限責任監査法人および他の EYメンバーファームは、皆様が本書を利用したことにより被ったいかなる損害についても、一切の責任を負いません。具体的なアドバイスが必要な場合は、個別に専門家に ご相談ください。
© Copyright 2024 ExpyDoc