PCI DSS認証サービス

PCI DSSとは

PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード情報の取り扱いに関するセキュリティ基準です。クレジットカード国際ブランド５社（American Express、Discover、JCB、MasterCard、VISA）は、決済カード情報への侵害を防止し全関連団体に最適な保護手段を提供する目的で、決済カードおよび取引情報の取り扱いに関する安全基準を導入しました。

決済カード業界データセキュリティ基準またはPCI DSSと呼ばれる本基準は、銀行（イシュアおよびアクワイアラ）、決済サービスプロバイダ、ホスティングプロバイダ、加盟店、そして決済アプリケーションプロバイダに対して等しく適用されます。また、PCI DSS基準への適合性は定期的に検証されます。PCI DSS認証証明を提示できない当事者には、決済カード情報の取り扱いが許可されません

PCI DSS認証取得について

1. 認定評価業者（QSA）を選定する
   認定評価業者（QSA）は、PCI DSSの認証を取得するために必要な手続きを支援する専門家です。自社のニーズに合わせたQSAを選定する必要があります。
   
   
2. QSAによる監査を実施する
   QSAは、自社のPCI DSSコンプライアンス状況を評価するために監査を実施します。監査の結果、自社がPCI DSSに準拠しているかどうかを判断します。
   
   
3. 認証取得申請を行う
   QSAが監査を実施し、自社がPCI DSSに準拠していることが確認された場合、認証取得申請を行うことができます。認証取得申請は、PCI Security Standards Councilに対して行います。
   
   
4. 認証取得
   認証取得申請が承認されると、自社はPCI DSSに準拠していることが認められ、PCI DSSの認証を取得することができます。認証は、1年ごとに更新する必要があります。

テュフズードのPCI DSS認証サービス

当社はPCISSCおよび決済ブランドによる認定を受けているため、弊社はPCI認証への過程およびPCI認定証の発行におけるすべての側面において貴社を支援することができます。弊社は以下の範囲を含む認証サービスを提供します：

• 認定セキュリティ評価機関（QSAC）
• 認定スキャンベンダー (ASV)
• 認定決済アプリケーションセキュリティ評価者（QPASA）

1. 業界に特化したサービス
   弊社はセキュリティ対策に関する包括的なアドバイス、事前準備、監査および検証の提 供を通じ、PCI DSS認証のすべての要件について貴社をサポートします。PCI DSS基準 を満たした場合、テュフズードはPCIに認定された認証機関として貴社にテュフズード 認証マークおよびクレジットカードブランドが要求するすべてのエビデンスを提供しま す。サービスプロバイダ、ソフトウェア製造業者、加盟店、アクワイアラのそれぞれに ついて、PCI DSSやPA DSSのさまざまな要件およびセキュリティ評価手順に従う必要が あります。業種に特化したサービスについての詳細は以下を参照してください。 ・加盟店向けPCI ・アクワイアラ向けPCI ・製造業者向けPCI ・サービスプロバイダ向けPCI
   
   
2. 関連ソリューション
   貴社が常にPCI基準に準拠し、最高水準のセキュリティ対策のもとで事業にあたれるよう、弊社はPCI DSS認証およびPA DSS認証に必要なソリューションならびに数々の関連サービを提供しています。厳選されたサービスには以下が含まれます。

• PCI DSS準拠に関するすべての問題および手順に関する技術的助言
• セミナー、トレーニングおよびワークショップ
• 加盟店、サービスプロバイダおよびアクワイアラ向けに各適合要求事項に関する効率的な証明を可能にするポータルサイト
• 認定セキュリティ評価者 (QSA)による現地監査
• 認証スキャンベンダー（ASV）としての脆弱性調査
• 啓発トレーニング（eラーニング）
• PCI自己評価質問票（SAQ）の完成に向けたサポート
• 認証取得した組織に対するテュフズード認証マーク

