自分に適したPCI DSS SAQ(自己問診)はどれ?

/0 Comments/in ,

自分に適したPCI DSS SAQ(自己問診)はどれ?

PCI DSS Self-Assessment Questionnaire(以下「SAQ」)は決済システムの準拠状態をチェックするための自己問診票で、レベル2~4の加盟店およびレベル2のサービスプロバイダに適用されます。

SAQは、事業者がPCI DSSの各要件を満たしているかどうかを評価するためのチェックシートです。たとえば、VISAなら取引件数が年間600万件未満の加盟店と取引件数が年間30万件未満のサービスプロバイダに適用されます。

Table of Contents

SAQを実施する前に、次の5つを行いましょう。

  1. 自社に適用されるSAQのタイプを選ぶ
  2. PCI DSSの対象範囲が正しいことを確認する
  3. 自社に適用されるPCI DSSの要求事項を満たしているかどうか自己評価する
  4. SAQの各セクション(評価情報、自己問診、検証と認証の詳細)に記入する
  5. アクワイアラなどから求められた際は、SAQ結果、AOC(準拠証明書)、関係資料を提出する
このうち最も重要なのが、自社に適用されるSAQのタイプを選ぶことです。
 
たとえば電子商取引の場合は、次のいずれかのタイプになるでしょう。

サービスプロバイダ

に適用されるのは「SAQ D–サービスプロバイダ用」のみです。これは、「SAQ D–加盟店用」の項目に加え、文書の有無および顧客への提供、ポリシーおよび手順の調査、システム構成設定の調査、警告の有無、ペネトレーションテスト(侵入テスト)の記録などに関する項目が追加され、計259項目もの質問で構成されています。

加盟店

  1. SAQ A

    決済システムをサービスプロバイダに完全に外部委託している(決済ページでURL RedirectやiFrameを使用している)事業者に適用されます。SAQ Aでチェックされる内容は文書、システム構成設定の調査、ポリシーおよび手順の調査、データの保管と削除、外部脆弱性スキャンのレポート等です。SAQ Aは全タイプのうち最も短く、質問は29項目しかありません。

  1. SAQ A-EP

    決済システムをサービスプロバイダに外部委託しているが、決済ページは自社で設置している加盟店に適用されます。SAQ A-EPのチェック内容には、上述したSAQ Aの項目に加え、ネットワーク管理、サーバ管理、情報セキュリティ、脆弱性管理、アクセス制御、ネットワークの定期的な監視とテストなどがあります。加盟店がペイメントサービスの一部に関与していることから、要件が大幅に増加しています。

  1. SAQ D for Merchant

    決済システムを自社で設置しているか、または取引の過程でカード会員データを電子的に保存している加盟店に適用されます。チェック内容は上述のSAQ A-EPよりもさらに広範になり、PCI DSSの加盟店向けの要件がすべて含まれています。

PCI DSS SAQは10種類あり、提供するペイメントサービスによって異なるSAQが適用されます。どれが適用されるかは一般にアクワイアラから通知されるか、もしくはQSAがCDE(カード会員データ環境)やカード会員データ(カード番号など)に関わる手順、データフローなどを確認し、適用されるタイプを正確に判断します。また、こちらのPCI DSS SAQのタイプ説明を参考にすれば、大まかな判断が可能です。

PCI DSS SAQは毎年定期的に実施、更新する必要があります。PCI DSSのことがまだよくわからない、SAQのタイプの違いについてもっと詳しく知りたいという方は、QSAやQSACに専門的なアドバイスを求めることで、効率的かつ適切なPCI DSS準拠を実現できるでしょう。

キーワード:PCI DSS SAQ、自己問診票