IBM Presentations: Smart Planet Template

25 

Loading....

Loading....

Loading....

Loading....

Loading....

全文

(1)

© 2010 IBM Corporation

【基調講演】

PCI DSS対応に向けた優先的アプローチ

∼すべてのお客様が必要とするPCI DSSの取り組みとは∼

日本アイ・ビー・エム株式会社

日本アイ・ビー・エム株式会社

ITS

ITS

デリバリー

デリバリー

IAS.

IAS.

セキュリティ・ソリューション

セキュリティ・ソリューション

コンサルティング・セキュリティ・スペシャリスト

コンサルティング・セキュリティ・スペシャリスト

PCI QSA

(2)

アジェンダ

PCI DSSに関係する概要および弊社の紹介

PCI DSS対応に向けた優先的アプローチについて

(3)

© 2010 IBM Corporation 3

PCI DSSを取り巻く関係

VISA

AIS

VISA

AIS

MasterCard

SDP

MasterCard

SDP

AMEX

DSOP

AMEX

DSOP

DISCOVER

DISC

DISCOVER

DISC

JCB

DSP

JCB

DSP

PCI DSS (Payment Card Industry Data Security Standard)

加盟店・サービスプロバイダ等を対象

PCIデータセキュリティ基準

PCI DSS (Payment Card Industry Data Security Standard)

加盟店・サービスプロバイダ等を対象

PCIデータセキュリティ基準

全ブランド共通

セキュリティ基準

PCI SSC (Payment Card Industry Security Standards Council)

PCIセキュリティ基準推進協議団体

URL: https://www.pcisecuritystandards.org/index.shtml

PCI SSC (Payment Card Industry Security Standards Council)

PCIセキュリティ基準推進協議団体

URL: https://www.pcisecuritystandards.org/index.shtml

PA‐DSS (Payment Application Data Security Standard)

ソフトウェアベンダー(開発業者)による安全なペイメントアプリケーション(ソフト

ウェア)開発を評価するために設定された要件・基準

PA‐DSS (Payment Application Data Security Standard)

ソフトウェアベンダー(開発業者)による安全なペイメントアプリケーション(ソフト

ウェア)開発を評価するために設定された要件・基準

PTS (PIN Transaction Security) requirements

製造業者を対象

PIN (Personal Identification Number)を入力する機器に関する安全基準

PTS (PIN Transaction Security) requirements

製造業者を対象

PIN (Personal Identification Number)を入力する機器に関する安全基準

国際カード

ブランド

(4)

種別

データ要素

保管

保護

PCI DSS

要件3.4

カード会員データ

PAN (通常、16桁の番号)

(Primary Account Number = カード番号)

YES

YES

YES

カード会員氏名*

YES

YES*

NO

サービスコード*

YES

YES*

NO

有効期限*

YES

YES*

NO

センシティブ認証

データ**

完全な全磁気ストライプデータ***

NO

N/A

N/A

CAV2/CVC2/CVV2/CID

NO

N/A

N/A

PIN/PINブロック(暗証番号)

NO

N/A

N/A

* これらのデータ要素は、PAN と共に保存される場合は保護が必要です。この保護は、カード会員データ環境の全般的な保護に関する PCI DSS 要件に従います。 さらに、他の法律(消費者の個人データ保護、プライバシ、ID 盗難、またはデータセキュリティに関連するものなど)により、このデータの特定の保護、または 取引過程で消費者関連の個人データが収集される場合は会社の実施方法の適切な開示が必要になる可能性があります。 ただし、PCI DSS は、PAN が保存、処理、または伝送されない場合は適用されません。 ** センシティブ認証データは承認後、(たとえ暗号化していても)保存してはなりません。 *** 磁気ストライプのすべてのトラックのデータ、チップなどに存在する磁気ストライプイメージ。

カード会員データの定義

カード会員データ

および

センシティブ認証データの定義

PCI DSS要件における保護対象:カード会員データ

(5)

