PCI DSS認証早わかり:情報セキュリティ初心者でも簡単に準拠達成

/0 Comments/in ,

PCI DSS認証早わかり情報セキュリティ初心者でも簡単に準拠達成

EC取引、リモートワーク、フードデリバリープラットフォームでの取引などが引き続き成長を見せた2024年。越境取引やオンライン決済が急速に伸びるなか、カード会員データのセキュリティがとりわけ重要になっています。消費者の個人情報の盗用や悪用を防ぐため、ペイメントカード業界セキュリティ基準審議会(PCI SSC)は、カード会員データを保存、処理または伝送するすべての事業者に対し、PCI DSSの要件に準拠するよう求めています。簡単に言うと、PCI DSSでは12の要件とそのサブ要件で様々なセキュリティ対策を定め、カード会員データの保護を図っているのです。

アクワイアラや管理機関からPCI DSS準拠を求められ、どうしたらいいかわからないときに最も大事な5つの質問(2W3H)

目次

What - PCI DSSって何?

PCI DSSは、Payment Card Industry Data Security Standardsの略で、国際組織Payment Card Industry Security Standard Council(以下「PCI SSC」)が策定・管理するクレジットカードの情報に関する一連のセキュリティ基準です。その目的はカード会員データへの未承認のアクセスや不正利用を防ぐことにあります。

PCI SSCは主要国際カードブランドのAmerican Express、Discover Financial Services、JCB、MasterCard、Visa、UnionPay(銀聯)によって組織されています。PCI DSSは、これらのブランドのカード会員データを取り扱う際のセキュリティについて定めた業界共通の基準で、カード会員データを保存、処理、または伝送するすべての事業者が対象となります。これらの国際ブランドのカードを取り扱う加盟店(Merchant)やサービスプロバイダ(Service Provider)はいずれも、規模や取引量にかかわらず、PCI DSSに則ってカード会員データを保護する必要があります。

Who – 対象は?誰が支援してくれる?

PCI DSSへの準拠が必要な事業者は?

カード会員データを保存、処理、または伝送するすべての事業者は、PCI DSSの要件に準拠しなければなりません。

事業者は、どのようにカード会員データを保存、処理、伝送するかによって、タイプ分けとレベル分けがされます。まずは自社が加盟店(Merchant)なのか、それともサービスプロバイダ(Service Provider)なのかを判断しましょう。

加盟店とは、製品の販売やサービスの提供により、カードで代金を受け取る事業者を指します。したがって、カード払いを受け付ける実店舗やオンラインショップは、バーチャル製品またはサービスのダウンロード販売・提供、大型デパートを含め、すべて加盟店ということになります。

サービスプロバイダとは、カード会員データを伝送、処理、保存(Transmit、Process、Store)する、またはカード会員データのセキュリティを制御する、もしくは当該セキュリティに影響を与えるサービスを提供する事業者を指します。たとえば、第三者決済処理業者、決済サービスや電子ウォレットなどのサービスを提供する決済代行会社、ネットモールのほか、バーチャルホストサービスを提供するデータセンターやクラウドサービスを提供する事業者等もサービスプロバイダとなります。

自社が加盟店かサービスプロバイダかが分かったら、次にPCI DSSのレベルを判定しましょう。

 

レベル1:加盟店およびサービスプロバイダ

PCI DSSのQSA(Qualified Security Assessor、認定セキュリティ評価者)の訪問審査を受け、報告書を受け取ります。

レベル24:加盟店およびレベル2のサービスプロバイダ

PCI DSS自己問診票(Self-Assessment Questionnaire、以下「SAQ」)を使用して自己評価します。QSAの支援を受ければ、より早く正確に評価を完了できるでしょう。

誰がPCI DSSの認証取得を支援してくれる??

特に、レベル1の加盟店やサービスプロバイダが初めてPCI DSS認証取得を目指す場合は、プロの支援を受けることをおすすめします。

QSA (Qualified Security Assessor)

QSAは、PCI SSCの認定を受けた訓練と認定を受け、PCI DSSの審査を行い、準拠報告書(ROC)と準拠証明書(AOC)を提出する権限を与えられた専門の評価者です。QSAは、最新のPCI DSSに関して定期的に講習を受けて試験に合格し、その都度資格を更新する必要があります。QSAの訪問審査は、レベル1の加盟店およびサービスプロバイダの必須要件となっています。

QSAC (Qualified Security Assessor Company)

QSACは、QSAを雇用して専門の審査および支援サービスを行う企業です。PCI DSSの具体的な要求事項を解説し、いかにして安全な決済環境を構築するかについて指導します。

QSAQSACはどう選ぶ?

