平日 10:00 ~ 18:00

PCI DSS準拠・非保持化対応セキュリティ支援サービス

ICMSの情報セキュリティ対策支援サービス

PCI DSSおよびISMSの監査・審査機関であるICMSは、監査・審査における豊富な実績からのノウハウを活かし、情報セキュリティのエキスパートとして経営、事業内容や規模、運用現場など事業全体に最適な情報セキュリティ施策を支援します。

改正割賦販売法対応・クレジットカード・セキュリティガイドライン対策支援サービス

【ただ今QSAによる無料相談受付中】

改正割賦販売法対応・クレジットカード・セキュリティガイドライン対策をご検討されている方へ

カード情報セキュリティ対策をご検討されている方へ

参考)経済産業省:https://www.meti.go.jp/policy/economy/consumer/credit/

クレジットカード・セキュリティガイドライン対策の無料相談会を実施~改正割賦販売法対応~

改正割賦販売法対応・セキュリティ対策相談会

「クレジットカード・セキュリティガイドライン」とは、「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」(実施期限は2020年3月末)の後継文書となります。

当ガイドラインは、割賦販売法で義務付けられている「カード番号等の適切管理及び不正利用防止措置」のセキュリティ対策における「実務上の指針」として位置付けられ、本ガイドラインに掲げる措置又はそれと同等以上の措置を講じている場合には、同法で定めるセキュリティ対策に関わる法令上の基準を満たしていると認められます。

改正割賦販売法(令和3年4月1日施行)により、クレジットカード番号等の適切管理義務者の対象は拡大され、ECモール、ECシステム提供会社等が「決済代行業者等」として、QRコードや決済用のIDなど対面取引・非対面取引の決済に用いる事業者等は「コード決済事業者等」として、新たに追加されました。

当ガイドラインの基本指針は、カード情報を自社で保有する機器・ネットワークを「保存」「処理」「通過」しない方式の「非保持化」、カード情報が自社で保有する機器・ネットワークを「保存」「処理」「通過」する方式「非保持と同等/相当又はPCI DSS準拠」となります。

法の定める基準を満たすセキュリティ対策とは、自社にとって最適なセキュリティ対策など、疑問を持つ事業者様にICMSは、初回無料で常時相談会を提供しております。

  • 現状自社は法令に定めるセキュリティ対策の基準を満たしているのか。満たす方法は。
  • 自社の事業内容・規模に相応で、導入・運用の負荷を最小限に抑える適切なセキュリティ対策を知りたい。
  • PCI DSS準拠とは、SAQ(自己問診)を自社で作成して準拠できるものなのか。

PCI DSSおよびISMSの監査・審査機関であるICMSは、豊富な実績からのノウハウを活かして経営、事業内容や規模、運用現場など事業全体に最適な情報セキュリティ施策を支援します。
まずはお気軽にお問い合わせください。

高水準で推移するクレジット取引の不正利用額

割賦販売法の改正や実行計画により、多くの関係事業者にセキュリティ対策の取組みが推進されたものの、不全な対策の措置や、不正犯によるカード情報の窃取及び不正利用の手口の多様化により、不正利用額の被害額は依然として高い水準で推移しています。

国はキャッシュレス化を推進する一方、安全なクレジットカード利用環境の実現に必要な措置を講じています。 セキュリティ対策の拡充や強化は、今後より一層求められる事が予想されます。

クレジットカード不正利用被害の発生状況

データ出典)(一社)日本クレジット協会:https://www.j-credit.or.jp/

webセキュリティ診断サービス(PCI DSS対応)

PCI DSS要件に求められる各種セキュリティ診断サービスです。

サービス名 対象 概要 実施者 実施周期 要件番号
ワイヤレスチェック 拠点すべて 拠点に無線LANが無断設置されていないかを調査 任意 四半期に一度 11.1
内部脆弱性スキャン ネットワーク 内部から脆弱性の存在状況を検査 任意 四半期に一度 11.2.1
ASVスキャン
(外部脆弱性スキャン)
ネットワーク インターネットからグローバルIPに対して、脆弱性の存在状況を検査 ASV 四半期に一度 11.2.2
内部ペネトレーションテスト ネットワーク ネットワーク内部から侵入できる脆弱性がないかを検査 任意 一年に一度 11.3.1
外部ペネトレーションテスト ネットワーク インターネットから、侵入できる脆弱性がないかを検査 任意 一年に一度
内部ペネトレーションテスト アプリケーション 内部から、アプリケーションに侵入できる脆弱性がないかを検査 任意 一年に一度 11.3.2
外部ペネトレーションテスト アプリケーション インターネットから、アプリケーションに侵入できる脆弱性がないかを検査 任意 一年に一度
セグメンテーションの有効性テスト ネットワーク カード環境外との通信が想定環境通りであることを検査 任意 加盟店:一年に一度
サービスプロバイダ:半年に一度
11.3.4

PCI DSSセキュリティ診断サービスをオールインワンで提供します。一部のみご利用も可能です。

Wi-Fiセキュリティ診断サービス(PCI DSS対応)

社内無線LANへのアクセスを可視化、セキュリティ診断を行います。不正アクセスを検知・監視を行う事でセキュアなWi-Fi環境を支援するWi-Fiセキュリティ対策です。

管理されていないデバイスや個人の携帯、IoT機器など、社内には把握されていない様々な電波が通信を行っています。これらはバックドアと言われる通信の抜け穴となり、不正利用やサイバー攻撃などの脅威に常にさらされている事になります。
社内のWi-Fi環境を診断、可視化し、現状のWi-Fi環境を把握する事から始め、無線LANへのアクセスを管理・監視を行う事で、安全なWi-Fi環境を維持する事ができます。
定期的な診断は、PCI DSSの要件11.1ワイヤレスチェックの要件を満たす対策としても適用されます。