© 2010 IBM Corporation 5

PCI DSSにおけるセキュリティ要件

安全なネットワークの構築と維持

1

データを保護するためにファイアウォールを導入し、最適な設定を維持すること

2

システムまたはソフトウェアの出荷時の初期設定値(セキュリティーに関する設定値)をそのまま利用し

ないこと

カード会員データの保護

3

保存されたデータを安全に保護すること

4

公衆ネットワーク上でカード会員情報およびセンシティブ情報を送信する場合、暗号化すること

脆弱性管理プログラムの整備

5

アンチウイルス・ソフトウェアを利用し、定期的にソフトを更新すること

6

安全性の高いシステムとアプリケーションを開発し、保守すること

強固なアクセス制御手法の導入

7

データアクセスを業務上の必要範囲内に制限すること

8

コンピュータにアクセスする際、利用者毎に識別IDを割り当てること

9

カード会員情報にアクセスする際、物理的なアクセスを制限すること

ネットワークの定期的な監視およびテスト

10

ネットワーク資源およびカード会員情報に対するすべてのアクセスを追跡し、監視すること

11

セキュリティー・システムおよび管理手順を定期的にテストすること

情報セキュリティーポリシーの整備

12

情報セキュリティーに関するポリシーを整備すること

付録A

共有ホスティングプロバイダ向けのPCI DSS追加要件

(6)

PCI DSSを取り巻く関係図(弊社の位置付け)

Issuer (カード発行) Issuer (カード発行)

国際ペイメントカード

ブランド5社

American Express

(DSOP)

Discover (DISC)

JCB (JCB Data

Security Program)

MasterCard(SDP)

VISA(AIS)

国際ペイメントカード

ブランド5社

American Express

(DSOP)

Discover (DISC)

JCB (JCB Data

Security Program)

MasterCard(SDP)

VISA(AIS)

認定審査機関

(QSA *1)

・IBM QSA

認定審査機関

(QSA *1)

・IBM QSA

認定セキュリティ評価機関(ASV *2)

•IBM ASV

認定セキュリティ評価機関(ASV *2)

IBM ASV

PCISSC(PCI Security Standards

Council LLC)

国際ペイメントブランド5社が共同で運営する

PCI DSSの推進協議団体

(2006/9∼)

PCISSC(PCI Security Standards

Council LLC)

国際ペイメントブランド5社が共同で運営する

PCI DSSの推進協議団体

(2006/9∼)

PCI DSS(Payment Card

Industry Data Security

Standard)

クレジット業界におけるグローバル

セキュリティ基準

(2004/12∼)

PCI DSS(Payment Card

Industry Data Security

Standard)

クレジット業界におけるグローバル

セキュリティ基準

(2004/12∼)

事業者への訪問審査の実施

認定実施

事業者への脆弱性テストの実施

コンサルティングサービス

セキュリティ基準の策定

出資・参画

遵守対象事業者

・加盟店

・サービスプロバイダ

・決済代行事業者

遵守対象事業者

・加盟店

・サービスプロバイダ

・決済代行事業者

注)略称解説 *1 QSA:専門技術者(QSAP)による監査(訪 問調査)を提供し、PCI DSSの遵守状況を確 認し、判定することができるPCISSCによる認定 企業 *2 ASV:PCI DSSで定められるセキュリティ対策 が実現できているか、診断により確認し、判定す ることができるPCISSCによる認定企業

アクワイアラ

(加盟店契約会社)

アクワイアラ

(加盟店契約会社)

遵守の普及促進

遵守結果報告

バリデーション証明書提出

サービス提供

(7)

© 2010 IBM Corporation 7

IBM PCI DSS QSA Worldwide Service Map and Total Solution Map

QSA/ASV 事業社 Japan Korea China Hong Kong Shinga pore US UK France Germa ny Italia Spain IBM ISSWW43ヶ国対応 QSA 80名以上) ○ ○ ○ ○ ○ ○ ○ ○ ○ ○ ○

(8)

PCI DSS対応に向けた優先的アプローチ

(9)

© 2010 IBM Corporation 9

PCI DSSの基準文書のライフサイクルの改定の概要

2010年6月22日

PCI SSCから発行されている3種類の基準(PCI DSS、PA-DSS、PTS)の基準

見直しのライフサイクル等の変更に関する文書が公開されました。(2010年10月末から有効)

基準文書の改定ライフサイクルが3年に延長

– 現行、基準文書は2年周期で改訂されています。通常、PCI DSS対応における対応は時間とコ

ストを伴うことが想定され、遵守対象事業者に対して、相当の負荷を強いる要因の1つとなって

いると想像できます。

– 今回の改定により、基準文書の改定ライフサイクルが2年から3年に延長されました。

基準の移行期間が14カ月に延長

– 現行、ライフサイクルのルール上、改訂後2ヵ月で新バージョンによる審査に移行する必要が

ありました。

– 今回の改定により、基準の移行期間が2ヵ月から14ヵ月に延長されました。

PCI SSCの公開文書の参照先:PCI Security Standards Council Announces New Three Year

Lifecycle For Standards Development

(10)

