PCI DSS準拠済企業様のセキュリティを再確認すると共に、v4.0 要件12.5.2で要求されるPCIDSS適用範囲レビュの要求を満たす第三者レポートを提供します。
社会的に最も影響が大きいセキュリティ上の脅威であるクレジットカードの不正利用は世界中で後を絶ちません。憂慮すべきは、クレジットカード情報を守るためにPCI DSSに準拠していても情報漏えい事故が発生してしまうケースがあることです。PCI DSS準拠活動を正しく、適切に行っていれば起きるはずのない事故(セキュリティインシデント)が、昨今発生しております。
PCI DSSに準拠していない環境からPCI DSS準拠環境に意図しないアクセス経路が存在すると、非準拠環境への侵入がきっかけで漏えい事故が発生する可能性があります。
「業務に必要な通信」の範囲を大きくとらえて、不要な通信(ポートやノード)が許可されている場合、不正なアクセスを検知できない可能性があります。
ファイル改ざんや不正ファイルの設置について、正しく検知条件設定が施されていないと、不正操作の発見ができない場合があります。
異常と判断する条件設定が適切でない場合、不正操作の発見ができない場合があります。
国内外の様々な企業の審査やコンサルを実施してきた10年以上の実績に基づくセキュリティチェックを行います。
準拠済であっても改めて確認するべきポイントを「セカンドオピニオン」的に再確認できるため、不安を解消できます。
情報漏えい事故が起きる要因となる箇所に対してピンポイントでのチェックを行います。
評価会社以外の目線で適用範囲を確認したレポートであるため、要件12.5.2を満たす証跡として有用です。
①スコープの再確認 | ネットワーク運用において、評価範囲(スコープ)が適正に設定されているか? 本来接続すべきではない接続先とのインターフェースが存在しないか? を第三者目線で再確認します。 |
---|---|
②業務ヒアリング | カード情報が使用される実務部門の実体をヒアリングします。文書化されていないPANデータフロー等が存在しないか、CHDデータマトリクスを使用し確認します。 |
③セキュリティ設定の再確認 | PCI DSS準拠当初に実施された各要件を満たすセキュリティ設定やシステム堅牢化設定は今も正しく構成されているのか?長期間の運用におけるヌケ・モレ・見落としが生じていないか? これらを資格ある評価人が改めてセキュリティにおける「セカンドオピニオン」として再確認します。 ・ネットワーク機器(ファイアウォール、ルータ、IDS/IPSなど) ・セキュリティ上重要な役割を持つサーバ類(改ざん検知機構、ログ保全機構など) ・Excelベースのチェックシートによる確認結果ご報告を行います。 |
サービス価格(ご参考価格) | ¥1,200,000~(税抜) ・2-3回程度のリモート形式のお打ち合わせ ・PCI DSS準拠状態に対する「セカンドオピニオン」確認結果 ご報告会 ・②は3コンポーネント迄を対象とし、確認します。 ※システムの規模により金額は変動します。 |
クレジットカード業界の国際的セキュリティ基準 “PCI DSS” “PCI P2PE” “PCI 3DS”への準拠をめざす企業を支援しています。
“PCI DSS” “PCI P2PE” “PCI 3DS”の準拠維持におけるコンサルティングサービスを提供しています。