3つのステップ！PCI DSS認定

前回はPCI DSSの概要について説明しました。今回は、PCI DSSの認定を受ける方法について解説します。

PCI DSS認定を受ける方法

PCI DSSはクレジットカード情報を扱う規模や業態によって認定方法が異なります。認定は以下の3つの方法で得ることができます。

1．自己問診

クレジットカード情報の取扱い件数が比較的少ない、一般的なカード加盟店などの事業者向けの方法です。「Yes/No/該当なし」のアンケート形式で、PCI DSSの基準を満たしているかを確認できます。すべてがYesであれば準拠していると認められます。

2．Webサイトスキャン

クレジットカード情報の取扱い件数が中規模の事業者、およびインターネットに接続している事業者は必須の認定方法です。
PCI SSCが認定したASV（Approved Scanning Vendor） のスキャンツールを利用して、Webサイトから情報が漏洩することがないかをチェックします。3ヶ月に1度以上の定期的なチェックが必要です。

3．訪問審査

カード発行会社をはじめ、クレジットカード情報の取扱い規模が大きな事業者向けの認定方法です。PCI CSSが認定した審査機関（QSA=Qualified Security Assessor）が各事業者に訪問し、セキュリティ対策、運用、および情報の取り扱い状況に関するインタビューや検査を実施します。年1回の定期審査が必要です。

以上がPCI DSSの認定を受ける方法です。次回は最後に、PCI DSSの要件について説明をします。