PCI DSS準拠支援サービス

クレジットカード関連業務を行う企業様

クレジットカードを発行している

クレジットカードの決済業務等を代行している

決済業務は外部に委託しているが、 カード情報の記載がある書類を取り扱っている

カード情報を内部に保持している加盟店

カード情報が記載された書類やデータが、 社内に残っている可能性がある

従業員のPCに、カード情報が入ったファイルの コピーや不要なデータがあるかもしれない 情報セキュリティ対策の強化をお考えの企業様

機密情報の保管について不安がある

情報セキュリティ対策を「厳格に」行いたい

対策を実施する頻度やパスワードの桁数など、 どの程度やればいいのか基準がほしい

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

□ はい □ いいえ

下記項目への回答に「はい」が１つ以上ある企業様、是非、裏面をご覧ください。

準拠および準拠維持支援コンサルティング、PCI DSS認定評価機関(QSAC)によるオンサイト評価、

準拠に向けて必要な周辺ソリューション(サービスやツール)のご提供まで、まるごとサポートいたします。

情報イノベーション事業部 セキュリティソリューション部 〒162-8001 東京都新宿区市谷加賀町1-1-1 http://www.dnp.co.jp/works/security/

※いかなる形式でも本紙の一部または全部の複製および無断転載をお断りいたします。 ※記載されている会社名、製品名は、各社の登録商標または商標です。

2016.11-2

PCI DSSに準拠しなければならない。 PCI DSS準拠を目指したい。

現状のセキュリティ体制を厳格な基準と照合して、対策を検討したい。

何から手をつけたらよいか分からない（まずは現状レベルを確認しましょう）。

カード情報を取り扱う企業やカード情報を内部で保持する加盟店等 は、クレジット取引セキュリティ対策協議会が発表した「実行計画」で、2018年3月までの「PCI DSS準拠」または 「カード情報の非保持化」が求められています。例えば、クレジットカード関連業務は外部に委託している場合でも、カード情報が記された請求書などの書類やデータ、あるいはコールセンター業務に必要な情報（問合せ録音データなど）があれば、PCI DSSへの準拠対象となります。

個人情報や機密情報を取り扱う企業 は、PCI DSSに準じて社内ルールを徹底することにより、一層厳格な情報セキュリティ体制を整備することができます。

また、 PCI DSS準拠支援サービスの「Fit＆Gap分析」は、貴社の現状のセキュリティ体制を、情報セキュリティに関する基準が具体的な数値で示されたPCI DSSの要件と照合することで、現状の体制レベルを確認し、今後の対策方針を検討するためにも活用いただけるサービスです。

◆DNPが提供するPCI DSS準拠支援サービスの特長

■PCI DSS準拠支援および監査における豊富な経験と実績

PCI DSS認定セキュリティ評価機関(QSAC）として、2008年6月以来、

カード会社、プロバイダー、加盟店ほか、多数企業の準拠支援を実

施してきた株式会社ブロードバンドセキュリティとの協業です。

■自社施設のPCI認定で培ったノウハウ

長年にわたりVisa/Masterの監査を実際に受けてきた

からこその知見をいかしたアドバイスが可能です。

■中立的な立場でのコンサルティングサービス

必要に応じて周辺ソリューションのご提案も可能です。

メーカーなどの枠にとらわれず、貴社にとって最適な

ソリューションを選定します。

Support

◆サービス概要 コンサルティング、PCI DSS認定評価機関(QSAC)によるオンサイト評価、周辺ソリューションの提供まで全面サポート

◆DNPが提供する周辺ソリューションの例

■クレジットカード情報(PAN*)・個人情報検出ツール PCやサーバー内の対象情報のファイルを検出、ルールに反する不当ファイルの 削除・移動･暗号化を自動化 *PAN: カード会員番号 Primary Account Numberの略

■脆弱性情報提供サービス 貴社環境に影響を及ぼす脆弱性情報のみを的確に抽出、随時メールで報告

■ファイル整合性監視･改ざん検知ツール ファイルの整合性を監視するための作業を自動化(検知･通知)、監査証跡も取得

■ソースコード解析ツール ソフトウェア開発途中(コンパイル前)のソースコード不備を確認、 セキュアコーディングを支援

■特権ID管理ツール 特権IDの管理プロセスに沿った管理を行うことにより、効果的な監査対応・特権 ID管理の効率化を実現

PCI DSSに準拠するためには、少なくとも１年程度必要です。2018年3月の準拠を目指すなら、2017年初頭には準備を開始することをお勧めします。

Fit&Gap分析

■フェーズ１

コンサルテーション および認定対応支援

■フェーズ２

オンサイト評価

■フェーズ３

次年度以降の準拠維持 3カ月ごとに1回(年4回程度)

