セクション 1: 評価情報提出に関する指示加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要がありますこの文書のすべてのセクションの記入を完了します加盟店は該当する場合各セクションが

Size: px

Start display at page:

Download "セクション 1: 評価情報提出に関する指示加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要がありますこの文書のすべてのセクションの記入を完了します加盟店は該当する場合各セクションが"

みいかいくのや
5 years ago
Views:

1 Payment Card Industry(PCI) データセキュリティ基準自己問診 A-EP 準拠証明書バージョン年 2 月

2 セクション 1: 評価情報提出に関する指示加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要がありますこの文書のすべてのセクションの記入を完了します加盟店は該当する場合各セクションが関連当事者によって記入されることを確認する責任を負いますレポートおよび提出要件についてはアクワイアラー ( 加盟店銀行 ) またはペイメントブランドに問い合わせてくださいパート 1. 加盟店と認定セキュリティ評価機関の会社情報パート 1a. 加盟店の会社情報会社名 : DBA ( 商号 ): 名前 : 役職 : ISA 名 ( 該当する場合 ): 役職 : 電話番号 : 電子メール : 会社住所 : 市区町村 : 都道府県 : 国 : 郵便番号 : URL: パート 1b. 認定セキュリティ評価機関の会社情報 ( 該当する場合 ) 会社名 : QSA リーダーの名前 : 役職 : 電話番号 : 電子メール : 会社住所 : 市区町村 : 都道府県 : 国 : 郵便番号 : URL: パート 2. 概要パート 2a. 加盟店のビジネスの種類 ( 該当するものすべてにチェック ) 小売情報通信食料雑貨およびスーパーマーケット石油電子商取引通信販売その他 ( 記入してください ): PCI Security Standards Council, LLC. All Rights Reserved. 1 ページ

3 あなたの会社はどのような種類の支払チャネルを提供していますか? 通信販売 (MOTO) 電子商取引カード提示 ( 対面式 ) この SAQ でカバーされている支払チャネルはどれですか? 通信販売 (MOTO) 電子商取引カード提示 ( 対面式 ) 注 : あなたの会社の支払チャネルまたは処理でこの SAQ でカバーされていないものがある場合はそれら他のチャネルの検証についてアクワイアラーまたはペイメントブランドに相談してくださいパート 2b. 支払カードビジネスの説明カード会員データをどのようにまたどのような機能で保存処理伝送していますか? パート 2c. 場所 PCI DSS レビューに含まれている施設の種類と場所の概要を挙げてください ( 小売店事業所データセンターコールセンターなど ) 施設の種類施設の場所 ( 市区町村国 ) パート 2d. ペイメントアプリケーション会社で一つまたは複数のペイメントアプリケーションが使用されていますか? はいいいえあなたの会社が使用するペイメントアプリケーションについての次の情報を記入してくださいペイメントアプリケーションの名バージョンアプリケーションアプリケーションは PA-DSS 検証の有効期限前番号ベンダ PA-DSS に記載されてい ( 該当する場合 ) るものですか? はいいいえはいいいえはいいいえパート 2e. 環境の説明この評価の対象となる環境の概要を説明しています例 : カード会員データ環境 (CDE) との接続 POS デバイスデータベース Web サーバーなどカード会員データ環境内の重要なコンポーネントおよび該当する場合に必要となる他の支払要素 PCI Security Standards Council, LLC. All Rights Reserved. 2 ページ

4 あなたの会社は PCI DSS 環境の範囲に影響するようなネットワークセグメンテーションを使用していますか? ( ネットワークセグメンテーションについては PCI DSS のネットワークセグメンテーションセクションを参照してください ) はいいいえパート 2f. サードパーティサービスプロバイダあなたの会社は 1 つ以上のサードパーティサービスプロバイダと関係がありますか ( ゲートウェイペイメントプロセサーペイメントサービスプロバイダ (PSP) Web ホスティング会社航空券予約代理店ロイヤルティプログラム代理店など )? はいいいえはいと答えた場合 : サービスプロバイダ名 : 提供されるサービスの説明 : 注 : 要件 12.8 はこのリスト上のすべてのエンティティーに適用されますパート 2g. SAQ A-EP に該当する加盟店以下に該当する加盟店はこの支払チャネルに関して以下の理由で短縮版自己問診を完了する必要があります加盟店は電子商取引のみを扱いますカード会員データのすべての処理を PCI DSS 認定のサードパーティ支払プロセサーに外部委託しています加盟店の電子商取引 Web サイトはカード会員データを受信しませんが消費者または消費者のカード会員データが PCI DSS 認定のサードパーティ支払プロセサーにリダイレクトされる方法を制御しますペイメントアプリケーション / インターネットデバイスは環境内の他のシステムには接続されていません ( これはペイメントアプリケーションシステム / インターネットデバイスを他のすべてのシステムから分離するネットワークセグメンテーションによって実現できます ) 加盟店の Web サイトがサードパーティプロバイダによってホストされている場合そのプロバイダが該当するすべての PCI DSS 要件を満たすことが検証されます ( プロバイダが共有ホストプロバイダの場合は PCI DSS の付録 A を含む ) 消費者のブラウザに表示される支払ページの全要素は加盟店の Web サイトまたは PCI DSS 準拠のサービスプロバイダからのものとします加盟店はシステムまたは敷地内でカード会員データを電子的に保管処理伝送することなくこれらの機能をサードパーティに全面的に委託しています加盟店はサードパーティサービスプロバイダのカード会員データの保管処理伝送処理が PCI DSS に準拠するものであることを確認しました PCI Security Standards Council, LLC. All Rights Reserved. 3 ページ

