事業内容
事業内容
PCI DSS準拠のメリット
商人またはサービスプロバイダーとして
セキュリティ漏洩(侵害)のリスクの低減
顧客からの信頼を得る
ペイメントブランドからの高額なペナルティの回避
セキュリティ漏洩(侵害)のリスクの低減
顧客からの信頼を得る
ペイメントブランドからの高額なペナルティの回避
PCI DSSは本当に必要?
→ペイメントカードを使用して取引を行う場合、PCI DSSを遵守する必要があります。PCI DSSは、顧客の決済情報に対する脅威の増大に対応するため、12項目のコンプライアンス要件が定められています。 PCI DSSに準拠していない企業は、5,000ドルから100,000ドルの罰金とその他の罰則を受ける可能性があります。
PCI認定セキュリティ評価者
MXCのプロフェッショナルは、PCI Security Standard Councilが認定するPCI DSSの評価者であり、PCI Qualified Security Assessors (QSA)としても知られています。QSAは、加盟店やサービスプロバイダがPCI DSSに準拠するための自己評価質問書(SAQ)や準拠証明書(AOC)による準拠報告書(ROC)の作成を支援することができます。
どうしてPCI認証済みの会社が侵入されたのか
どうしてPCI認証済みの会社が侵入されたのか
PCI認証を受けた企業は安全か?
PCI DSS コンプライアンスに関する大きな誤解の 1 つに、PCI DSS 認定企業は安全である、あるいはハッカーに対抗できる、というものがあります。つまり、多くの企業は、PCI DSS 準拠のためのボックスをリストから外してチェックしていたり、あるいは、PCI QSA 監査の時期に代償となるコントロールを実施しただけで、セキュリティ保護が継続的にフルタイムで行われることを忘れてしまっているのです。以下のリストは、不十分な QSA 手法が欠陥のある評価につながる可能性があるケースを示しています。
- QSAは、コンプライアンスを検証するために、インタビューを受けた人の発言にほとんど依存している。
- 組織から提供された証拠にのみ依存するQSA
- 評価、助言、監査にほとんど、あるいは全く時間をかけないQSA
- システムコンポーネントの代表的なサンプリングを行わないQSA
- ネガティブではなくポジティブを検証しているQSA
また、QSA 企業/QSA 従業員の習熟度および経験のレベルも、例えば、非コンプライ アンス組織がアセスメントに合格する要因となる可能性がある。
- 組織にとって適切なコンプライアンスの範囲を特定できない QSA
- 特定のセキュリティ製品や技術の専門家ではないQSA
- ハッカーが組織に侵入する際に使用するハッキング技術や攻撃ベクトルに精通していないQSA
PCIは、加盟店がPCIに準拠していない場合のセキュリティ侵害に対して、1件あたり最大50万ドルの罰金を定めています。さらに、情報が漏洩したと思われるすべての個人に対して、不正な請求に注意するよう書面で通知することが義務付けられています。このように、セキュリティ侵害の潜在的なコストは、顧客への通知と回復のためのコストを計算すると、50万ドルをはるかに超える可能性があります。その他、データ漏洩の潜在的な追加コストとしては、
- 監査要件の増加
- キャンパス全体でクレジットカードの使用が停止される可能性
- 事故前の状態に戻すためのコストと時間
- PRおよびインシデントマネジメントにかかるコスト
- セキュリティ回復のためのスタッフの時間(給与)のコスト
- レジや店舗の閉鎖、処理時間によるビジネス損失のコスト
- 公共イメージの悪化と顧客の信頼の喪失による売上の減少
事例紹介
観光データのハッキングにより、ギリシャの銀行が数千枚のカードをキャンセルするために、ギリシャの主要銀行4行は、データ流出後にセキュリティプロトコルを施行し、その結果、15,000枚の消費者カードをキャンセルしたとのことです。アルファ銀行、ピレウス銀行、ユーロバンク、ギリシャ国立銀行は、観光サイトで消費者情報が流出した後、それぞれ顧客のクレジットカードとデビットカードを解約しました。この観光サイトでは、顧客はあらゆる種類の交通手段に加えて、ホテルの予約や保険などを購入することができます。ビザやマスターカードなどの主要なクレジットカード会社です。 その結果、旅行ポータルサイトで使用されていた銀行カードはすべてキャンセルされ、交換することになりました。
MXCセキュリティを長期的な情報セキュリティ・アドバイザーおよびサイバー・セキュリティ・コンサルタントとして選ぶ理由は?
