NRIセキュア、クレジットカード業界の国際的なセキュリティ基準「PCI DSS」v4.0への対応を支援する対策基準書を提供開始

■PCI DSSのアップデートに伴い、自社のセキュリティ基準の見直しが求められている

PCI DSSは、クレジットカードの会員データを安全に取り扱うことを目的として、PCI SSC[i]によって制定、運用、管理されている国際的なセキュリティ基準です。セキュリティ対策のさらなる強化や新規要件の追加など、大幅にアップデートされたPCI DSS v4.0に準拠するには、自社のセキュリティ基準を見直す必要があります。一方で準拠基準に沿って漏れなく見直すための作業は事業者にとって大きな負荷になりえます。

■「PCI DSS対策基準書」の概要

本基準書は、これまで数多くのカード会社や加盟店のPCI DSS準拠を支援してきたNRIセキュアの知見を活かし、PCI DSS v4.0で求められている各要件を網羅的に集約したものです。PCI DSSのバージョンアップに伴うセキュリティ基準書作成や見直し作業を省力化し、事業者におけるスムーズなPCI DSS準拠を支援します。

主に、以下の2点を提供します。

1. PCI DSS対策基準書

PCI DSSの要件として求められているセキュリティ基準を1つの文書にまとめたものです。PCI DSS準拠の方法として、PCI SSCが認定した審査機関「QSA（Qualified Security Assessors：認定セキュリティ評価機関）」による審査と、「SAQ（Self-Assessment Questionnaire：自己問診）」の2つがあり、本基準書はそのどちらにも利用可能です。

2. 証跡類のひな型

PCI DSSの要件で求められる運用記録や台帳等の証跡類のひな型を提供します。

図：「PCI DSS対策基準書」のイメージ

本基準書の詳細については、次のWebサイトをご参照ください。

https://www.nri-secure.co.jp/service/consulting/pci-dss-guideline

「PCI DSS準拠支援コンサルティング／審査」[ii]では、QSAであるNRIセキュアのコンサルタントが、準拠に向けた対策実施から訪問審査までワンストップで支援することもできます。こちらのサービスでは、各事業者の環境を踏まえた対策基準書とひな型のカスタマイズも可能です。

NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。

[i] PCI SSC：Payment Card Industry Security Standards Councilの略称。国際クレジットカードブランド会社5社（VISA、MasterCard、JCB、American Express、Discover）が設立した、クレジットカードのセキュリティ基準の開発、管理、教育、および認知を実施する団体のこと。現在は銀聯（UnionPay）も参加ブランドとなり6ブランドが参加しています。

[ii] PCI DSS準拠支援コンサルティング／審査：詳細については、次のWebサイトをご参照ください。https://www.nri-secure.co.jp/service/consulting/qsa