異業種からの金融関連サービスへの参入増加と比例するように、当該サービスを狙ったサイバー攻撃も多発しており、サービス提供者にとっては、これまで以上のセキュリティ対策を考慮した情報システム構築が喫緊の課題となっています。
KPMGは、PCI DSS対応を含む情報セキュリティ分野全般での知見と多数の支援実績に基づき、企業のPCI DSS準拠・維持に向けた取組みを支援します。
PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard:ペイメントカード業界データセキュリティ基準)とは、カード会員情報や取引情報の保護を目的に、2004年に国際クレジットカードブランドが共同で策定した、ネットワーク等の処理システムや情報管理に関するセキュリティ要件です。
PCI DSSは、顧客とビジネスを保護するために設計されており、世界共通のデータセキュリティ対策の適用と推進を意図して、12の要件領域で構成されています。また、PCI DSSは、ISO/IEC27001(ISMS)等と比較して、具体的かつ厳しい内容になっており、インターネット決済を考慮した基準になっているという特徴があります。
| 要件 | 内容(詳細要件約250項目、テスト手順約400項目) | 目的 |
|---|---|---|
| 1 | クレジットカード情報を保護するために、ファイアウォールをインストールして構成を維持する | 安全なネットワークの構築と維持 |
| 2 | システムパスワードおよび他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない | |
| 3 | クレジットカード情報を保護する | クレジットカード情報の保護 |
| 4 | オープンな公共ネットワーク経由でクレジットカード情報を伝送する場合、暗号化する | |
| 5 | すべてのシステムをマルウェアから保護し、ウィルス対策ソフトウェアまたはプログラムを定期的に更新する | 脆弱性管理プログラムの維持 |
| 6 | 安全性の高いシステムとアプリケーションを開発し、保守する | |
| 7 | クレジットカード情報へのアクセスを、業務上必要な範囲内に制限する | 強固なアクセス制御手法の導入 |
| 8 | システムコンポーネントへのアクセスを識別し、認証する | |
| 9 | クレジットカード情報への物理アクセスを制限する | |
| 10 | ネットワークリソースおよびクレジットカード情報へのすべてのアクセスを追跡および監視する | ネットワークの定期的な監視およびテスト |
| 11 | セキュリティシステムおよびプロセスを定期的にテストする | |
| 12 | すべての担当者の情報セキュリティに対応するポリシー維持する | 情報セキュリティポリシーの維持 |
PCI DSS準拠対応の進め方
PCI DSS準拠対応では、12の要件領域に基づき、約400項目にもわたるテスト手順と現状とのギャップ分析を行い、非準拠項目への対応を取捨選択します。
KPMGの特長
KPMGは、PCI DSS準拠対応を含む情報セキュリティ分野での豊富な経験と専門スキルを有するコンサルタントを多数擁しており、金融をはじめとした各業界リーディングカンパニーへのアドバイザリー業務の実績があります。各業界固有のビジネス環境に即した、適切なアドバイザリーサービスの提供が可能です。