  1. [PCI SSCの公式サイト]で認定を受けたQSAやQSACを検索できます。
  2. 同業者やパートナーに聞く:PCI DSSの審査を受けたことのある企業に話を聞き、優良なQSAやQSACを紹介してもらうのもよいでしょう。
  3. 評価・事例の分析:隠れたQSA・QSACの口コミや事例を分析し、経験や専門知識の有無を確認しましょう。
  4. 直接問い合わせ:複数のQSAやQSACから、サービスの範囲、費用の基準、作業の流れなどについて話を聞いてみましょう。このようにして自社に合ったQSAやQSACを見つけ、PCI DSS認証取得までしっかりサポートを受けることで、決済環境のセキュリティを守り、準拠を実現しましょう。
サービスプロバイダー
コントラクト・ショップ

How - どうやって?

PCI DSSの認証取得は通常、4つのフェーズに分けられます。

1.  環境準備フェーズ:審査対象環境の確認、およびコンサルティングの段階

**審査対象環境の確認**

– 基礎評価:まず現行のセキュリティ対策を評価し、ギャップおよび改善すべき点を特定します。

– スコーピング:PCI DSS準拠対応が必要なシステム、ネットワーク、アプリケーションの範囲を確定します。

**コンサルティング**

– コンサルタントやQSAに依頼:自社に合ったQSAやQSACを選び、審査対象環境の確認、今後の改善プロセスの指導、審査の段取りといった支援を受けます。

– セキュリティ訓練:従業員に関連するセキュリティ訓練を行い、全体的なセキュリティ意識を高めます。

2. 資料準備フェーズ:必要な制御措置を準備・実施

**資料準備**

– ポリシーと手順:PCI DSSの要件に準拠するようセキュリティポリシーおよび運用手順を策定・変更します。

– 文書収集:準拠を証明するために必要な書類やエビデンスを揃えます。

3. 審査フェーズ:QSAによる訪問審査

**審査の実施**

– 内部評価:正式審査の前に内部で自己評価を実施し、すべての問題が解決されていることを確認します。

– 訪問審査:QSAが訪問審査を実施します。実際に基準に準拠した運用がなされているかどうか検証します。

4. 報告フェーズ:QSAが準拠報告書と準拠証明書を発行

**報告と認証**

– 報告書の作成:QSAがROC(準拠報告書)とAOC(準拠証明書)を作成します。

– 報告書の提出:AOCにはPCI DSSの認証に必須の情報が記載されます。ROCには詳細な機密情報が記載されますが、AOCには機密性の高い情報は記載されませんので、カードブランド、アクワイアラ、提携企業などの関係機関から求められた場合は、AOCを提出することをおすすめします。

– 証明書の発行:準拠証明書を受け取った事業者は、PCI DSSの基準に準拠していることになります。

How long – 時間はどれくらいかかる?

初めの審査対象環境の確認から最後の報告書の提出まで、PCI DSSの認証取得には通常3~5か月かかります。認証取得までの主なフェーズおよび各フェーズは次の通りです。

  1. 準備フェーズ(1~2か月):審査対象環境の確認、およびコンサルティングの段階
  2. 資料準備フェーズ(1か月):必要な制御措置を準備・実施
  3. 審査フェーズ(5~7日):QSAによる訪問審査
  4. 報告フェーズ(半月~1か月):QSAが準拠報告書と準拠証明書を発行

実際にかかる時間は、以下の要因によって異なる場合があります。

– 準備状況:事業者の事前の準備が十分であるか、比較的良好であり、セキュリティ対応の土台がしっかりしている場合は、より早く準拠が実現できます。

– システムや運用プロセスの複雑さ:IT環境、ネットワーク構成、運用プロセスの複雑さも認証取得までのスピードに影響します。

– 投入するリソース:事業者が投入するリソース(人手、時間、予算)およびプロジェクト管理の効率。

スムーズに認証を取得するためには、以下の点が重要です。

– 事前準備:できるだけ早く準備を始めましょう。特に文書やポリシーの整理には早めに取りかかるようにしましょう。

– 効果的なコミュニケーション:準拠作業全体を通じてPCI DSSのQSAとこまめに連絡を取り、問題に気が付いたら、すぐに解決しましょう。

– 維持と改善:認証取得後も引き続きセキュリティ対策の維持と改善に努め、長期的にPCI DSSへの準拠状態を維持しましょう。

How much - 費用はいくらかかる?

