どのPCI SAQが必要ですか?

by: adminPosted on:

公開:2019年7月31日 by Alan Gouveia – 3 min read

Which PCI SAQ Do I Need?

組織が記入し提出する必要がある9つのPayment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQs) はどれかは、いくつかの要因に依存します:

  • クレジットカード取引をどう処理していますか。 これらのトランザクションを処理するために第三者に委託していますか、それとも自社で行っていますか?
  • クレジットカードおよびデビットカード取引に使用する支払処理機または端末のタイプ。
  • 実店舗で物理的なカードやテレフォンペイのアプリケーションを使って顧客からの支払いを受け付けているか、あるいは厳密にeコマースのみを行っているか。

SAQとは何ですか、そして何のためのものですか?

PCI DSS 自己問診(SAQ)は、PCI セキュリティ基準審議会(PCI SSC)が提供するツールで、ペイメントカード処理を行う加盟店やサービスプロバイダが自社の PCI コンプライアンスを測定するのに役立ちます。 Payment Card Industry Data Security Standard (PCI DSS) Self-Assessment Questionnaires (SAQs) は、PCI DSS 自己問診です。

認定セキュリティ評価者(QSA)または内部セキュリティ評価者によるオンサイト監査とその結果としての準拠レポート(ROC)を取得する必要がない組織は、代わりに自己評価することが許可されています。

  • PCI DSS 要件に関連する質問
  • 買収銀行に提出するコンプライアンス証明書(AOC)

どの SAQ が自分の組織に適しているのでしょうか?

PCI SSCは8つの加盟店向けSAQとサービスプロバイダ向けの1つのSAQを開発しました。 PCI DSS 3.2.1 SAQ のタイプと想定されるユーザーは次のとおりです。

  • SAQ A: 遠隔地(電子商取引、通信販売、電話注文)でビジネスを行う加盟店で、PCI DSS で検証済みのサードパーティに支払いカードのデータ処理と保存を外注し、カードまたはカード保有者のデータをいかなる形でも保存しない加盟店向けです。
  • SAQ A-EP: クレジットカードデータの処理と保存を PCI DSS 検証済み第三者に委託しているが、カード会員データを受信しないが支払い取引のセキュリティに影響を与える可能性のある Web サイトも維持している電子商取引業者のためのものです。
  • SAQ B: カード会員データを電子的に保存しないクレジットカード打刻機またはスタンドアロン型ダイアルアップ端末を使用して直接販売を行う加盟店のためのものです。
  • SAQ B-IP: スタンドアロンで PIN Transaction Security (PTS) 認定のカード決済端末のみを使用し、決済処理装置にインターネットプロトコル (IP) 接続し、電子的なカード会員データを保存しない、対面販売を行うカード常駐型加盟店のためのものです。
  • SAQ C-VT: PCI DSS 検証済みの第三者サービスプロバイダによって提供およびホストされているインターネットベースの仮想支払端末ソリューションに、キーボードから一度に 1 つのトランザクションを手動で入力する加盟店のためのものです。 SAQ C-VT 加盟店は、電子カード会員データを保存することはできません。
  • SAQ C: インターネットに接続された決済アプリケーションシステムを使用して対面で販売を行う加盟店の場合。 SAQ-Cの加盟店は、電子カード会員データを保存しません。
  • SAQ P2PE:検証済みの PCI SSC リストされたポイントツーポイント暗号化(P2PE)ソリューションに含まれ、それを介して管理されるハードウェア支払端末のみを使用し、電子カード会員データを保存しない加盟店のためのものです。 電子商取引チャネルには適用されません。
  • SAQ D(加盟店向け)。 上記の SAQ タイプの説明に含まれていないすべての加盟店向け。
  • サービスプロバイダのためのSAQ D。 ペイメントブランドによってSAQを完了する資格があると定義されたすべてのサービスプロバイダが対象です。

あなたの組織がペイメント カード情報を処理、保存、または送信し、現地監査および ROC を取得する必要がない場合、SAQ を完了し、AOC と共に取得銀行に提出する必要があります。

SAQ にかかる時間と費用を節約する方法

PCI DSS SAQ フォームの記入は長くて手間がかかり、組織の時間、費用、その他の貴重なリソースを犠牲にする可能性があります。 これは、PCI コンプライアンスの取り組みを追跡するためにスプレッドシートを使用し、電子メール アカウント、郵便物、ウェブサイトの資料、テキスト メッセージなどの異種ソースから文書を収集している場合に特に当てはまります。

自己評価作業を緩和し時間とコストを削減するために、コンプライアンス ソフトウェアを試してみてはいかがでしょうか。 ZenGRC では、とりわけ以下のことが可能です。

  • カード会員データ環境 (CDE) の範囲を最小化するのを支援する
  • システムとネットワークを調査して、PCI DSS に準拠している場所と準拠していない場所を確認する
  • 準拠に達するために何が必要かを知らせる
  • ユーザーが簡単に使用できるようにする
      • CDE の範囲を最大化するのを助ける

        • ……

        ZenGRC は次のような機能を提供します。

      • 必要な監査証跡のドキュメントを収集、保管する
      • 第三者サービスプロバイダのコンプライアンスを調査、監視する
      • 継続的にPCI DSSコンプライアンスを監視する

      そろそろ混乱を避ける時期ではないでしょうか? 旧式のスプレッドシートは、完全で使いやすいコンプライアンス・ソリューションです。 今すぐ Reciprocity のエキスパートに連絡して、Zen 流の PCI DSS コンプライアンスへの安心の第一歩を踏み出しましょう

コメントを残す

メールアドレスが公開されることはありません。