■フェーズ4

・文書確認

・業務ヒアリング

・現状のPANデータフロー確認

・上記データにもとづきGap分析

・レポートにより現状を可視化

・スコープの極小化

・準拠におけるシステム改修対策

・準拠における運用改善対策

・規程、手順書類における改訂

・QSACによるオンサイト評価

・準拠レポート(ROC)の作成

・準拠証明書(AOC)の作成

・貴社からROC､AOCをカード会社 に提出

・PCI DSS日々の活動(BAU)確認

・脆弱性対策の妥当性確認

・PCI DSS新たな要件対応

・次年度評価対応

3カ月ごとに1回

ワンストップでポイントを押さえた効率的な準拠･準拠維持を支援します

準拠 3カ月程度 6カ月～1年程度 3カ月程度

全面的に 支援します

その他、各種セキュリティソリューションをラインアップしています。お問合せください。

PCI DSS準拠･維持支援 日々ログサービス

要件10.6.1 ｢毎日1度以上、すべてのセキュリティイベントと 重要なシステムのログをレビューすること｣

365日欠かさず ログを確認!?

ログ解析ツールは、 思っていたより高額…

休日も ログを確認する 人員が必要!?

PCI DSS準拠のためだけに、 高価な専用ツールや人員を用意する 余裕がない…

そこで

情報イノベーション事業部 セキュリティソリューション部 〒162-8001 東京都新宿区市谷加賀町1-1-1 http://www.dnp.co.jp/works/security/

※いかなる形式でも本紙の一部または全部の複製および無断転載をお断り致します。記載されている会社名、製品名は、各社の登録商標または商標です。 201710_SS

レビューが必要なログ 例

◆すべてのセキュリティイベント

◆CHD（カード会員データ）や SAD（センシティブ認証データ）を保存、処理、送信するすべてのシステムコンポーネントのログ

◆すべての重要なシステムコンポーネントのログ

◆すべてのサーバとセキュリティ機能を実行するシステムコンポーネントのログ ・ファイアウォール ・侵入検出システム/侵入防止システム（IDS/IPS） ・認証サーバ ・電子商取引リダイレクションサーバ など

膨大な量のログを365日レビューするためには、ログ解析ツールなどの専用ツールと、そのツールを操作するために必要な知識をもった担当者を 365日欠かさずに用意する必要があります。

PCI DSS準拠・維持支援 日々ログサービス

日々ログサービス 価格

日々ログサービス 特長

PCI DSSの準拠要件10.6.1「毎日1度以上、セキュリティイベントや重要なコンポーネントのログをレビューする」に特化し、

貴社のログレビューを 毎日欠かさず代行する 日々ログサービス をご検討ください。

※本サービスは、DNPが販売窓口となり、株式会社ブロードバンドセキュリティ（以下、BBSec）がサービス提供を行います。

◆PCI DSS準拠のために、ログ解析ツールなどの専用ツールを導入する必要がありません

◆専用ツールを操作する専任担当者も必要ありません

◆経験豊富な専門家が、365日 貴社のログを確認した結果を 毎日、メールで分かりやすくレポートします

◆毎日のレポート内容に不明点などあれば、随時、お問い合わせいただけます

本サービスのオプション（有料）として、PCI DSS準拠要件11.5に特化した「ファイル改ざん検知サービス」も提供しています。

お客さま環境

ログサーバ

改ざん検知 DBサーバ(※)

ログ収集サーバ アプリケーション サーバ

BBSec環境

サービスのイメージ

初期費 150万円 年間費 360万円（※1） ※1 費用には、機器10台までのテキストログ生成を含みます。 10機器を超える場合は、1サーバ40万円/年 ログデータが画像の場合、1サーバ100万円/年

※価格は税抜きです。

【参考】 日々ログサービス オプション 「ファイル改ざん検知サービス」の価格

※2 年間費用には、機器10台までのテキストログ生成を含みます。 10機器を超える場合は、1サーバ10万円/年 別途、改ざん検知用のサーバ（改ざん検知のみ、変更箇所の確認 などは行わない）が必要です。

対象サーバ

1日1回、暗号化したログファイルを送信

受信するログをブラウザで毎日確認、 確認結果をお客さまにメールでレポート

毎日のレポートメールを確認・保存

※改ざん検知DBサーバは、日々ログサービスのオプション「ファイル改ざん検知サービス」をご利用いただく場合に必要となります。

初期費 450万円 年間費 170万円（※2）