初回の認定では、PCI DSSの要件を満たすために、ハードウェアやソフトウェアの新規導入が必要となる可能性があります。以下に費用項目をリストアップしました。

1. システム関連費用:

Webサーバ、アプリケーションサーバ、DBサーバなどの機能ごとにサーバを分割しなければならないため、機器増設または仮想サーバ設置が必要となる可能性があります。また、NTPサーバ、FIMサーバ、ログサーバなどのセキュリティコンポーネントの実装も必要です。

2. セキュリティ機器の費用:

ファイアウォール、ルーター等のネットワークセキュリティシステム(NSCs)、不正侵入防御/検知システム(IPS/IDS)、WAF(Webアプリケーションファイアーウォール)等の増設が必要となります。

3. データ暗号化機器の費用:

カード番号(PAN)の暗号化には、セキュリティ確保のため、HSM(ハードウェアセキュリティモジュール)の導入が必要となる可能性があります。

4. 従業員の訓練費用:

PCI DSSでは、セキュリティ意識向上トレーニング、セキュアな開発に関するトレーニング、インシデント対応計画の訓練などを実施するよう求めています。従業員はセキュリティに関して十分な技術的トレーニングを受ける必要があります。

5. テクニカルテスト費用:

定期的に内部・外部の脆弱性スキャン、ペネトレーションテスト(侵入テスト)、ワイヤレススキャン、カード会員データのスキャン、コードレビュー等を行う必要があります。

6. その他の費用:

サービスプロバイダは、VISAやMasterCardなど、カードブランドにサービスプロバイダ登録する必要があります。

これらの費用のほか、PCI DSSの審査・認証費用があります。これは、PCI DSSのQSAによる審査および報告書作成にかかる時間によって決まります。

 

PCI DSS 認証取得のプロセスおよび費用
自分に適したPCI DSS SAQはどれ?

越境EC事業者、サードパーティのキャッシュレス決済会社、サービスプロバイダ等は、PCI DSSへの準拠が非常に重要となります。準拠要件の実施によって得られるのは、アクワイアラや管理機関に提出する準拠証明書だけではありません。データの漏洩や盗用のリスクから企業を守るとともに、取引に関する消費者からの信頼向上にもつながります。

PCI DSSの要求事項は、認識から理解、エビデンスの提供、認証取得、認証取得後の準拠状態の維持まで、合わせて400項目を超えます。

QSACの支援を受ければ、短期間で効率的に準拠を実現できます。さらに、認証取得後も準拠管理システムの自動監視機能、アラート機能、定期的なデータ提出機能、リアルタイムの状態監視機能などを利用することで、常に準拠状態を維持し、セキュリティを守ることができます。

 
 
*私たちのサービスについてもっとお知りになりたい方は、お気軽にお問い合わせください
 

PCI DSS 準拠達成のプロセスおよび費用

/0 Comments/in

この記事では、2024年の最新のPCI DSSの認証取得のプロセス、

介紹 PCI DSSの認証レベルと費用について解説します。

目錄

PCI DSSについて

Payment Card Industry Data Security Standards(略称PCI DSS)は、主要国際カードブランド数社がカ

ード会員データの安全な

取り扱いのために策定した、カード業界共通のセキュリティ基準であり、適用対象はカード会員データを保存、処理、伝送する事業者全般に渡ります。これらの国際ブランドのカードを取り扱う加盟店(Merchant)やサービスプロバイダ(Service Provider)はいずれも、規模や取引量にかかわらず、PCI DSSに則ってカード会員データを保護する必要があります。
PCI DSS認証のセキュリティ基準を策定、管理しているのはPCI SSC(Payment Card Industry Security Standard Council、PCIセキュリティ基準審議会)で、創設メンバーのAmerican Express、Discover、JCB、MasterCard、VISAおよび戦略的メンバーのUnionPay(銀聯)で組織されています。

