某大手百貨店関連クレジットカード会社:
PCI DSS準拠対応プロジェクト

当社は某クレジットカード会社の PCI DSS 準拠に以下内容で貢献しました。

・QSA審査による、PCI DSSv3.2 準拠
・QSA審査による、PCI DSSv3.2.1 準拠
・一部システムのカード会員データ非保持化
・PCI DSSv3.2 準拠 維持/運用改善
・PCI DSSv3.2.1 準拠 維持/運用改善

お客様のメンバーの一員(プロジェクトグループリーダおよびメンバー)として参画し、チームの管理や要件整理、環境調査、設計、構築、審査対応まで一貫して対応を行いました。

本件は以下の内容で参画をしています。
・プロジェクトグループリーダ:
 カード会員データを保持するシステムの、セキュリティや管理を担うシステムの準拠対応
・グループメンバー:
 リーダ配下のもと、設計/構築/ベンダー管理等実施

お客様の課題

クレジットカード会社としてQSAの審査を受けPCI DSS準拠が必要な会社でした。
カード会員データ保持するシステムにおいては、コンサルを雇い準拠に対して費用をかけて対応を行いましたが、それらシステムの運用管理するシステム(それらのシステムからデータをもらい管理するシステム、統合アカウント管理やログサーバ)については対応をしてなく、それらをDSS準拠するために要件に合わせ準拠までの対応を行いました。

納品物

◆関連文書書作成

  • 各設計書の修正/それら作業対応の管理(作業はベンダーにて実施)
  • PCI DSS要件に沿った対応施策の設計書作成
  • 代替コントロールの策定
  • PCI DSS業務要件設計書
  • 審査時の対応内容表(将来の審査で他メンバが回答できる為の文書)

◆QSA 審査対応

  • PCI DSSの要件に沿った、改修内容や対応策の説明を実施し、準拠まで対応を実施しました。

ソリューションの特徴

プロジェクトの予算としては、カード会員データを管理するシステムに予算を使い切ってしまい、予算をかけずに準拠する事が第一目的として挙げられていました。
そのため、大幅なシステム更改や機器やソフトの導入が見込めず、現行システムで準拠できるように作業を考えたり、代替コントロールの作成を行いました。

対応範囲

役割:
 プロジェクト管理全般(カード会員データを保持するシステム以外)
フェーズ:
 全フェーズ対象

PCI DSSの3.2 並びに3.2.1 の要件理解。
それに伴う対応方法の検討/実現と出来ない場合の代替コントロールの策定等