基準文書の新ライフサイクル

引用元:PCISSC公開文書「Lifecycle for Changes to the PCI DSS and PA-DSS」

https://www.pcisecuritystandards.org/pdfs/pci_lifecycle_for_changes_to_dss_and_padss.pdf

新基準公開(10月)

新基準有効(1月)

遵守対応(通年)

フィードバック開始(11月)

旧基準終了(12月末)

フィードバックレビュー開始(4月∼8月)

新基準草案作成(11月∼4月)

最終案レビュー(5月∼7月)

(11)

© 2010 IBM Corporation 11

基準準拠における時間的な考慮点

■基準文書の新ライフサイクルを考慮した場合の準拠のためのタイムフレームを以下に例示します。

No

PCI DSSバージョン

2008 2009 2010 2011 2012 2013 2014 2015 2016

1

PCI DSS バージョン1.2

(現行バージョン)

2

PCI DSS バージョン2.0

(2010/10/28 公開予定)

3

PCI DSS バージョン3.x

有効期間※

2008/10-2011/12

審査期間

2009/1-2011/12

有効期間※

2010/10-2014/12

審査期間

2011/1-2014/12

有効期間※

2013/10-審査期間

2014/1-※有効期間とは、発行からリタイアまでの期間とする。

移行期間14ヵ月

改定周期3年

(12)

PCI DSS遵守に向けた優先順位付けアプローチの概要

PCI SSCでは、2009年3月31に

PCI DSS遵守対応をサポートする有効なツールを公開しています。

このツールは、PCI DSSの12要件を6段階の「Milestone(マイルストーン)」に分類しています。

カード会員データ環境におけるセキュリティ・リスクの高い順番に段階的にリスク排除するための

ツールとなります。

PCI DSS要件を優先順位付けしたツール参照先:

https://www.pcisecuritystandards.org/education/prioritized.shtml

ダウンロード可能なツール等

The Prioritized Approach to Pursue PCI DSS Compliance (pdfファイル、英語)

The accompanying Prioritized Approach tool (xlsファイル、英語)

(13)

© 2010 IBM Corporation 13

優先順位付けアプローチの考慮点

PCI DSS完全準拠のため、対象事業者が対応を完了させるための時間とコストのかかる場合にお

いて、優先順位を決めて、対応計画をアクワイアラまたはブランドに提示することが有効となります。

優先順位

6段階の「Milestone(マイルストーン)」は以下の通りです。

「Milestone 1」から優先的に対応を進めることが推奨されます。

Milestone 1

センシティブ認証データを削除し、データの保持を制限すること

Milestone 2

境界、内部、無線ネットワークを保護すること

Milestone 3

ペイメントカードアプリケーションを安全にすること

Milestone 4

システムへのアクセスを監視し、制御すること

Milestone 5

保存されたカード会員データを保護すること

Milestone 6

残りの準拠努力を完了し、すべての制御が実施されていることを確認すること

対応優先順位

(14)

優先順位付けアプローチの要件別

分布割合

Milestone

M 1

M 2

M 3

M 4

M 5

M 6

合計

要件1

2

17

0

0

0

4

23

要件2

0

3

10

0

0

0

13

要件3

5

0

0

0

21

0

26

要件4

0

4

0

0

0

0

4

要件5

0

7

0

0

0

0

7

要件6

0

0

34

0

0

5

39

要件7

0

0

0

9

0

0

9

要件8

0

0

0

24

0

0

24

要件9

3

0

0

0

19

0

22

要件10

0

0

0

22

0

5

27

要件11

0

6

0

1

0

7

14

要件12

1

4

0

0

0

32

37

要件A

0

0

8

0

0

0

8

合計

11

41

52

56

40

53

253

PCI DSS準拠を目指す加盟店およびサービス・プロバイダなどの対象事業者様が準拠対応を進

めるための対応計画を策定する過程で、有効なアプローチになります。

(15)

© 2010 IBM Corporation 15

今から着手する優先順位付けアプローチの対応例

■今からPCI DSS準拠対応に向けて着手される事業者様に向けてのご提案を下記に示します。

No

PCI DSSバージョン

2008 2009 2010 2011 2012 2013 2014 2015 2016

1

PCI DSS バージョン2.0

(2010/10/28 公開予定)

