PCI DSSのすべて

書籍「PCI DSSのすべて」
~初心者でもわかるペイメントカードの世界基準~

株式会社TIプランニングが提供するカード情報ポータルサイト「ペイメントナビ(payment navi)」、PCI DSSポータル&資料請求サイト「ペイメントワールド(PAYMENT WORLD)」では、サイトのオープン以来、中立的な立場でPCI DSS関連のニュースや準拠企業事例などを紹介してきました。

国内では、決済代行事業者など、サービスプロバイダのPCI DSS準拠は徐々に進んできましたが、加盟店の対応は必ずしもカード会社やブランドの期待通りに進んでいない状況です。

そこで、TIプランニングでは、加盟店のPCI DSS準拠を応援するために、初心者でもわかりやすく読んでいただける書籍を発行することになりました。

本書の発行が、国内におけるPCI DSSの普及の後押しにつながれば幸いです。

■出版概要
「PCI DSSのすべて」
●発行:TIプランニング
●出版日時:2012年3月10日
●著者:ペイメントナビ/ペイメントワールド編集部
●販売:2,100円(税込)(送料200円)
●「書籍版」と「電子書籍版」を販売(※電子版の場合は必ず「備考」に電子版とご記入ください)
ISBN: 978-4-9905788-0-0

※クレジットカード(Visa、MasterCard、JCB、American Express、Diners)および銀行振り込みが可能です。

■初めて弊社と取引を行うお客様

お申込みを確認後、当社からご請求書をお送りいたします。書籍が完成次第、ご請求書をお送りします。入金確認後、当社より書籍を発送いたします。

■2冊以上の購入で送料が無料となります。PCI DSSの営業活動に最適です!

2冊以上のご購入 送料無料
10冊~49冊のご購入 5%割引
50冊~99冊のご購入 10%割引
100冊以上のご購入 20%割引

====書籍「PCI DSSのすべて」目次(Contents)====

第1章 PCI DSS を取り巻く背景と関連プレイヤー
(1)ペイメントカードの不正利用の現状
(2)PCI DSS(Payment Card Industry Data Security Standard)とは?
(3)PCI DSS にかかわるプレイヤー
(4)PCI SSC( Payment Card Industry Security Standards Council)
(5)国際ペイメントブランド
(6)QSA・ISA とASV
(7)PCI DSS 準拠の確認方法
①自己評価(自己評価問診票)
②脆弱性スキャンテスト
③訪問審査(オンサイトレビュー)
(8)国内でのPCI DSS の遵守状況
(9)国内でPCI DSS を推進する動き

第2章 国際ブランドの取り組み
(1)Visa のAIS の概要
●年間の取引件数により、レベル1 ~ 4 の4 レベルに分類
● Visa はPCI DSS 普及のためにさまざまな準拠期限を設定
●国内での普及に向けたさまざまな取り組み
●普及への課題は対応や維持コストの軽減策
(2)MasterCard Worldwide のPCI DSS 普及/ 推進戦略
● MasterCardWorldwide におけるPayment System Integrity
● PCI SSC とMasterCard
● PCI DSS とSDP
● PCI DSS 実施は複数の関係者の緊密な協力によって達成できる
●加盟店の役割は何か?
●ペイメントカードデータ流出事件が発生した場合の対応
● MasterCard 提供のPCI DSS Web セミナー
●まとめ
(3)JCB の「JCB データセキュリティプログラム」
● 3 種類の診断プログラム
( 自己診断、脆弱性スキャンテスト、訪問審査)を用意
● JCB の推進の第一優先はEC 加盟店
●各国の事情や決済環境に応じた取り組みを実施
(4)American Express の「データセキュリティ運営 方針(DSOP)」
● American Express のバリデーション基準

第3章 PCI DSS の12 要件を概観
(1)カード会員データとセンシティブ認証データ
(2)PCI DSS の対象範囲
(3)PCI DSS の12 要件と各項目
●安全なネットワークの構築と維持
要件1 / 要件2
●カード会員データの保護
要件3 / 要件4
●脆弱性管理プログラムの整備
要件5 / 要件6
●強固なアクセス制御手法の導入
要件7 / 要件8 / 要件9
●ネットワークの定期的な監視およびテスト
要件10 / 要件11
●情報セキュリティポリシーの整備
要件12
●共有ホスティングプロバイダ向けのPCI DSS 追加要件
(付録A)
●代替コントロール
(4)対応が困難な要件、解釈に迷う部分は?
● JCDSC QSA 部会で議題にあがった要件は2、3、6、10、11 が多い
(5)PCI DSS Version2.0 のポイントは?