- これにより、PCI DSS チェックリスト/テンプレートだけでなく、ISO 27001 ISMS、NIST、および規制コンプライアンスの経験など、その他の産業界のベストプラクティスを満たすための目的に合ったアドバイスとコントロールの推奨を確実に提供することができます。
- PCI DSS コンプライアンス評価は、単なるチェックリストベースの評価作業ではありません。PCI DSS準拠評価は、単なるチェックリストベースの評価作業ではなく、監査を管理し、Win-Winの状況を達成するために経験豊富な監査人が必要です。MXC QSAはIRCA ISMS主席監査人であり、15年以上の監査経験を持つ経験豊富なIS監査人で、監査のリズムを管理し、結果を最大化する方法を知っています。
- 現地のベトナム人セキュリティコンサルタントは、タイムリーで効果的なコーディネーションを促進するためのサポートとコーディネーターの役割を果たします。現地ベトナムの情報セキュリティとIT文化も重要な成功要因と考え、この評価で調和を図ることができる
- このプロジェクトのために、現地/地域のフルタイムの専門家が配置されます。
- CREST認定侵入テスター/OSCPを6名擁する高資格の侵入テスト担当者(注*A)
- CREST認定企業 - 侵入テスト
- 16年以上の歴史を持つ侵入テストサービスプロバイダー
- ベトナムにいるプロフェッショナルなチームメンバーは、ベトナム語と英語の両方を話します。
(注 *A: 貧弱な侵入テスト/脆弱性評価サービスに潜むリスク。) ツールを使った自動侵入テストは、真の侵入テストとは言えません。 多くの侵入テストサービスでは、テストの中核としてツール(主にフリーウェア、いくつかの商用ツール)を使用しています。しかし、それは本当の意味での侵入テストではありません。ツールはハッキングの成功要因ではなく、脆弱性を発見する評価者のスキルなのです。クリティカルでハイリスクな脆弱性は、自動化されたツールではなく、手動のテストでしか発見できないという例がいくつもあります。ツールを中心に作成された結果のレポートを入手した場合、本物のハッカーに攻撃されるリスクにさらされることになります。
顧客実績
取り組み
PCI DSSアドバイザリーのための当社独自の方法
フェーズ0 – プロジェクトの開始とコンサルテーション
当社のPCI DSS QSAチームは、キックオフミーティングを通じてプロジェクトを開始し、プロジェクトのスケジュールとコミットメントの詳細を定義します。
フェーズ I – ディスカバリー
このフェーズでは、PCI DSSクオリティ・セキュリティ・アセッサ(QSA)チームが、スコープの確認と初期チェックのために文書を収集します。
フェーズ II – PCI DSS 要件テスト
このフェーズでは、QSAチームはPCI DSSレディネス・チェックとPCI DSS要件テストを実施し、PCI DSS要件に対する準拠状況を評価します。PCI DSS Readiness Checkは、正式な要件テストの前の予備テストとして機能します。
フェーズIII – 修復コンサルティングサービス
テスト結果に基づいて、お客様がPCI DSS要件を修正して準拠するために必要なすべてのコンサルティング・サポートを提供します。マキシマスは、PCI DSS関連の管理システム手順をすべて起草し、お客様がそれらの手順をレビューして最終化するのを支援します。これにより、お客様が最初からポリシーや手順を確立する労力を最小限に抑えることができます。
フェーズIV – 最終成果物
QSAは、PCI DSS要件テストで収集した証拠について分析を行い、最終報告書を作成します。
フェーズ V – 品質保証
最終報告書を提出する前に、QSA品質保証(QA)チームが内部レビューを行い、報告書が内部QA基準を満たしていることを確認します。ROCのレビューが完了したら、QAチームがROCおよびAOCを最終的に作成し、お客様にお届けします。
フェーズVI – クローズアウト
報告書を提出し、テスト結果を発表するために、お客様の関係者とクローズアウト会議を開催します。