2

優先順位付けアプローチの

実施

3

PCI DSS バージョン3.x

有効期間※

2010/10-2014/12

審査期間

2011/1-2014/12

有効期間※

2013/10-審査期間

2014/1-要件と の ギ ャ ッ プ 分析

※有効期間とは、発行からリタイアまでの期間とする。

M1対応 M2対応 M3対応 M4対応 M5対応 M6対応

提案例:

・v2.0要件とのギャップ分析を

実施し、現状把握する。

・優先順位付けされた要件を

段階的に実施する準拠対応

計画を策定する。

(16)

PCI DSS version 2.0 改定の変更サマリー(1/2)

Requirement Impact

影響する要件

Reason for Change

変更の理由 Proposed Change 提案されている変更内容 Category 変更の分類 PCI DSS Intro PCI DSSの紹介

Clarify Applicability of PCI DSS and cardholder data.

PCI DSSとカード会員データの 適用性の明確化

Clarify that PCI DSS Requirements 3.3 and 3.4 apply only to PAN.

Align language with PTS Secure Reading and Exchange of Data (SRED) module.

Clarification 要件の明確化

Scope of Assessment 評価のスコープ

Ensure all locations of

cardholder data are included in scope of PCI DSS Assessments PCI DSS評価スコープに全ての カード会員データを含むことの 明確化

Clarify that all locations and flows of cardholder data should be identified and documented to ensure accurate scoping of cardholder data environment.

Additional Guidance 追加アドバイス

PCI DSS Intro and various Requirements PCI DSS紹介と各種要件 Provide guidance on virtualization. 仮想化環境におけるアドバイスの 提示

Expanded definition of system components to include virtual components.

Updated requirement 2.2.1 to clarify intent of “one primary function per server” and use of virtualization.

Additional Guidance 追加アドバイス

PCI DSS Requirement 1 PCI DSS要件1

Further clarification of the DMZ. DMZ環境のより具体的な解説

Provide clarification on secure boundaries between internet and card holder data environment.

Clarification 要件の明確化

PCI DSS Requirement 3.2 PCI DSS要件3.2

Clarify applicability of PCI DSS to Issuers or Issuer Processors. イシュア又はプロセッサに対するPCI DSS要件の適用性の明確化

Recognize that Issuers have a legitimate business need to store Sensitive

Authentication Data.

Clarification 要件の明確化

引用元:PCISSC公開文書「PCI DSS 2.0 and PA-DSS 2.0 SUMMARY OF CHANGES - HIGHLIGHTS」

(17)

© 2010 IBM Corporation 17

PCI DSS version 2.0 改定の変更サマリー(2/2)

Requirement Impact

影響する要件

Reason for Change

変更の理由 Proposed Change 提案されている変更内容 Category 変更の分類 PCI DSS Requirement 3.6 PCI DSS要件3.6

Clarify key management processes.

鍵管理プロセスの明確化

Clarify processes and increase flexibility for cryptographic key changes, retired or replaced keys, and use of split control and dual knowledge.

Clarification 要件の明確化

PCI DSS Requirement 6.2 PCI DSS要件6.2

Apply a risk based approach for addressing vulnerabilities. 脆弱性を対処するためのリスク ベースアプローチの明確化

Update requirement to allow vulnerabilities to be ranked and prioritized according to risk.

Evolving Requirement 発展的要件

PCI DSS Requirement 6.5 PCI DSS要件6.5

Merge requirements to eliminate redundancy and Expand

examples of secure coding standards to include more than OWASP.

要件の重複を削除し、OWASP等 を含むセキュア・コーディング基準 のサンプルの追加

Merge requirement 6.3.1 into 6.5 to eliminate redundancy for secure coding for internal and Web-facing applications.

Include examples of additional secure coding standards, such as CWE and CERT.

Clarification 要件の明確化

PCI DSS Requirement 12.3.10 PCI DSS要件12.3.10

Clarify remote copy, move, and storage of CHD.

カード会員データのリモートコピー、 移動及び保管の明確化

Update requirement to allow

business justification for copy, move, and storage of CHD during remote access.

