top
  • パートナーシップ
  • 採用情報
  • サイトマップ
  • English
  • 緊急連絡先
  • お問い合わせ

PCI DSSアセスメント

PCI DSSアセスメント 背景

PCI DSSアセスメントは、このような組織(事業者)に有効です。

■PCI DSSへの対応を顧客に迫られているが、まだ何も整備できていない状況であり、どこから手を付けて良いか分からない状況である。

□PCI DSSの要件は多岐にわたります。そのため、特定の要件(たとえば暗号化対策の要件)だけ注力しても不十分です。PCI DSS準拠整備に必要となる作業を最も効率良く、効果的にするためには、組織の現状を明らかにし、整備に必要なアプローチを順序立てて計画することが必要です。

■セキュリティは従来から取り組んでいるが、PCI DSSに準拠した取り組みではなく、場当たり的に対応してきたため、多岐にわたるPCI DSS要件のどの部分が充足できているかが把握できていない。

□セキュリティ対策(たとえば情報セキュリティマネジメントのISMS)を整備している組織であれば、PCI DSS要件が満たされるかというと、そうではありません。従来のセキュリティ対策でPCI DSS要件を満たしていることもありますが、それがどの部分の、どのくらいの準拠レベル(認定がもらえるレベルかどうか)まで満たせているかが不透明な状態であることが通例です。

■PCI DSSを整備するための担当者は任命されているが、PCI DSS整備に関する専門知識が乏しいため、自己判断・評価に不安が残っている

 

□PCI DSSの要件は具体的であり、また多岐にわたります。技術的なセキュリティ対策に精通していても、文書整備(セキュリティポリシー整備など)の経験がないなど、少数の担当者で全てのPCI DSS要件をカバーするのは困難です。
そのため、経験の乏しい要件について自己判断・評価を行った場合、準拠認定の審査においては不適合事項となってしまうかもしれません。

PCI DSSの要件

GSXコンサルティングの特色

PCI DSSアセスメント コンサルティング例

ステップ

効果・メリット

PCI DSSアセスメントを利用していただくことにより、下記のメリットがあります。

■アセスメント結果を、経営層及びセキュリティ管理責任者に報告することにより、必要な経営資源(人・モノ・予算)が確保し易くなります。 その結果、適切なセキュリティレベルの維持に必要な経営資源の配分が可能となります。

 

■現状における組織のセキュリティ対策内容とPCIDSS要件への準拠状況が明らかになります。
その結果、適切かつ効率的にPCIDSS要件へ準拠させるための計画を、立てることができるようになります。

 

■PCIDSSへの準拠状況の報告を関係組織から求められている場合、本アセスメント結果をベースに報告対応をすることができるようになります。


支援・実施実績

■流通系クレジットカード会社における、特定システムに対するPCI DSSアセスメント支援電力会社、大手製造業、大手金融機関、官公庁、自治体 など

Q&A

キックオフからアセスメント結果の報告まで、どの程度の期間がかかりますか。

アセスメント対象の規模にもよりますが、1システムであれば1~2ヶ月程度です。

対象システムを、どのように選定すれば良いですか。

高いセキュリティレベルが求められる情報が大量に保存や処理されている、インターネットに公開されている等、当該システムのリスクを考慮し選定して下さい。なお、対象システムの選定に関しても、コンサルティングサービス内容に含めることが可能です。

どのようなヒアリング対象者を想定していますか。

システムに関する運用保守の委託先まで含めた、各担当者です。

Pagetop