PCI DSS認証レベルについて

PCI DSS認証は通常、PCI DSS審査(PCI DSS Assessment)と呼ばれています。加盟店(Merchant)やサービスプロバイダ(Service Providers)は、カードブランドによって多少違いはあるものの、総じてレベル1~4に分けられ、レベルに応じたセキュリティ対策が要求されます。

カードブランドによってレベルの規定は若干異なりますが、例としてVISAの規定を紹介します。

 

  • 加盟店レベル

  • サービスプロバイダレベル

レベル1の加盟店およびサービスプロバイダは、PCI DSSのQSA(Qualified Security Assessor、認定セキュリティ評価者)の訪問審査を受け、報告書を受け取ります。レベル2~4の加盟店およびレベル2のサービスプロバイダは、PCI DSS SAQ(自己問診票)を使って自己評価するか、もしくはQSAに評価を依頼します。
自社のレベルや適用されるSAQのタイプは、アクワイアラに確認しましょう。

PCI DSS認証取得にかかる期間

一般にPCI DSS認定取得までの流れは、大きく次の段階に分けられます。

 

準備開始からコンサルティング、審査実施までの一連の作業にかかる時間は、事業者の準備状況やシステム、運用プロセスの複雑さにもよりますが、通常3~5か月ほどです。

PCI DSS関連費用

1. システム関連費用

PCI DSSでは強固なセキュリティを求めているため、システム関連の費用が増加します。たとえば、要件2.2.3では「1つのシステムコンポーネントに存在する主機能は1つだけ」(One Primary Function Per Server)としています。Webサーバ、アプリケーションサーバ、DBサーバなどの機能が1つのサーバに置かれている場合は、別々のサーバ(仮想サーバでもよい)に分けなければならないため、サーバの増設が必要になる可能性があります。あるいは、コンテナ化(Containerization)して切り離す必要があります。
なお、PCI DSSでは、DNSサーバ、NTPサーバ、FIMサーバ(File Integrity Management)、ログ解析サービスなどのセキュリティコンポーネントを実装するよう求めており、要件を満たすために機器の増設が必要となる可能性があります。

2. セキュリティ機器費用

PCI DSSのセキュリティ要件に対応するため、ファイアウォール、IPS、IDS、WAFといったセキュリティ機器の増設が必要になる可能性があります。

3. データ暗号化装置費用

PCI DSSはカード会員データを暗号化するよう求めています。高いセキュリティレベルと高い性能が求められる事業者では、HSM(ハードウェアセキュリティモジュール)を使用して、カード会員データを保存する際のセキュリティを確保しなければなりません。

4. トレーニング関連費用

PCI DSSでは、セキュリティ意識向上トレーニング(Awareness Training)、開発者向けトレーニング(Secure Coding Training)、インシデント対応計画(IRP:Incident Response Plan)の訓練など、従業員向けのトレーニングを実施するよう要求しています。なお、社内で脆弱性スキャン(Vulnerability Scan)やペネトレーションテスト(侵入テスト)を行う場合、社内のテスターに十分なセキュリティ技術トレーニングを受けさせる必要があり、その分、訓練費用も増加します。

5. テクニカルテスト費用

PCI DSSでは、以下の複数のテクニカルテストを定期的に実施するよう要求しています。

    • カード会員データのスキャン (Card Number Scanning)
    • コードレビュー (Code Review)
    • 内部脆弱性スキャン(Internal Vulnerability Scan)
    • 外部脆弱性スキャン (ASV, External Vulnerability Scan)
    • 内部ペネトレーションテスト (Internal Penetration Test)
    • 外部ペネトレーションテスト (External Penetration Test)
    • ワイヤレススキャン (Wireless Scan)

これらのテストのための費用が新たに発生します。

6. その他の費用

サービスプロバイダ(Service Provider)は、アクワイアラまたはカードブランドから、カードブランドのウェブサイトにプロバイダ登録するよう要求されます。たとえば、VISAのVISAレジストリ VISA 的 VISA SP Registry  やMasterCardのサービスプロバイダ登録などがあります。