Clarification 要件の明確化

引用元:PCISSC公開文書「PCI DSS 2.0 and PA-DSS 2.0 SUMMARY OF CHANGES - HIGHLIGHTS」

(18)

準拠対応フロー及び対応作業内容について

フェーズ1

事前評価

フェーズ3

本審査

フェーズ4

運用・維持

フェーズ0

準拠基準

選定

フェーズ2

対策実装

弊社が提案す

る対応作業内

(QSA/ASV対

応を含む)

・PCI DSSバー

ジョンの選定

①準拠対象範囲の特

定(業務およびシステ

ム環境の調査、準拠

対象範囲の特定)

②非準拠要件の洗い

出し

③非準拠要件の対策

案・代替策の立案

④対策案の前提条

件・制約・要検討事項

の明確化

⑤審査に向けたロー

ドマップ・審査対応・

今後の認定維持に向

けた取組内容の可視

①対策実装のため

のプロジェクト管理

②個別対策の実行

(要件の対応、代替

策の対応など)

③QSAによる対策

の実行のための

QA対応

①ASVによる要件

11.2の外部脆弱性

テストの実行

(本審査において、同 時にASVテスト結果を レビュー可能ですので、 お客様の対応軽減が 可能です。)

②QSAによる予備

審査(オプション)

③QSAによる本審

①運用実施、記録

保持、内部レ

ビュー実施

②要件11定期テス

トの要件対応の支

(要件11テスト対応を 全て支援可能です。 お客様の対応軽減可 能です。)

③QSAによる認定

の定期審査のため

のチェックの実行

(更新処理の対応を軽 減するために変更箇 所を事前にチェックす ることでお客様の対応 軽減が可能です。)

認定

取得

認定

取得

1年更新

優先順位付けアプロー

チの採用が効果的

優先順位付けアプロー

チの採用が効果的

(19)

© 2010 IBM Corporation 19 弊社が提案する対 応作業内容 (QSA/ASV対応を 含む) ・PCI DSSバー ジョンの選定 ①準拠対象範囲の特定 (業務およびシステム環 境の調査、準拠対象範囲 の特定) ②非準拠要件の洗い出し ③非準拠要件の対策案・ 代替策の立案 ④対策案の前提条件・制 約・要検討事項の明確化 ⑤審査に向けたロード マップ・審査対応・今後の 認定維持に向けた取組 内容の可視化 ①対策実装のための プロジェクト管理 ②個別対策の実行 (要件の対応、代替策 の対応など) ③QSAによる対策の 実行のためのQA対応 ①ASVによる要件 11.2の外部脆弱性テ ストの実行 (本審査において、同時に ASVテスト結果をレビュー 可能ですので、お客様の対 応軽減が可能です。) ②QSAによる予備審 査(オプション) ③QSAによる本審査 ①運用実施、記録保 持、内部レビュー実施 ②要件11定期テスト の要件対応の支援 (要件11テスト対応を全て 支援可能です。お客様の 対応軽減可能です。) ③QSAによる認定の 定期審査のための チェックの実行 (更新処理の対応を軽減す るために変更箇所を事前 にチェックすることでお客様 の対応軽減が可能です。) キックオフ Preインタ 詳細 インタビュー 文書類確認 (作業内容②) 必要事項 アンケート (作業内容②) 報告書作成 (作業内容 ③④⑤) レビュー ディスカッショ (作業内容 ③④⑤) 最終報告 評価範囲の 特定 (作業内容①) フェーズ1 事前評価 フェーズ3 本審査 フェーズ4 運用・維持 フェーズ0 準拠基準 選定 フェーズ2 対策実装 認定 取得 認定 取得

準拠対応フロー及び対応作業内容について(フェーズ1事前評価)

(20)

大項目 実施内容(概要) 作業項目 作業詳細 準拠対象環境 プロジェクト開始 キックオフ対応 キックオフ準備 キックオフ実施 定例会開催 定例会資料準備 定例会資料実施 ①準拠対象範囲の特定(業務およびシステ ム環境の調査、準拠対象範囲の特定) 評価範囲の特定 データフロー図作成 スコーピング検討 追加確認資料の準備 課題とりまとめ(対応方針) スコーピングの最終化 ②非準拠要件の洗い出し 必要事項アンケート 準拠対象最新PCIDSS要件の入手 アンケートの更新作業(最新PCIDSS要件対応) アンケートへの記入方法の説明 アンケートへの記入 レビュー用書類のとりまとめ QA対応 詳細インタビュー インタビュー日程の調整 インタビューの実施 非準拠要件の洗い出し 非準拠要件のとりまとめ ③非準拠要件の対策案・代替策の立案 ④対策案の前提条件・制約・要検討事項の 明確化 報告書作成 報告書の作成(遵守状況一覧) 非準拠要件の対策案の立案 対策案の前提条件・制約・要検討事項の明確化 レビュー・ディスカッション 非準拠要件の対策案のレビュー 非準拠要件の対策案の見直し 非準拠要件の代替案の検討 非準拠要件の代替案のレビュー 非準拠要件の対策案・代替案の最終化 ⑤審査に向けたロードマップ・審査対応・今 後の認定維持に向けた取組内容の可視化 審査に向けたロードマップ・審査対応案の作成 報告書の最終レビュー 最終報告 最終報告会の日程調整 最終報告会の準備 最終報告会の実施 プロジェクト クロージング