第4章 関連プレイヤーの動向
(1)PCI DSS の普及・啓発に取り組む日本カード情報セキュリティ協議会
●国内のQSA 有資格者が集う「QSA 部会」
●「認定トレーニングに関するワーキンググループ」、「 統一ロゴマーク」の発行を検討へ
●ソリューションベンダーが活動するベンダー部会
(2)PCI SSC PO Japan 連絡会の活動とは?
● 2010年度は「PCI DSS 部会」「PTS/PA-DSS 部会」を設置
● 2011年度はPCI DSS のさらなる認知度向上に力を入れる
(3)ISMS との同時審査によるメリット
(4)割賦販売法によるクレジットカード番号等の保護
(5)データベース・セキュリティ・コンソーシアムが「データベース暗号化ガイドライン 第1.0 版」を策定

第5章 カード会員情報を保護するセキュリティ最新動向
(1)カード番号を保管しないメリット
(2)情報漏えいの傾向とフォレンジック対応
(3)新たなテクノロジーとして注目を集めるトークナイゼーション
事例 ゴルフダイジェスト・オンライン
日本最大級のゴルフポータルサイトがトークナイゼーションを導入
●決済代行事業者へのデータ委託ではセキュリティ強化の抜本的解決にはならない
● SQL インジェクションなどの攻撃に対応 暗号化よりもセキュリティ対策が強固に
●今後は会員の個人情報のトークナイゼーション管理も視野に
(4)「PCI DSS Virtualization Guidelines」とは?
●リリースの前から強い関心を集める、ガイドラインでは11 の仮想化のリスクを紹介
●混合モードの使用は避け、ハイパーバイザのセキュリティ管理が必要
(5)PA-DSS、PCI PTS について
事例 日本NCR
日本NCR の決済アプリが国内初、PA-DSS Version 2.0 認定を取得
●国内で初めて2008 年にPA-DSS に準拠
●前回の審査よりもPA-QSA の要求が高まる
●最近は顧客企業からもPA-DSS 準拠のリクエストが増える

