QSAに聞くVersion2.0のポイント~(3)NRIセキュアテクノロジーズ

2010年12月1日7:00

QSAに聞くVersion2.0のポイント~(3)NRIセキュアテクノロジーズ

――御社がQSAとして活動する上での強みを簡単にお答えください。

審査機関としての訪問審査のみならず、技術、システム、マネジメントと幅広い分野に精通したセキュリティ専門家が、要件への適否を杓子定規に判断するのではなく、その組織における適切なリスクアプローチに基づき、PCI DSSの効果を最大化することを目的としたご支援が可能です。

――PCI DSSが新バージョンに移行になりますが、新バージョンをご覧になった感想をお答えください。

メジャーバージョンアップの割には、大幅な変更はないというのが印象です(2年サイクルから3年サイクルに制度変更になったことに伴う、数字合わせという部分もあるのでは)。

全体として、要件の中に手段が含まれていた部分が切り離され、例示という位置づけになっているものが多く、要件の内容がより明確になりました。

――新バージョンに移行になり、緩和された部分で特に注目される点につきましてお答えください。

暗号キーの変更期間について、柔軟な対応が可能となった点(要件3.6.4)、不正な無線アクセスポイントを検出するための手段について、いくつかの方法が提示された点(要件11.1)、及びリモートアクセス時におけるローカルハードドライブへのPANの保存ついて、緩和された点(要件12.3.10)等があげられます。

――新バージョンに移行になり、強化された部分で特に注目される点につきましてお答えください。

脆弱性に関して、自社環境に照らしたリスクの順位付けを行うプロセスを確立すること(要件6.2)及び「高」ランクに位置づけられた脆弱性への対応(要件6.5)が必要となった点、リモートアクセス時における2因子認証として、知識認証(パスワード等)、所有物認証(トークン等)、本人の特徴による認証(生体認証等)のうち2つを使用することが明確化(要件8.3)された点があげられます。

――上記の点を踏まえ、来年以降、QSAとして審査は行いやすくなると考えられますか?また、QSA部会などで議論が必要になる点などがあるようでしたらお答えいただけると助かります。

Version 2.0では、審査時に使用するテスト手順に関して、要求する対象(文書化、実装、運用等)によって明確に分離されるようになりましたので、分かりやすくなりました。

QSAには、「あいまいさ」を残さない対応が期待されていると感じます。QSA部会においても、これまでの要件解釈を再確認し、こうした期待に応える対応を推進することが求められると思われます。

■特集トップへ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP