本文へジャンプ

PCI DSS 企業を守るセキュリティー基準

PCI DSSとは、クレジットカード情報を保護するために、国際ブランド(American Express、Discover、JCB、MasterCard、VISA)が決めた国際セキュリティー基準です。カード発行会社、決済代行会社、加盟店が取り扱うカード情報の漏洩を防止するための具体的な方法が記述されています。IBMでは全ての要件の国際基準のサービス・製品をご提供します。
概要
 

PCI DSS 総合支援サービス、カード情報を守るセキュリティー基準、IBM自社製品・サービスでご提供可能、日本IBMは、PCI DSS認定評価機関(QSA)です

PCI DSSとは、クレジットカード情報を保護するために、国際ブランド(American Express、Discover、JCB、MasterCard、VISA)が決めた国際セキュリティー基準です。カード発行会社、決済代行会社、加盟店が取り扱うカード情報の漏洩を防止するための具体的な方法が記述されており、全てのセキュリティー要件項目に遵守する必要があります。IBMは、PCIDSS遵守が必要なお客様が対応できるように、国際基準のサービス・製品をご提供します。



カード業界を取り巻く環境とセキュリティーの重要性
PCI DSS 遵守が必要とされる企業と対象範囲
PCI DSS遵守のタイムライン
IBMがご提供するPCI DSS 総合支援サービス
IBMの優位性
さらに重要性が高まるPCI DSSの動向について



i
カード業界を取り巻く環境とセキュリティーの重要性
昨今、国内外のクレジットカード加盟店や業務委託先からのカード会員データに関わる情報流失事件が、大小を問わず多数報告されています。情報を盗み出す不正アクセスの手口として知られるSQLインジェクション攻撃も増え続けており、IBMセキュリティー・オペレーション・センターの調査では、昨年(2008年)12月には攻撃数がそれまでの月間平均検知数の約200倍にも上っています。

 

 カード・ビジネスが順調に成長を続ける一方でカード犯罪も増え続けており、犯罪に結びつく情報の流出を防ぎ信頼を維持するために効果的な対策が広く求められているのが現状です。カード会員データの保護に対する注目は高く、法制度をも視野に入れた企業側の積極的な対応が必要となりつつあります。


2007 年6 月から 2008 年12 月までの SQLインジェクション攻撃の検知状況
IBM Security Operation Center (SOC) Weekly SOC Report
(2009年1月6日)公表


このような背景から効果的なカード会員データ保護のために2004年に発表されたのが、PCI DSS(Payment Card Industry Data Security Standard)です。これは、国際ペイメントカードブランドであるAmerican Express、Discover、JCB、MasterCard、Visaが共同で策定したクレジット業界におけるグローバル・セキュリティー基準で、昨年(2008年)10月には最新版であるバージョン1.2が公開されています。
現在PCI DSSは、前述した国際ペイメントカードブランド5社が共同で設立した推進協議団体 PCI Security Standards Council, LLC.(PCI SSC)によって策定や運用が行われています。

IBMは、PCI DSSで定められるセキュリティー対策が実現できているか技術的診断により確認し判定することができる評価機関(ASV)として、さらに、専門技術者(QSA)による監査(訪問調査)として、PCI SSCの認定を受けている企業です。


上に戻る

i
PCI DSS 遵守が必要とされる企業と対象範囲
カード情報を「保存、処理、または伝送する※1」企業であるカード加盟店、銀行、決済代行など行うサービス・プロバイダーが、年間のカード取引量に応じて、PCI DSS 準拠する必要があります。カード取引量がPCI DSS準拠の基準に満たさなくても、各カードブランドが制定しているセキュリティー基準プログラムに準拠する必要があります。
※1正式な標記は英語で「stores, processes, and/or transmits」となります。


PCI DSS遵守の対応が想定されるお客様
(イシュアー、アクワイアラー、サービス・プロバイダー、加盟店)

業界業界例
金融業クレジットカード会社、クレジットカード発行金融機関
流通業大手百貨店、スーパー、量販店、鉄道、航空会社
通信・メディア・公共携帯電話会社、通信会社、ユーティリティ、新聞
製造業石油業界 他


PCI DSS 12個のセキュリティー要件



PCI DSS 12個のセキュリティー要件を拡大する

 

カード会員データを保管、処理および伝送する範囲が、PCI DSS遵守の対象

PCIDSS遵守要件のシステム実装例



 PCIDSS遵守要件のシステム実装例を拡大する

上に戻る

i
PCI DSS遵守のタイムライン
Visaは 2008年11月、PCI DSS遵守の国際的な義務化に向けた以下のタイムラインを発表しました。これにより、加盟店、サービス・プロバイダーおよびプロセッサにおける基準の遵守に必要な統一された枠組みが整いました。

・タイムライン
  2009年2月1日 サービス・プロバイダーのレベル定義統一の実行日
  2009年9月30日まで レベル1/2の加盟店向け保管禁止データの廃棄期限
  2010年9月30日まで レベル1加盟店向けPCI DSS遵守バリデーションの期限


