Comments
Description
Transcript
PCI DSS - 新日本有限責任監査法人
PCI DSS準拠支援サービスの ご案内 クレジットカード情報の管理 は万全ですか? PCI DSSに準拠していれば、 企業価値(信用、ブランド) の向上はもちろんのこと、具 体的にセキュリティポリシー を定義することでサイバー 攻撃による被害のリスクを 低減することができ、またイ ンシデント発生時に求めら れる損害補償の義務が免 責されます。 クレジットカード取引を取り巻く環境の動向 昨今のネット取引の拡大に伴い、クレジットカード決済の取引量はますます拡大の傾向にあります。その一 方、クレジットカード決済にかかわる事業者のシステムから、SQLインジェクションなどの手口により、数百 万件規模のカード情報が漏えいする事件が多発しています。 クレジットカード情報の漏えいが発生した場合、企業は業務停止リスク、信用低下リスク、事後対策コスト (個人への補償、フォレンジック対応、アクワイアラーへのペナルティ等)、株価下落リスク、損害賠償訴訟リ スクなど多大なるダメージを被ることになります。 PCI DSS準拠の必要性 PCI DSS(Payment Card Industry Data Security Standards)とは、国際カードブランド5社(American Express、Discover、JCB、MasterCard、VISA)により設立されたPCI SSCが、加盟店やサービスプロバイ ダにおいてクレジットカード会員データを安全に取り扱う事を目的として策定したセキュリティ基準です。 国際カードブランドからの要請により、クレジットカード情報を取り扱う加盟店に対して、非対面/ネット業務 と対面/POS業務に対してPCI DSS準拠を要求されています。 「PCI DSSに関するプレイヤーの相関関係」 証明書提出(制度名) 認定ベンダー スキャニングベンダー(ASV) 検証結果の報告・証明書提出 (DSOP) スキャニングの 契約締結・実施 証明書提出(任意) (JCB Data Security Program) 認定 証明書の提出 (SDP) PCI SSC 加盟店様 認定 セキュリティ評価機関(QSA) カード会社 証明書の提出 (AIS) 検証結果 の報告 セキュリティ評価 の契約締結・実施 国際支払いカードブランド A社 B社 C社 D社 (出所:日本情報経済社会推進協会 クレジット加盟店向け“情報セキュリティのためのガイド”より抜粋) 日本の法律との関連性 日本には、個人情報保護法・貸金業法・割賦販売法といったクレジットカード情報管理に関連する法的規制 が存在します。PCI DSSは、個人情報保護法の規程を具体化した内容を含んでおり、PCI DSSに準拠する ことはクレジットカード情報を取扱う企業にとってコンプライアンス上必須であると考えられます。貸金業法と 割賦販売法の具体的なセキュリティ対策についても、個人情報保護法の安全管理措置に含まれています。 「PCI DSSと日本の法律の関連性」 基準名 PCI DSS 個人情報保護法 貸金業法 割賦販売法 対象の事業者 カード会社/加盟店 カード会社/加盟店 カード会社 カード会社/加盟店 クレジットカード情報 に関する規程 個人情報保護法の規程を 含む、より具体的な規程 具体的な 安全管理措置 個人情報保護法 の規程に基づく措置 個人情報保護法 の規程に基づく措置 新日本有限責任監査法人 当法人のサービス実績と特徴 大手企業様をはじめとする、当サービスのコンサルティング実績をもとにPCI DSS準拠をご支援します。EYのグローバルナレッジの活用ならびに 審査機関(QSA)との協力により、リスクベースのアプローチでオーバースペックによるコスト高を回避します。 オ ー バ ー ス ペ ッ ク の 回 避 正確なスコープの 特定 設計資料やヒアリングでシステム構成を十分に把握し、PCI DSS準拠の第一歩であるカード会員 データ環境(カード情報が伝送・保管される環境)およびカード会員データ環境に接続される機器から なるPCI DSSの評価範囲を正確に特定します。 効率的な対応計画の 組立て PCI DSSバージョン3.0では、約400項目にわたる要件への対応が求められておりますが、これら要 件の対応状況確認と対応計画策定を手作業で行うことは効率的ではありません。コンサルティング 実績を重ねて開発した独自ツールを活用し、効率的なアクションプランを計画します。 新日本有限監査法人は日本を代表する監査法人です。中立的な立場より、特定のベンダーや製品 に依存することなく、システム構成、現状の運用および組織の実態に合わせ、リスクベースで適切な 対応方針を提案します。 