PCI SSCとQSA、ASVの役割

「PCI DSS」は国際カードブランドが共同で設立した団体PCI SSC(Payment Card Industry Security Standards Council)によって運用管理されている。

QSA(Qualified Security Assessors:認定セキュリティ評価機関)は、PCISSCに認定されたセキュリティ監査企業。加盟店やサービスプロバイダへのインタビューやドキュメント、サーバなどの訪問審査を正式に行うことができる。

PCI DSS要件11の中で求められる外部からの脆弱性スキャンは、ASV(Approved Scanning Vendors :認定スキャニングベンダー)が実施する。

なお、QSA、ASVのリストはPCI SSCのホームページで公開されている。また国内で活動するQSA、ASVのリストは日本カード情報セキュリティ協議会のWebサイトで公開している(同協議会会員のみ)。

page toppagetop