第6章 PCI DSS の準拠事例
事例① メットライフアリコ
大手生命保険会社のメットライフアリコがPCI DSS に完全準拠
●年間取引件数は600 万件を優に超える、システムが大規模なためファイアウォールの設定で苦労
●現場との交渉により社内のルールを見直す、業務委託先の管理基準も作成
● Web サイトに監査証明マークを掲載
事例② NEC ビッグローブ
大手ISP のBIGLOBE がPCI DSS に完全準拠、取得に向けて既存システムから決済環境を完全分離
●国際標準として自ら取得を決意、カード会員情報を既存のシステムから分離
●自社システムと要件とのギャップに苦しむ、8 つの要件で代替コントロールを適用
●当初の想定よりも安価なコストで準拠を果たす、PCI DSS 取得は営業面でもプラスに
事例③ ソネットエンタテインメント
レベル1 のインターネットサービスプロバイダ「So-net」がPCI DSS準拠
ISMS、プライバシーマークと統合したマネジメントマニュアルを作成
● Version2.0 の発行に合わせて準備を開始、2 回の予備審査で準拠に備える
●従来からカード情報などの個人情報を一元管理、CVSS スコア4.0 未満を維持するための素早い対応が課題
● ISMS とPCI DSS の合同審査を5 日で実施、審査の負荷を軽減しISMS はコストを削減
事例④ ニフティ
@nifty のクレジットカード決済システムが完全準拠、取得に向け既存のデータベースからカード会員情報を分離
●会員数は1,000 万人を超える、AIS のバリデーションはレベル1
●アカウントの管理やセキュリティパッチの適用で苦戦、要件11 はソリューションの導入で対応
●取得に向け予備審査を2 回実施、大切なのは取得ではなくセキュリティレベルの維持・向上
事例⑤ ヤフー
「Yahoo! ウォレット」がPCI DSS に完全準拠、
レベル1 加盟店として世界基準のセキュリティ対応に意義を見出す
●取得に向け各部門のエキスパートが結集、審査まで5 カ月かけて準備に取り組む
●「課題管理票」や「想定問答集」を作成 大きなシステム投資、予備調査を受けずに準拠を達成
● Ver.1.2 にもスムーズに対応、取得経験も踏まえたPCI DSS の課題とは?
事例⑥ DMM.com/DMM.com ラボ
大手EC サイト「DMM.com」運営のDMM.com 社、システム委託先のDMM.com ラボ社と共にPCI DSS に完全遵守
●レベル1 の到達前に取得を決意 、カード会員情報は自社で保持
●準拠後の負担が大きいパッチの適用とログの集約、代替コントロールは適用せず
●加盟店より先にカード会社に準拠してほしい、2011 年以降も審査は継続
事例⑦ ユーシーカード
国内カード会社初、メインシステム環境でPCI DSS に完全準拠、
継続的なセキュリティレベルの維持により大幅なシステム改修をせずに対応を果たす
●メインシステムで準拠する強みを生かす、社内規定やシステム要件設定書といった書類関係の確認・整備に時間を費やす
●代替コントロールは要件3 などで適用、PCI DSS のオリジナル要件と遜色ないセキュリティを確保
● 2011 年はVersion2.0 に完全準拠、要件6.2 の脆弱性のリスクランク付けは導入済
事例⑧ 三井住友カード
厳密になった規格に対し予備調査を行うことでクリア、自社の経験を生かして加盟店へのサポートも
●審査基準の厳密化に備え予備調査を実施
●ブランドの意向に沿う形でカード会社もPCI DSS の審査対象に
●加盟店に対するサポートに意欲、業界全体の推進力に
事例⑨ NTT データ
CAFIS を中心とした6 つのシステムでPCI DSS に完全準拠
● 2008 年からPCI DSS の準拠をスタート、2011 年はCAFIS伝票保管で新規に準拠
●仮想環境下での利用についてはVersion1.2 から対応、PCI DSS 要件以上のセキュリティレベルの実装を意識
●日本NCR の決済アプリケーション・ソフトウェアとPastelPort と組み合わせPA-DSS Version2.0 に準拠
事例⑩ GMO ペイメントゲートウェイ
決済代行事業者のリーディングカンパニーとしてPCI DSS に取り組む、
ISMS との合同審査で審査日数の削減と作業の効率化を図る
● ISMS の認証を上場決済代行事業者で一番に取得、1.1 から1.2 へのバージョンアップで審査項目が増加
● Version 2.0 の基準変更はプラスに、次期システムでは仮想化を意識
●「PG マルチペイメントサービス」で加盟店が安心して決済できる環境を
事例⑪ スマートリンクネットワーク
大幅な修正なく6 年連続でPCI DSS に完全準拠、今後は加盟店への支援も積極的に実施
●詳細な事前書類の提示などシステム対応より人的コストが増大
● Version2.0 の審査もスムーズに対応、日頃の社内の運用ルールも厳しく設定
事例⑫ ゼウス
バージョンアップごとに要件の明確化が図られ、運用面の負荷が増す
次年度以降はリスクランク付けのアプローチが課題に
● Version2.0 の審査もスムーズに対応、QSA に確認を取りながらシステム対応を行う
●継続的なセキュリティの維持・向上に努める、トークナイゼーションの導入も検討へ
事例⑬ ソフトバンク・ペイメント・サービス
PCI DSS への遵守について加盟店からの問い合わせが増加、
2012 年はリスクのランク分けを割り当てるためのプロセスの確立が課題に
●リスクランクの設定は審査の対象から外す、事前にVersion2.0 の変更箇所についてQSA と確認
● PCI DSS 準拠の問い合わせを受けた加盟店には(AOC)を提出、トークナイゼーションの導入も検討へ
事例⑭ 大日本印刷
カード決済における本人認証サービス「SIGN3D」でPCI DSS に完全遵守、
Visa の「3-D セキュア」の基準と並行して対応を進める
● 3-D セキュアと基準が異なる場合は厳しい基準に合わせて対応
● QSA の品質保証プログラム実施によりドキュメントとして証跡が必要に
● CDMS の運用管理はPCI DSS 準拠により格段に向上、準拠を目指す企業のデータ受託も検討
事例⑮ ヤマトシステム開発
国内でいち早くPCI DSS 取得に取り組む、準拠後もセキュリティレベルの強化を継続
●「クロネコweb コレクト(クロネコ@ペイメント)」を中心としたEC システムと決済サーバから準拠に取り組む
● Version2.0 からは「Web 明細サービス」も対象範囲に追加
QSA を変更し、前年までと違った角度での審査を実施
●リスクランク付けのアプローチも対応済み、ペイメント・アプリケーション基準「PA-DSS」の準拠も検討

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP