2010年9月21日7:47
<自己問診の概要>
自己問診(SAQ)のタイプは1~5の5種類があり、アクワイアラに提出する「自己問診」は、4種類用意されている(タイプ2と3は同一文書を使用)。「自己問診 A および準拠証明書」(自己問診 B~D)は、PCI SSCのサイト(以下のURL)からダウンロードできる。
http://ja.pcisecuritystandards.org/minisite/en/pci-dss-supporting-docs.html
<SAQ(Self-Assessment Questionnaire)タイプ1>
SAQ タイプ1は、準拠項目がもっとも少なく、最大13項目に絞ることができる。利用する文書は「SAQ A」。カードを提示しない(非対面取引)、かつカード会員データの伝送、処理、保存を自社では行わず、それらの処理を決済代行事業者などサービスプロバイダに完全に依拠している加盟店がここに含まれる。決済代行事業者に伝送、処理、保存処理を完全に依拠するためには、決済代行事業者の提供するカード情報非保持型(画面遷移型)のサービスの提供を受けているということが前提となるはずだ。
このタイプの事業者が準拠すべき項目は、大きく分けて要件9、要件12に限定できる。要件9は、紙などを含めたすべての媒体の管理が対象だ。カード会員データが紙や電子媒体に残るケースを想定しており、安全に保管していることが要求される。9.6~9.10で、媒体の物理的な保護、例えば紙はクロス裁断、焼却しているか、などの実践を問う。紙はどこの企業にもあるため、この要件の適用は必須と考える。
要件12では、12.8の外部委託に関する項目で、カード会員データの処理を依頼する外部委託先の準拠状況を確認することが求められる。国内の代表的なインターネット決済代行であるSBIベリトランス、GMOペイメントゲートウェイ、ソフトバンク・ペイメント・サービス、デジタルガレージ、デジタルチェック、ペイジェント(50音順)などの大手事業者は、すでにv1.2に完全準拠しているため委託可能である。ただし、12.8.4の要求の通り、委託先がPCI DSS準拠を維持し続けているかどうかは、継続的に監視する必要がある。
※本記事は「PCI DSS Version1.2徹底解説」の一部分をご紹介したものです。