本サービスは、既存のシステムを変更する事なく手軽に短期間で導入できる容易さと、運用に負荷をかけない自動レポート等管理の利便性が特徴です。

Wi-Fi環境に潜む脅威

【サービスラインアップ】

現状調査や定期診断に適したスポット型の環境スキャン・診断分析サービスと不断のセキュアな環境をサポートする、運用型の常時監視サービスがあります。

環境スキャン・診断分析サービス概要

Wi-Fi環境スキャンサービス
Wi-Fiネットワーク利用状況の可視化

1、無線AP(含:ステルス)と端末MACアドレス、及び信号強度(dBm)
2、無線APが使用している無線プロトコル、電波チャンネル、認証/暗号化方式
3、端末が接続しているAP/SSID情報

Wi-Fi 環境の脆弱性診断サービス
Wi-Fiネットワーク セキュリティ脅威の分析

不正アクセスや偽装行為のAPを探知し、潜在的な脅威を分析、レポーティング

Wi-Fi 環境の最適化支援サービス
Wi-Fiネットワーク利用状況の可視化 電波品質の可視化と時系列分析
このような事業者様にお勧めします。
  • 自社内に、どのような電波、無線LAN(Wi-Fi)が存在するのか、管理外のAPやどのAPにどの端末が接続されているかを把握したい!
  • 調査結果を分析してWi-Fi 環境に潜む脆弱性や問題点を可視化し、脅威を未然に防ぎたい。
  • 無線ネットワーク(Wi-Fi)の電波を一定間隔で取得し、無線LANの非効率な利用やAPの異常な振る舞い、Wi-Fi環境の突発的な変化を明確にしてWi-Fi 環境を最適化したい!

常時監視サービス

不断のセキュアな環境をサポートする、運用型の常時監視サービス

常時監視▶︎▶︎Wi-Fi利用状況を24時間365日!

Wi-Fi不正APを即座に▶︎▶︎検知・遮断

  • アラート通知
  • ログ管理
  • 対策自動化
  • 位置追跡(OP)
3つの重要なポイント ~
  • 1 手間いらずの導入!

    既存システムの変更無し!
    センサーの電源ONのみで
    簡単に設置が可能!

    取得ログは暗号化され、
    LTE回線で転送
  • 2 運用が簡単:報告書自動化

    報告書は1ヶ月毎に
    自動生成&アーカイブ
    (PCI DSS 対応)

    レポートは1年間保管され、
    いつでも閲覧可能
  • 3 緊急時アラート/遮断

    不正APや不正アクセス
    検知時はアラート!
    設定で即遮断も可!

    WIPS専用機ならではの
    高機能、高信頼性、高可用性
  1. 物を持たないサブスクリプションモデル
  2. 無線侵入検知/防止システム(WIDS/WIPS)機能

Wi-Fiセキュリティ診断サービスイメージ

サービスの詳細、デモのご希望、御見積等はお問い合わせください。
  • お問い合わせはこちらから
  • お電話からのお問い合わせはこちらから
WiSASについて

Wi-Fi診断サービスは、スプライン・ネットワーク社のWiSAS(Wi-Fi セキュリティアシュランスサービス)をICMSとのパートナー提携により共同で提供しています。
株式会社スプライン・ネットワーク社:https://www.spline-network.co.jp/

カード情報(カード会員データ)検出サービス

非保持化やPCI DSS準拠システム構築の検証や運用に役立ちます

カード会員データ検出サービスは、自社内にあるカード会員データを検出するサービスです。
カード会員データは、想定外のところから発見されるケースが多々あります。
非保持化のセキュリティ措置、或いはPCI DSS準拠にむけたシステム構築で、システムが適切に機能して事業所内にカード情報が隠れていないか、調査を行う事ができます。
最も重要な運用において、非保持化やPCI DSSの環境が保たれているか、定期的なチェックにご利用することができます。
スキャンを実施するツールには、ICMSが監査に実際使用しているPCI DSSに特化したカード会員データ検出ツール『カードリコン』等を使用し、スキャンを行います。
オンサイト/リモート検査でご利用が可能です。

カード情報(カード会員データ)検出サービス

【カードリコンとは】

PCI DSSの単発検査に向けて開発された、業界トップレベルの性能を誇るカード会員データ検出ツールです。 WindowsとMacPC向けのカードリコンデスクトップとLINUX、AIXなどカードリコンサーバの2タイプあります。検出されたカード会員データは、移動、永久削除、マスキング、暗号化のいずれかで処理が可能です。 スキャンの都度、レポートが出力され、検証や運用のドキュメントに活用できます。

【エンタープライズリコンとは】

PCI DSSに準じた運用ツールです。カードリコンの機能に加え、データベースサーバ等、更に対象先を広く、強力な検索エンジンにより複数台数を定期的にスキャンします。 スケジュール、レポート自動生成など集中管理により、カード会員データが想定外の場所から漏れていないか、保存されているデータのボリュームに不審な動向がないかなど、定期的にモニタリングし、 日々のPCI DSS運用を自動管理できます。カード会員データに加えて銀行口座番号、パスポート番号など個人情報も含めた機密情報管理としても利用できます。

エンタープライズリコンは、カードリコン5式以上のケースに推奨されます。デモ、フリートライアルなど詳細はお問い合わせ下さい。

ページの先頭へ