フェーズ1事前評価作業の詳細

(21)

© 2010 IBM Corporation 21

フェーズ1事前評価作業の詳細(準拠対象範囲の特定)

PCI DSS準拠のために「準拠対象範囲の特定」に必要な情報とは

– 事業体のネットワーク構成の概要ネットワーク図

• ネットワークへの、またはネットワークからの接続(全ての外部接続先を含む)

POS デバイス、システム、データベース、Web サーバなど、カード会員データ環境内の重

要なコンポーネント

• 他の必要なペイメントコンポーネント

– ネットワークセグメンテーション方法をまとめた資料

– カード会員データ環境を構成するすべてのシステムコンポーネント(サーバー、ネットワーク機

器等のIPアドレス保有機器)の情報 (名称、製品名、バージョン情報、主なシステム構成(OS・

ミドルウェア・アプリケーション)、台数、設置場所(ネットワークセグメンテーション区別))

– カード会員データのデータフロー図など(承認、キャプチャ、決済、チャージバック、その他のフ

ローを含め、カード会員データの伝送と処理の文書 )

– カード会員データを保存するファイルとテーブルのリスト

(カード会員データストア(ファイル、

テーブルなど)ごとにセキュリティ保護方法、アクセスのログ方法を記載)

– ハードウェアおよび重要なソフトウェアのリスト(それぞれの機能/用途の説明含む)

– 外部接続事業者の一覧(業務・委託内容を含む)

(22)

② 入会・初期審査(自動与信)

⑦ カード決済端末

③ コールセンター

① 基幹業務系システム

⑤ 情報系システム

⑥ SFA ⑧ Web

④ 延滞債権管理

不正検知システム ACE-Plus Falcon HOST 顧客DB 加盟店DB 売上DB 債権管理DB 請求DB ホスト障害時/ 夜間処理時は FEPにて代行処理 オーソリ 代行DB FEP 与信結果反映

途上与信

各種生データ顧客情報 POS情報 取引情報 DWH データマイニング ビヘイビア分析 限度額アップ DM キャンペーン 管理 日報 渉外理的 営業支援 DB 債権DB 交渉記録 通話記録 初期延滞 中長期延滞 法務処理 PBX オート コール CTI 債権管理 サーバー 顧客情報 POS情報 IVR 音声自動 応答システム 通話記録 PBX CTI インバウンド ・各種問合せ ・クレーム対応 ・申込み アウトバウンド ・電話勧誘 ・所在確認 USA 加盟店CAT POS 海外売上 自社CD 提携先 コンビニATM CD/ATM イメージスキャナー ワークフロー管理 事後処理 CD-ROMライター エントリー処理 ベリファイ処理 業務サーバ (オートスコアリング) 来店⇒即時発行処理 郵送⇒審査業務へ カード申込み 1.本人確認(免許書…) 2.在籍確認(電話確認) 3.名寄せ 4.外部信用センター 5.各社審査業務 6.カード発行 名寄せ スコアリング 売上処理オーソリ 顧客情報 督促業務(アウトバンド) ・プレディクティブダイヤル ・パワーダイヤル ・プレビューダイヤル 督促情報/入金情報 外部情報信用センター (CIC、CCB他) 外部N/W (CAFIS、JCN他) カード申込書 ・住所 ・氏名 ・年収 ・持家 PCIDSS評価 範囲 PCIDSS評価範囲 PCIDSS評価範囲 カード会員データの保管 DB2テーブル保管 クレ ジット カード クレ ジット カード

評価範囲の特定のポイント:

