TISは2022年5月9日、「PCI DSS準拠支援サービス」をアップデートすると発表した。2022年5月から、最新版「PCI DSSv4.0」への準拠を支援するコンサルティングを開始する。v4.0基準に対する現状システムのギャップ分析や、v4.0に準拠するためのロードマップの作成、頻度定義のためのリスク分析やカスタマイズアプローチの作成、などを支援する。
TISの「PCI DSS準拠支援サービス」は、クレジット業界が備えるべきセキュリティのガイドラインであるPCI DSSへの準拠を支援するサービスである(図1)。TISは、約10年にわたり、企業システムのPCI DSS準拠支援を行ってきた。
図1:PCI DSSv4.0準拠までの標準プロセス(出典:TIS) 直近の2022年3月31日には、PCI DSSのバージョンがv3.2.1からv4.0に向上。v4.0では、セキュリティの維持や各事業体に合わせたセキュリティ対策の実現に向けて、リスク分析ベースの運用頻度定義や、カスタマイズアプローチの新設など、検証手法について大きく改変している。
PCI DSSv4.0の登場を受けて今回、PCI DSS準拠支援サービスをアップグレードする。2022年5月に、PCI DSSv4.0への準拠支援するコンサルティングを開始する。
まず、PCI DSSv4.0基準を元にリスクアセスメントを実施し、対象システムのPCI DSSv4.0準拠度を明確化する。準拠に達していない要件については、2024年度にPCI DSSv4.0に移行することを見据え、中・長期的なロードマップを作成し、対応方針案を提示する。さらに、PCI DSSv4.0から追加になった、頻度定義のためのリスク分析やカスタマイズアプローチの作成も支援する。
PCI DSSv4.0準拠までの標準プロセスは、以下の通り。
- カード情報を「保管・処理・伝送」する環境の特定
- カード会員データ利用の把握
- PCI DSS準拠させる対象範囲(スコープ)の特定
- PCI DSS準拠方法(どのシステムに何をするか)の策定
- PCI DSSv4.0要件と現状におけるギャップ分析の実施
- ギャップに対する対応方針の策定
- どのタイミングで対応を実施するかの中長期ロードマップの策定
- PCI DSSの実装と運用
- PCI DSS文書作成支援
- システム実装提案
- 頻度定義のためのリスク分析実施支援
- カスタマイズアプローチ作成支援
- 実装支援
- 実装に伴う課題フォロー
- プレ監査
- 実装後のPCI DSSv4.0準拠度評価
- プレ監査時の課題整理
- 本審査支援
- 監査への立会
- 監査時の課題整理
- フォローアップ
- 次年度への課題整理
