PCI DSS 監査プログラムについて

PCI DSS 監査制度の全体図

PCI DSS オンサイト監査の概要

監査対象

カード会員データ（CHD）や機密認証データ（SAD）を保存、処理、または伝送するすべての事業体と、カード会員データ及び／又は機密性の高い認証データ環境のセキュリティに影響を与える可能性のあるすべての*事業体。
*加盟店、プロセサー、アクワイアラ、イシュア、その他のサービスプロバイダを含む、カード情報の処理に関与するすべての事業体が含まれる。

全てのカード会員データ環境とそれらに接続されるネットワークコンポーネント、サーバー、アプリケーション、組織・業務が対象。

監査サイクル

年次

監査手法

サンプリング

代替コントロールによる対応

オリジナルの要件に準拠できない場合は、その理由と代替コントロールによって目的をどのように達成するかを文書化し、「準拠に関するレポート（ROC）」とともに提出する。

準拠証明書（AOC）と準拠に関するレポート（ROC）

監査完了のち、準拠証明書（AOC）と準拠に関するレポート（ROC)の提出。

監査証明

当社より監査証明書の発行
監査証明マークの使用許諾（名刺、パンフレット、Webなどに使用可能）

PCI DSSの詳細についてはPCI SSCのWebで確認する事ができます。

割賦販売法に基づく「クレジットカード・セキュリティガイドライン」におけるPCI DSSの対象事業者に関する情報は、一般社団法人日本クレジット協会が公開している「クレジットカード・ガイドライン」」をご参照ください。
ICMSソリューションズでは、当ガイドライン対応を含むPCIコンサルを提供しています。詳しくはこちらをご覧ください。

ICMSのPCI DSS監査