ゼクトはお客様の目的を理解し、最適なサービスを提供します。

ゼクトが選ばれる3つの理由

情報セキュリティ

  • PIC-DSS
  • ISO27001
  • プライバシーマーク
  • 事故後対応
  • 災害対策
Medical Trancer Z
Medical Dock Navigator Z
災害対策マニュアル見直しサービス
当社の実績紹介
PCI-DSS

お見積り・ご相談は

電話でのお問合わせ TEL: 03-5577-2972メールでのお問い合わせは、お問合わせフォームからどうぞ

規格別メニュー

  • PCI-DSS
  • ISO9001
  • ISO14001
  • ISO27001
  • プライバシーマーク
事務用品、生活用品、家電、防災グッズまで揃う!当社運営の「はっするネットお茶の水」はこちら

PCI-DSS

PCI-DSSとは? 

カード情報におけるセキュリティ対策の必要性

  1. カード情報の大規模な情報漏えい事件の発生
    • 米国のデータ処理会社が4,000万件のカード情報を漏洩
    • 国内でも2008年になって10万件規模のカード情報漏洩が複数発生
  2. 個人情報保護法をトリガーとしたプライバシーマークの普及と不足要素の顕在化
    • カード情報の保護には、より具体的な指針や基準が必要
    • JIS Q 15001はあくまで国内限定の規格
  3. 特定商取引に関する法律及び割賦販売法の一部改正法案可決
    • クレジット事業者に対して、個人情報保護法ではカバーされていないクレジットカード情報の保護のために必要な措置を講じることを義務づけるとともに、カード番号不正提供・不正取得をした者等を刑事罰の対象とする
    • 違反事業者に対する罰則を強化
  4. 接続技術の変化
    • インターネットに接続した統合店舗販売時点管理(IPOS)システムの増加
    • カード会員データのIPベース送信の増加
基準となる指針や認証制度が必要だ!!

PCI-DSSとは?

  • 国際的なクレジット産業向けのデータセキュリティ基準
    (Payment Card Industry Data Security Standard)
  • VISA、American Express、JCB、 Discover、MasterCardの国際カードブランドによって設立されたPCI基準審議会(米国)が制定した事実上の基準
  • 12要件288項目(別途、付録A1の8項目)によって構成される詳細なデータセキュリティ基準

PCI-DSSの要求事項

目的1 安全なネットワークの構築・維持 目的2 カード会員データの保護
目的3 脆弱性を管理するプログラムの整備 目的4 強固なアクセス制御手法の導入
目的5 定期的なネットワークの監視およびテスト 目的6 情報セキュリティ・ポリシーの整備

カード利用の流れについて

カード利用の流れ

取得まで

コンサルティングサービス

PCI DSS準拠支援コンサルティングサービス体系
  • STEP1:現状調査、ギャップ分析
  • STEP2:体制確立、文書作成、ソリューション選定
  • STEP3:ソリューション導入、教育支援、運用支援
  • STEP4:内部監査支援、検査支援
  • STEP5:審査支援
STEP1:現状調査

現状のネットワーク構成や機器構成及び対策を施しているセキュリティ状況など現在定めているセキュリティ上の様々なルール、規定についてヒアリングや実際の様式等で確認します。

【確認事項抜粋】
調査分類 調査概要
システム構成 ネットワーク構成図や機器一覧などをベースに現在のシステム構成やソリューション、ツールの導入状況をご確認いたします。
機器及びネットワークの構成 以下の内容についてヒアリングなどでご確認いたします。
  • ネットワークの
    機器構成や設定状況
  • ルータ、ファイヤウォールの設定及びネットワークの分離状況
  • 機器の設置場所や設置状況
  • 通信回線の接続状況

など

アプリケーション
及びDB構成
以下の内容についてヒアリングなどでご確認いたします。
  • アプリケーションの開発体制(ソースコード管理や評価について)
  • データベースの設定状況
  • アプリケーションの実装状況
  • OSのバージョン

など

監視ツールの状況 収集しているログの種類や収集方法及び収集したログの解析ルールについてご確認いたします。
物理的対策状況 入退室管理や出入り口及び保管庫の施錠管理状況、防犯カメラの設置状況についてご確認いたします。
文書(ルール)の整備状況 現在、規定(文書化)している様々なルールや方針についてご確認いたします。
運用体制 セキュリティやシステム管理に関する組織体制(委員会など専門組織の有無)や導入したシステムやネットワークの運用及び保守体制についてご確認いたします。
STEP2:ソリューション選定と代替コントロール
<ソリューション選定>
PCI DSSの要件に対応するためのソリューション選定についてご支援します。
<代替コントロール>
PCI DSSの要件を満たすことのできない箇所について、代替コントロールの検討をご支援いたします。