ベンダーフリーで 無駄のない 対策の提案 アクションプラン策定のアプローチ(イメージ) 対象範囲特定のアプローチ(イメージ) B:センシティブ認証データの非保持とデータ保持の最小化 A:マネジメントシステムの整備 C:外部・内部ワイヤレスネットワークの保護 D:アプリケーショ ン・サーバの改修 (1.1.1/6.4 ) 変更管理プロセスの策定 変更管理手順書 (4.1) 公共/ワイヤレスネットワークにおける暗号化方式の策定 ファ イアウォール構成基準 (1.4) パーソナルFWの設計・実装 パーソナルFW設計書 (1.1.7) ネットワーク機器レビュー方針の策定 レビュー方針書 (1.1/1.2.*/1.3.*) ファ イアウォール構成基準の策定 ファ イアウォール構成基準 (1.5) ファイアウォール管理ポリシー/操作手順の策定 ファイアウォール管理ポリシー/操作手順 (1.1/1.2.*/1.3.*) ファ イアウォール構成基準に基づく実装 - (2.2) システム構成基準の策定 システム構成基準 システム構成基準に基づく実装(ネットワーク) - システム構成基準に基づく実装(サーバ) - (2.4) インベントリ維持方式の策定 (2.4) インベントリ維持方式の実装(ネットワーク) (2.4) インベントリ維持方式の実装(サーバ) (4.2) 保護されていないPANの送信ポリシー策定 情報セキュリティガイドライン(もしくはそれに類する規程) (5.1) ウィルス対策ソフトの導入ポリシー策定(定期スキャン/自動更新) 情報セキュリティガイドライン(もしくはそれに類する規程) (5.1) ウィルス対策ソフトの導入設計 ウィルス対策ソフト設計書 (5.2) ウィルス対策ソフトの導入 ウィルス対策ソフト導入作業エビデンス (1.4) パーソナルFWの設計・実装 パーソナルFW設計書 PCI DSS準拠までの流れとご支援内容 予備審査 審査 Phase 1 対応 フェーズ 支援内容 期間 (ご参考) 範囲特定 本審査 Phase 2 ギャップ分析 Phase 3 アクションプラン策定 /対応方針検討 現状のシステム構成を分 析し、カード会員データの 伝送経路と保存場所を特 定し、適用範囲定義書の 作成支援を行います。 カード会員データ環境の システムに対してギャップ 分析を行い、あるべき姿と の差分を洗い出します。 前工程で洗い出された差 分に対し改善策の立案と、 実装のスケジュールの策 定を行います。 0.5~1カ月 0.5~1カ月 0.5~1カ月 Phase 6 Phase 5 Phase 4 実装 PCI DSSに準拠するため の体制整備の支援、運用 ドキュメント整備やシステ ム改修(インフラ・アプリ) に関する各種アドバイス を行います。 2カ月~(システム規模や 改修量により変化) 更新審査 運用 継続 PCI DSSの運用計画に沿 った運用手順の検証に関 する各種アドバイスを行 います。 次 年 度 の 更 新審 査 に 向 け、運用実施状況のモニ タリング支援を行います。 1~4カ月 12カ月 お問合わせ先:新日本有限責任監査法人 アドバイザリー事業部 〒100-6028 東京都千代田区霞が関3-2-5 霞が関ビルディング Tel : 03-3503-3500(代表) Fax: 03-3503-1966 [email protected] EY | Assurance | Tax | Transactions | Advisory EYについて EYは、アシュアランス、税務、トランザクションおよびアドバイザリーなどの分野における世界的なリーダーです。私たちの深い洞察と高品質なサービスは、世界中の資本市場や経済 活動に信頼をもたらします。私たちはさまざまなステークホルダーの期待に応えるチームを率いるリーダーを生み出していきます。そうすることで、構成員、クライアント、そして地域社 会のために、より良い社会の構築に貢献します。 EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバル・ネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤン グ・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。詳しくは、ey.comをご覧ください。 新日本有限責任監査法人について 新日本有限責任監査法人は、EYメンバーファームです。全国に拠点を持つ日本最大級の監査法人業界のリーダーです。監査および保証業務をはじめ、各種財務アドバイザリーの分 野で高品質なサービスを提供しています。EYグローバル・ネットワークを通じ、日本を取り巻く経済活動の基盤に信頼をもたらし、より良い社会の構築に貢献します。詳しくは、 www.shinnihon.or.jp をご覧ください。 © 2014 Ernst & Young ShinNihon LLC. All Rights Reserved. ED None 本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務及びその他の専門的なアドバイスを行うものではありません。新日本有限責任監査法人及び他のEYメンバーファームは、皆様が本書を利用したことにより被ったいかなる損害について も、一切の責任を負いません。具体的なアドバイスが必要な場合は、個別に専門家にご相談ください。