2010年11月19日8:00
MasterCardのSDPプログラムと加盟店の遵守状況(2)
③加盟店様への教育プログラムについて
近年提供が開始されたプログラムやサービスの紹介:
TrustWave社と協力し、加盟店向けのPCI DSS 準拠診断サービスを無償提供
MasterCardは、加盟店が収集・保存するカードホルダーの詳細情報に関するセキュリティについての関心が高まる中、アジア/太平洋・中東・アフリカ地域の全域にわたって加盟店のPCIDSS準拠を支援するソリューションを提供している。
MasterCardはTrustWave社と契約し、PCI DSSの要件に準拠しているかどうかを包括的に診断するサービス(脆弱性スキャン)を無償提供している。カード決済を導入しているすべての加盟店はPCI DSSの遵守が義務づけられている。
加盟店は PCI DSSの要件に準拠していることが義務付けられていると同時に、以下のことが求められる。
• 自己査定問診表の年次記入
• 顧客窓口にあたるIPアドレスのネットワークの脆弱性スキャンの実施
• 規模の大きい加盟店に限り、QSA(Qualified Security Assessors)もしくは、管理職によって承認された内部監査チームによるオンサイト監査
検証プロセスの評価はASV(Approved Scanning Vendors)やQSAといった認定セキュリティ評価機関に委ねられる。
加盟店が PCI DSSに準拠することが最も重要である一方で、正確な評価を実施するにはコストがかかることから、MasterCardはTrustWave社と契約し、アジア/太平洋・中東・アフリカ地域の加盟店に対して無料の脆弱性スキャン診断サービスを提供している。
TrustWave社によって提供される加盟店向けの無料サービスには以下の内容が含まれる。
• TrustWave社のオンライン・ポータル「TrustKeeper」を利用した自己査定の評価
• 最大6件の顧客窓口にあたるIPアドレスを対象とした四半期ごとのネットワーク・スキャンを4回実施
• 対象加盟店向け脆弱性診断のためのネットワーク・スキャンを最大4回まで実施
• 自己査定票とネットワーク・スキャンの評価結果
-PCI DSSの要件準拠を達成するための改善ガイド
• 加盟店向けのテクニカル・サポート・ヘルプ・デスクおよび無休の緊急対応サポート
同サービスに参加することによって、加盟店はPCI DSS要件に準拠しているかどうかを診断するツールを手に入れることになる。
このオンライン脆弱性スキャン無料診断サービスの日本語版については、現在準備中。
加盟店向けにカスタマイズ可能で
インタラクティブなPCI DSS教育ツールを提供
MasterCardはPCI DSSの加盟店教育プログラム(PCI Merchant Education Program)を提供している。加盟店教育プログラムは、アクワイアラである(またはその機能を持つ)金融機関や加盟店に提供されるサービスで、加盟店の教育及びPCI DSSの普及を目的としたものである。このプログラムでは、金融機関・加盟店契約会社及び加盟店がインタラクティブな授業を通じてPCI DSSについての理解を深めるための無料の教育とトレーニングが提供される。
MasterCardや業界の専門家からの実用的なアドバイスを特集したウェブ・ベースの8つのモジュールがオンラインで公開されている。
この加盟店教育プログラムは柔軟性があり、各アクワイアラのメンバーとその加盟店のニーズに基づきさまざまなチャネルを通して提供される。MasterCardはカスタマイズ可能でインタラクティブな一連のモジュールを開発しており、これらは金融機関がそれぞれの加盟店に合わせて開発するトレーニング・セッションや教材と連動する仕様になっている。
当教育プログラムでは、以下のようなトレーニング・オプションを選択することができる。
• On-Site(OS):金融機関やカード発行会社が指定した会場(社内会議室など)でオンサイトで行うトレーニング。対面で行うため、最も密接にトレーニングが提供できる
• Live Web Meeting(LM):リアルタイムでオンラインのプレゼンテーションと電話会議を通じて実施。1~3つのモジュールについて説明するのに最も適したオプションであり、質疑応答のセッションが引き続き行われることもある
• On-Demand Webinar Series(WS):事前に収録されたコンテンツをオンラインで再生。加盟店のスケジュールの自由が利くオプションであり、コンテンツはMasterCardや業界セキュリティの専門家によるセッションで構成されている。英文のWebサイトはhttp://www.iian.ibeam.com/events/mast001/24008/を参照のこと
●Webinarのモジュールには次のようなものがある。
・PCISSC(PCI Security Standards Council)の紹介
・ PCI DSSの要件の詳細説明
・ 加盟店向けのコンプライアンス遵守のための手引き
・ アカウント情報漏えいについての理解
・ PCIアセスメントの正しい準備のために、事例からのレッスン
・ あなたのリスクを減らす為に:PCI 脆弱性診断
・ セキュリティと決済システム
・ コンプライアンスの検証とそれから
日本語版トレーニングの提供については現在検討中。
教育プログラムについては、上記のほかにもMasterCard Academy of Risk management(ARM)があり、フル・カリキュラム制のオンライン・セミナーやグローバル会議、教材やそのほかのツールなど、決済システムの安全を確保し、安全な商取引をグローバルに推進する支援を行っている。
④ 今後の展開について
MasterCardは、グローバルで、2006年にPCIセキュリティスタンダードカウンシル(PCI SSC)を他社と共同で設立し、PCIセキュリティ基準に関してあらゆる角度から積極的な貢献を行ってきた。2010年度のPCI SSC実行委員会委員長は、MasterCardの不正管理ソリューショングループヘッドのブルース・ラザフォード(Bruce Rutherford)が務めている。MasterCardはまた、PCIでデータセキュリティ基準(DSS)を担当するテクニカルワーキンググループのメンバーとしても参画している。他のSSCメンバー企業の意見も反映した上で、DSS2.0を共同策定するとともに、EMV方式に盛り込まれた新技術についてのドキュメント「Emerging Technology」の取りまとめや、ポイントツーポイント暗号化へのロードマップの作成にも貢献してきた。
日本のペイメント産業と加盟店を含む関係するすべての組織は、消費者のデータを保護し健全に扱っていくために、PCI DSSを推進・実行するために協働していく必要がある。MasterCardはPCISSCを含むさまざまな関係者と緊密に連携し、PCI DSSをより推進する努力を続けている。
※本記事はMasterCard Worldwideの寄稿になります。