ソリューション選定と代替コントロール

STEP5:審査支援
  • 審査対応に関する支援を行います。

QSAによる予備調査およびオンサイト監査(本審査)の対応について、審査報告書などに記載された指摘内容や改善提案の状況に応じて適切に対応します。

審査支援

標準スケジュール(案)
お伺いいたしました更新申請期限にあわせ、以下の計画にてご提案させて頂きます。

実施事項 1ヶ月目 2ヶ月目 3ヶ月目 4ヶ月目 5ヶ月目 6ヶ月目 7ヶ月目 8ヶ月目 9ヶ月目 10ヶ月目
<審査>
予備審査                    
審査                    
現状調査                    
ギャップ分析                    
体制確立                    
文書作成                    
ソリューション選定                    
運用開始                  
教育支援                    
運用支援                    
内部監査支援                    
検査支援                    
審査支援                    

※上記計画に関しては作業の進捗状況や審査機関のスケジュールなどにより異なる場合があります。

技術支援

以下のPCI DSS要件に基づき、必要となるソリューションなどについて、ご要望に応じて調査し、ご提案させて頂きます。

目的1 安全なネットワークの構築・維持 目的2 カード会員データの保護
目的3 脆弱性を管理するプログラムの整備 目的4 強固なアクセス制御手法の導入
目的5 定期的なネットワークの監視およびテスト 目的6 情報セキュリティ・ポリシーの整備

セキュリティ事故後の対応について

「当社が保持する個人情報がWinnyを通じて漏洩した」
「ウィルスに感染し、業務情報、人事情報などがネット上に流出した」
「宛先間違いを起こし、別人の個人情報を誤配送してしまった」

このようなセキュリティ事件・事故は毎日のように発生しており、社会現象をとなっています。
セキュリティ事件・事故は発生してしまうと組織にとって財政的に大きな損害を与えるとともに、社会的な信用失墜を引き起こしてしまいます。

起こってしまった事件・事故は無かったことにはできませんが、事件・事故発生後の対応方法により、信用の回復や事業継続が大きく異なります。 当社では、セキュリティ事件・事故発生後の対応について、経験豊富なスタッフが適切な支援をします。

コンサルティングの内容

セキュリティ事件・事故が発生した場合に、最も重要なことは確実な情報の収集と迅速で適切な対応です。誤った情報を公開してしまったり、対応が遅れてしまうことで組織に対する信用はさらに失墜してしまいます。
当社では、発生した事象に応じて対応方法を検討し、適切なタイミングで適切な対応の実施をご支援します。

情報漏洩発生時の対応例

項目 実施内容
対策チームの設置
事件・事故を迅速に解決するための組織横断的なチームを設置します。
状況把握のための調査
漏洩した情報の範囲、漏洩の原因、情報の種類、想定されるリスクなどを調査します。発生初期においては最も重要な実施項目となります。
本人(漏洩被害者)への対応
漏洩被害者となった方への対応方法について検討します。あくまでも組織擁護ではなく被害者の擁護を最優先として考えます。
法的な観点での対応検討
発生した事象について、不正アクセス禁止法や個人情報保護法などの関連法規制の観点から専門家を交え、対応方法を検討します。
関係機関への届出
主務官庁や警察、Pマーク取得企業の場合はJIPDECなど関係組織への届出を行います。
問合せ窓口(コールセンター等)の設置
漏洩被害者やその他の関係者からの問合せに対応するための窓口(コールセンター等)を設置します。
電話・郵送・HPなどでの注意喚起
漏洩被害者や漏洩の可能性のある人達に対して謝罪、状況の報告、考えられるリスクなどを説明します。
メディアへの対応検討
テレビや新聞などメディアに対する公開及び対応について検討します。
損害賠償(お詫び料)の検討
過去の事例や発生している被害の状況に応じて損害賠償やお詫び料などを検討します。
恒久的対応の検討
応急的な対応の完了後、再発防止策を検討し、恒久的対策を計画します。

取得まで

電話でのお問合わせ・資料請求

TEL 03-6854-1449(受付時間:平日10:00〜18:00)

メールでのお問合わせ・資料請求

お問合わせフォームへ