カード会員データの保管・処理・伝送のフローを可視化

評価範囲の特定のポイント:

カード会員データの保管・処理・伝送のフローを可視化

ビジネス カード 伝送路 第三者・ アウトソーシング カード会員データの転送 データ通信(TCP) データ概要 カード会員データの処理 PANデータを使用して処理 カード会員データの転送 アプリ通信(TCP)

フェーズ1事前評価作業の詳細(準拠対象範囲の特定)

評価範囲の 特定

(23)

© 2010 IBM Corporation 23 PCI DSS の6要件 ① 安全なネットワークの構築・維持 ② カード会員情報の保護 ③ 脆弱性を管理するプログラムの整備 ④ 強固なアクセス制御手法の導入 ⑤ 定期的なネットワークの監視およびテスト ⑥ データセキュリティ基準遵守・ポリシーの 整備 事前評価のアプローチ方法 ◎アンケートによる概要調査  最初にアンケートにより、PCI DSS要件項目について、対策・運用管 理状況の概要を調査し、ヒアリングによる調査の効率化を図ります。 ◎ヒアリングによる調査  運用担当者に直接ヒアリングを実施することでデータセキュリティ基準 遵守の現状を調査します。 ◎文書調査・現地調査の実施  データセキュリティ基準遵守ポリシーやシステム運用手順書、ネット ワーク・システム構成図を収集して、明文化されているデータセキュリ ティ基準遵守のルールを机上および現地で調査します。 PCI DSSの「ギャップ分析」は、PCISSCにて無料公開されて いる準拠要件事項一覧に加え、実績とQSA独自チェック項 目を加味したオンサイトレビュー対策を網羅しています。 評価範囲の最適化(コスト削減効果大)を同時に実施し、セ キュリティレベルを向上させるための支援を実施します。 ギャップ 把握 【報告書】各要件毎に調査結果をレーダーチャート化するこ とで、現状における御社の強み弱みを把握することが出来 ます。また、評価結果から未遵守項目が確認でき、対策 案を検討することが可能となります。 報告書 要件事項別結果 分析結果レーダーチャート キックオフ Preインタビュー 詳細 インタビュー 文書類確認 (作業内容②) 必要事項 アンケート (作業内容②) 報告書作成 (作業内容 ③④⑤) レビュー ディスカッショ (作業内容 ③④⑤) 最終報告 評価範囲の 特定 (作業内容①)

フェーズ1事前評価作業の詳細(ギャップ分析および改善策の策定)

(24)

準拠対応フロー及び対応作業内容について

フェーズ1

事前評価

フェーズ3

本審査

フェーズ4

運用・維持

フェーズ0

準拠基準

選定

フェーズ2

対策実装

弊社が提案す

る対応作業内

(QSA/ASV対

応を含む)

・PCI DSSバー

ジョンの選定

①準拠対象範囲の特

定(業務およびシステ

ム環境の調査、準拠

対象範囲の特定)

②非準拠要件の洗い

出し

③非準拠要件の対策

案・代替策の立案

④対策案の前提条

件・制約・要検討事項

の明確化

⑤審査に向けたロー

ドマップ・審査対応・

今後の認定維持に向

けた取組内容の可視

①対策実装のため

のプロジェクト管理

②個別対策の実行

(要件の対応、代替

策の対応など)

③QSAによる対策

の実行のための

QA対応

①ASVによる要件

11.2の外部脆弱性

テストの実行

(本審査において、同 時にASVテスト結果を レビュー可能ですので、 お客様の対応軽減が 可能です。)

②QSAによる予備

審査(オプション)

③QSAによる本審

①運用実施、記録

保持、内部レ

ビュー実施

②要件11定期テス

トの要件対応の支

(要件11テスト対応を 全て支援可能です。 お客様の対応軽減可 能です。)

③QSAによる認定

の定期審査のため

のチェックの実行

(更新処理の対応を軽 減するために変更箇 所を事前にチェックす るころでお客様の対応 軽減が可能です。)

認定

取得

認定

取得

1年更新

優先順位付けアプロー

チの採用が効果的

優先順位付けアプロー

優先順位付けアプロー

チの採用が効果的

チの採用が効果的

★ロードマップ作成及び対策

実装には経験と実績が必要

な重要な作業となります。

詳細は次のセッションで

(25)

© 2010 IBM Corporation 25

ご清聴ありがとうございました。

For more information, please visit:

Updating...

関連した話題 :