Payment Card Industry Data Security Standard(PCI DSS)は、カード会員データを保管、処理、または送信するすべての組織に適用されます。現行バージョンのPCI DSS v4.0.1は、カスタマイズされた検証アプローチ、対象リスク分析、認証、暗号化、セキュリティ意識向上に関する新要件など、重要な変更を導入しました。Self-Assessment Questionnaire(SAQ)を完了する場合でも、Qualified Security Assessor(QSA)によるReport on Compliance(ROC)の準備をする場合でも、要件は詳細であり、施行は現実のものです。
Top FloorはPCI DSS v4.0.1に対するギャップ評価を実施し、お客様のカード会員データ環境(CDE)の境界を特定し、優先度と実装労力に基づく是正ロードマップを構築します。ネットワークセグメンテーション、トークナイゼーション、スコープ内のシステム数を最小化するアーキテクチャ決定を通じて、CDE スコープの縮小を支援します。
以前はベストプラクティスとして指定されていたいくつかの要件は2025年3月31日に必須となり、現在完全に施行されています。未対応の組織は評価中に発見事項の対象となります。これらの現在必須となった要件に対するギャップを特定し、是正の優先順位を適切に設定します。
Frameworks: PCI DSS v4.0.1, PCI Software Security Framework (SSF), PCI PIN Security
対象となる方
- オンライン決済を処理するEコマースプラットフォーム
- 決済プロセッサーおよび決済サービスプロバイダー
- カードデータを扱うPOSシステムを持つ小売業者
- 決済機能を統合するSaaS企業
- カード取引の発行または取得を行う金融機関
提供内容
- PCI DSS v4.0.1ギャップ評価とスコーピングレビュー
- カード会員データ環境(CDE)境界の文書化
- スコープ縮小戦略(セグメンテーション、トークナイゼーション)
- 優先順位付き発見事項を含む是正ロードマップ
- SAQ完成サポートとQSA監査準備
- PCI固有の要件に対するポリシーおよび手順の策定
よくあるご質問
ペネトレーションテストでPCI DSSコンプライアンスを強化する
実際の攻撃シミュレーションでセキュリティ統制を検証します。OSCP認定プラクティショナーが、外部・内部・Webアプリ・モバイル・API・IoT・ワイヤレス・Red Teamの8分野にわたる手動・方法論ベースのテストを実施します。
ペネトレーションテストを詳しく見る