・加盟店及びサービス・プロバイダーのレベル分けとバリデーション(遵守状況確認)要件の統一



加盟店及びサービス・プロバイダーのレベル分けとバリデーション(遵守状況確認)要件を拡大する


上に戻る

i
IBM PCI DSS 総合支援サービス
IBMは、お客様がPCI DSS 遵守までの一連したご支援を提供するべく、3つのサービスをご用意しております。

IBM QSA による PCI DSS 完全遵守までの流れ

IBM QSA による PCI DSS 完全遵守までの流れを拡大する

1.PCI DSS事前評価支援サービス
PCI DSS Version1.2 の完全遵守に向けた簡易アセスメント(ギャップ分析)を実施することで、潜在的な未遵守項目を洗い出し、その対策案と対策実施のロードマップをご提供いたします。

2.PCI DSS実装支援サービス
事業者様への事前PCI DSS説明会をはじめ、事前評価サービスの結果に基づき、要件定義フェーズから詳細設計にいたるまで、PCI DSSバージョン1.2に適合するセキュリティー環境を構築するための実装支援サービスをご提供いたします。

3.PCI DSS QSAオンサイト・レビュー
PCI DSS Version1.2 の完全遵守に向けたQSAオンサイト・レビューを受けることで、カードブランドの要求するサービス・プロバイダー又は加盟店としてのValidation及びReporting要件に対応することが可能です。これにより、国際ペイメントカードブランドが要求するサービス・プロバイダーまたは加盟店としてのバリデーションおよび報告要件に対応することが可能です。

IBMはお客様に対して、サービスを一貫してご提供できるソリューションベンダーです。IBMならワンストップでアセスメントからバリデーションまでのすべてをご支援できますので、全体プロジェクト管理と個別プロジェクト実行において、運用やコスト、期間の最適化が可能となります。


上に戻る

i
IBMの優位性
1.PCI DSS完全遵守に向けたIBMのトータル支援サービス
IBM は、コンサルティング・サービスを含む改善策対応のソリューションから完全遵守を審査するQSAオンサイト・レビューまでの全ての支援サービスを一貫してご提供できるソリューション・ベンダーです。ワンストップでご提供することにより、全体プロジェクト管理と個別プロジェクト実行において、運用、コストと期間の最適化を可能とします。

IBM PCI DSS 総合支援サービス

IBM PCI DSS 総合支援サービスを拡大する


2.12 の要件全てに対しIBMの自社製品・サービスで対応が可能
お客様の現状分析から対応が必要なソリューション群からさらに適切なソリューションを選択してご提供することで、ソリューションとコストの最適化を図ることが可能です。

PCI DSS 12の要件に対するIBMソリューションの一例




PCI DSS 12の要件に対するIBMソリューションの一例を拡大する

※PCIDSSの詳細なセキュリティー要件に対するソリューションについては、ご担当のIBM営業にご相談ください。

3.豊富な経験と実績
PCI DSS の先進である米国IBM及びワールド・ワイドIBMにおける豊富な経験と実績、それに基づいたナレッジを生かした製品、サービスの提供が可能です。

参考事例: Computer Sciences Corporation ~Hyatt Hotels の PCI ソリューション~


上に戻る

i
さらに重要性が高まるPCI DSSの動向について
これまで日本では、アメリカと比較してアクワイアラ(加盟店契約会社)から加盟店に対するPCI DSS遵守に関する強制力はあまり強くありませんでした。しかしながら昨今の情報漏洩事件を背景に、国際ペイメントカードブランド各社から加盟店やサービス・プロバイダー(決済サービス事業者など)へのPCI DSS遵守を促す動きが高まってきています。今後PCI DSSは、監査レベルの統一化の動きが活発化し、監査においてはさらに厳密なチェックが行われるようになります。

また、PCI DSSは、クレジットカード関連企業のみならず、製造業など他の業種の企業からも注目を集めております。何故ならば、PCI DSSの保護するべきカード情報を個人情報に置きかえても、情報を保護するという目的では、カード業界だけに限らず、広く一般企業にとっても有効なセキュリティー基準と言えるからです。

一般に情報資産保護の観点で導入されるInformation Security Management System(ISMS:情報セキュリティー・マネジメント・システム)は、その名の通りマネジメントのための仕組みです。一方、PCI DSSは実装面を重視したガイドラインの為、両方が補完的に働きます。PCI DSSは、単にバリデーション(遵守状況確認)を受けて国際ペイメントカードブランドとの継続的なビジネスを行うためというだけでなく、セキュリティー強度の向上のため、安全の確保のために必要なのです。

SMSとPCIDSSの比較



上に戻る

印刷用ページ
ページをe-メールで送信
PCI DSS カタログ

IBM PCI DSS ソリューションのご案内  (2906KB)

Adobe®Reader®が必要


見積依頼・お問い合わせ
お気軽にどうぞ。折り返しご連絡いたします。

見積を依頼する
お問い合わせについてもこちらからお気軽にどうぞ。