PCI DSS認証のお問い合わせ

PCI DSSの要件一覧

PCI DSS認可要求事項は、12条項から構成される基準により規定されています。顧客および加盟店と相互信頼関係を確立するためには、これらすべての要求事項を遵守し定期的に検証する必要があります。個々のPCI DSSの要件は以下の通りです：

1. カード会員データを保護するためのファイアウォール構成の導入およびメンテナンスを実施すること。

2. システムパスワードおよびその他のセキュリティパラメータにベンダー提供の既定値を使用しないこと。

3. 保存されたカード会員データの保護すること。

4. カード会員データおよびその他の機密情報をオープンな公共ネットワークを介して送信する際には暗号化すること。

5. ウイルス対策プログラムを使用し、定期的に更新すること。

6. 安全なシステムおよびアプリケーションを開発し、維持すること。

7. カード会員データへのアクセスは、「Need to know」の原則に従って制限すること。

8. コンピューターにアクセスする各個人には、明確なユーザー認証を割り当てること。

9. カード会員データへの物理的なアクセスを制限すること。

10. カード会員データおよびネットワークリソースへのすべてのアクセスに対して包括的な追跡および監視を実施すること。

11. システムおよび工程に関するセキュリティについて定期的に検査すること。

12. 情報セキュリティポリシーを遵守し、維持すること。
    

カテゴリーごとの要求事項

サービスプロバイダと加盟店との区別は困難な場合もあるため、PCI要求事項およびカテゴリー分類についてはこちらで丁寧にアドバイスいたします。

加盟店

標準化された脆弱性スキャン(ASV) から加盟店のコンプライアンスを包括的にサポートするポータルサイトおよび個別アドバイスまで、弊社は加盟店に対してPCI DSSコンプライアンスの達成に必要なすべてのソリューションを提供し、、そしてそれにより加盟店はPCI DSS認証を取得します。
＞詳細はこちら

アクワイアラ

テュフズードではPCI DSS認証で必要となるレポートタスクおよびその他の要求事項への対応を簡単にできるアクワイアラ向けの包括的なポータルサイトの提供を通じ、アクワイアラ自身だけでなく、加盟店およびサービスプロバイダに対してもエンドツーエンドでPCI DSSコンプライアンスを満たせるようサポートします。貴社の認定加盟店に対しても、弊社は包括的なサポートおよび使いやすい加盟店用コンプライアンスポータルサイトの提供を通じ、効率的にPCIDSS要求事項を満たし、エビデンスの提出をサポートします。
＞詳細はこちら

製造業者

ソフトウェア製造業者に対しては、PA DSSの認証に関する統合ソリューションを提供します。各段階において貴社の立場に立った個別のアドバイスや必要なセキュリティ監査を通じてサポートします。
＞詳細はこちら

サービスプロバイダ向け

決済サービスプロバイダ、クラウドまたはホスティングプロバイダに対しては、PCI DSS認証に向けたPCI基準に関する詳細なアドバイス、包括的な監査、セミナーおよびトレーニング、そして数多くの建設的なソリューションを提供します。
＞詳細はこちら

テュフズード－PCIに関するすべての疑問に応える認証機関

弊社のソリューションはPCI DSS基準に関するすべての領域をカバーし、PCI認証への貴社の道のりをサポートします。弊社の情報セキュリティ分野におけるノウハウ、および決済カード業界における経験により、貴社の決済セキュリティが安全な側にいることをお約束します。弊社の包括的なサービスを受けることで、効果的なセキュリティシステムの実装が実現します。

銀行や対面取引、非対面取引分野にまたがる金融および決済関連の顧客リストをご覧になれば、弊社の決済セキュリティに関する豊富な経験がお分かりいただけるでしょう。

PCI DSS基準は業界標準として決済カードの処理に関わるすべての組織をサポートするとともに、GDPR(一般データ保護規則)が要求するコンプライアンス達成への足掛かりともなります。