中小規模のサービスプロバイダ(Service Provider)で、過去にPCI DSSに準拠したことがなければ、通常、次に挙げるような費用が新たに発生します。

PCI DSSの審査費用

これらの費用に加えて、PCI DSSの審査費用がかかります。この費用は、PCI DSS QSAによる審査と報告書作成にかかる時間によって決まります。また、審査に要する時間の目安は、以下の要素に関係しています。

• システムの複雑さ

サーバの数、システムで使用するOSの種類、システムにインストールされているコンポーネント(Component)の数。複数のOSが同時に使用され、また複数のセキュリティ構成がある場合は、テスト時のサンプリング(Sampling)が大幅に増加します。

• セキュリティ機器とネットワークセグメント

審査の対象となるセキュリティ機器の数。ファイアウォール、IPS、IDS、WAF、スイッチ、ルーター、SIEM、FIMなどのセキュリティ機器は、設定や更新状況、アクセス制御、ログなどを検査し、記録を保存する必要があります。そのため、セキュリティ機器の数が多いほど、ネットワークセグメントが複雑になり、審査に時間がかかります。

• 接続するアクワイアラやサービスプロバイダの数

接続するアクワイアラやサービスプロバイダの数が増えるほど、データフロー(Dataflows)が複雑になるため、検査に時間がかかります。

• データベース、カード会員データの保持と暗号化

カード会員データのデータフローが複雑になるほど、また保存するカード会員データの種類が増えるほど、暗号化やセキュリティ保護の要件が増え、審査項目も多くなります。

• 運用地点の数

店舗、サーバルーム、オフィスなどの運用地点数は、審査日数に直接影響します。たとえば、店舗やオフィスなど運用地点の数が多い銀行や通信会社などでは、サンプリングの必要数も増えます。なお、カード会員データを保管するバックアップサーバルームがある場合、通常これらも審査対象となります。

一般的に、PCI DSSの審査費用は地域によって異なります。これは、PCI SSCが各地域から徴収する年会費やQSAの給与が地域によって異なるためです。東南アジアで言うと、中小規模のサービスプロバイダが初めて審査を受ける場合、訪問審査(On-site Assessment)に3~5日、報告書作成に約1週間かかるため、交通費を除いた初回の認証費用は、新台湾ドル40~60万元ほどが相場となります。ただし、実際にかかる費用は、上述の複雑さなどを加味した正確な審査時間を元に計算されます。

Vincent Huang

セキュアベクターズ・インフォメーション・テクノロジーズ – PCI QSA・シニアコンサルタント – PCI QSA and Senior Consultant

  • IT Security Management, Payment Card Industry Security, Data Center Security and Cloud Security
  • 専門資格:PCI DSS QSA, PCI 3DS Assessor, PIN Security QPA, CISSP, CEH, NSPA, ISMS LA, ITSM LA, Certified CSA STAR Auditor, Europrise Technical Expert
Secure Vectors Information Technologies Inc.

セキュアベクターズ・インフォメーション・テクノロジーズ(Secure Vectors Information Technologies Inc.)は、ペイメント業界のセキュリティ管理(テクニカルテスト、コンサルティング、認定審査等)を専門に支援する企業です。当社のサービス範囲には、PCI DSS、PCI 3DS、PCI PIN Securityといったペイメントカード業界のセキュリティ基準とコンサルティングサービスが含まれます。アメリカ、イギリス、中国、日本、シンガポール、ベトナム、台湾などの地域に営業拠点を置き、認証(認定審査)、セキュリティ管理代行、準拠管理プラットフォーム、コンサルティングなど、準拠関連の製品やサービスを提供しています。
PCI DSS認証取得のプロセスと追加費用 | セキュアベクターズ
PCI DSSは国際カードブランドがカード会員データのセキュリティを守るために共同で策定した業界の基準です。ここでは、PCI DSS認証取得に関わる加盟店やサービスプロバイダのレベル、準拠にかかる時間や流れ、新たに発生する費用、審査やコンサルティングの費用などを解説しており、PCI DSS準拠の要件や予算を素早く理解できる記事になっています。

*準拠サービスについての詳細は、 service@securevectors.comまでお気軽にお問い合わせください