クレジットカード情報を安全につかいたい!どの会社なら信用できる?②
3つのステップ!PCI DSS認定
前回はPCI DSSの概要について説明しました。今回は、PCI DSSの認定を受ける方法について解説します。
PCI DSS認定を受ける方法
PCI DSSはクレジットカード情報を扱う規模や業態によって認定方法が異なります。認定は以下の3つの方法で得ることができます。
1.自己問診
クレジットカード情報の取扱い件数が比較的少ない、一般的なカード加盟店などの事業者向けの方法です。「Yes/No/該当なし」のアンケート形式で、PCI DSSの基準を満たしているかを確認できます。すべてがYesであれば準拠していると認められます。
2.Webサイトスキャン
クレジットカード情報の取扱い件数が中規模の事業者、およびインターネットに接続している事業者は必須の認定方法です。
PCI SSCが認定したASV(Approved Scanning Vendor) のスキャンツールを利用して、Webサイトから情報が漏洩することがないかをチェックします。3ヶ月に1度以上の定期的なチェックが必要です。
3.訪問審査
カード発行会社をはじめ、クレジットカード情報の取扱い規模が大きな事業者向けの認定方法です。PCI CSSが認定した審査機関(QSA=Qualified Security Assessor)が各事業者に訪問し、セキュリティ対策、運用、および情報の取り扱い状況に関するインタビューや検査を実施します。年1回の定期審査が必要です。
以上がPCI DSSの認定を受ける方法です。次回は最後に、PCI DSSの要件について説明をします。