6 セクション 2: 自己問診 A-EP 本準拠証明書は添付の SAQ に文書化されている自己問診の結果を反映するものです本準拠証明書と SAQ に文書化されている自己問診は以下の日付に完了されたものです : SAQ の要件を満たすために代替コントロールは使用されましたか? はいいいえ SAQ の要件に不適用として特定されたものがありますか (N/A)? はいいいえ SAQ の要件で法的制限により満たすことができなかったものがありますか? はいいいえ PCI Security Standards Council, LLC. All Rights Reserved. 5 ページ

7 セクション 3: 検証と証明の詳細パート 3. PCI DSS 検証 SAQ A-EP の日付 ( 完了日 ) 付の結果を基に署名者は本書のパート 2 に記載されている事業体について ( 日付 ) 現在で以下の準拠状態を証明します (1 つをチェックしてください ) 準拠 : PCI SAQ のすべてのセクションを完了しすべての質問に対して肯定的に答えたため全体的な評価が準拠になり ( 加盟店名 ) は PCI DSS に完全に準拠していることを示しました非準拠 : PCI SAQ のすべてのセクションを完了したが一部の質問に対して肯定的に答えられていないため全体的な評価が非準拠になり ( 加盟店名 ) は PCI DSS に完全には準拠していないことを示しました準拠の目標期日 : 非準拠の状態でこのフォームを提出する事業体は本書のパート 4 にあるアクションプランを完了しなければならない場合がありますパート 4 を完成させる前にアクワイアラーまたはペイメントブランドに確認してください準拠法的例外付き : 法的制限のために要件を満たすことができないため 1 つ以上の要件にいいえと答えられていますこのオプションにはアクワイアラーまたはペイメントブランドからの追加レビューが必要です選択されている場合次の各項目に記入してください影響を受けた要件法的制限により要件を満たすことができなかった理由の詳細パート 3a. 状態の確認署名者が以下を確認します ( 該当する項目すべてにチェック ) PCI DSS 自己問診 A-EP バージョン(SAQ バージョン番号 ) は同書の指示に従って完了しました上記で参照されている SAQ およびこの証明書のすべての情報は評価の結果をすべての重要な点において公平に表しています当社は自社のペイメントアプリケーションベンダに自社のペイメントシステムでは承認後の機密認証データが保存されないことを確認しました私は PCI DSS を読み当社の環境に適用される範囲において常に PCI DSS への完全な準拠を維持する必要があることを認識しています当社の環境が変化した場合私は新しい環境を再評価し該当する追加の PCI DSS 要件を導入する必要があることを認識しています PCI Security Standards Council, LLC. All Rights Reserved. 6 ページ

8 パート 3a. 状態の確認 ( 続き ) 取引承認後にフルトラックデータ 1 CAV2 CVC2 CID または CVV2 データまたは PIN データ 2 が保存されているという証拠はこの評価でレビューされたすべてのシステムで見つかりませんでした 3 ASV スキャンは PCI SSC 認定の認定スキャニングベンダー (ASV 名 ) が完了パート 3b. 加盟店の証明書加盟店役員の署名日付 : 加盟店役員名 : 役職 : パート 3c. QSA の確認 ( 該当する場合 ) この評価に QSA が関与しているか支援している場合実施した役割を説明してください QSA の署名日付 : QSA の名前 : QSA の会社 : パート 3d. ISA の確認 ( 該当する場合 ) この評価に ISA が関与しているか支援している場合実施した役割を説明してください ISA の署名日付 : ISA の名前 : 役職 : カードを提示する取引中に承認のために使用される磁気ストライプのエンコードされたデータまたはチップ内の同等のデータ取引承認の後事業体はフルトラックデータ全体を保持してはいけません保持できるトラックデータの要素はプライマリアカウント番号 (PAN) 有効期限カード会員名のみですカードを提示しない取引を検証するために使用される署名欄またはペイメントカードの前面に印字されている 3 桁または 4 桁の値カードを提示する取引中にカード会員によって入力される個人識別番号または取引メッセージ内に存在する暗号化された PIN ブロックあるいはその両方 PCI Security Standards Council, LLC. All Rights Reserved. 7 ページ

9 パート 4. 非準拠要件に対するアクションプラン要件ごとに該当する PCI DSS 要件への準拠状態を選択してください要件に対していいえを選択した場合は会社が要件に準拠する予定である日付と要件を満たすために講じられるアクションの簡単な説明を記入する必要がありますパート 4 に記入する前にアクワイアラーまたはペイメントブランドに確認してください PCI DSS 要件要件の説明 PCI DSS 要件への準拠 (1 つ選んでください ) はいいいえ修正日とアクション ( いいえが選択されている要件すべて ) 1 カード会員データを保護するためにファイアウォールをインストールして構成を維持する 2 システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない 3 保存されるカード会員データを保護する 4 オープンな公共ネットワーク経由でカード会員データを伝送する場合暗号化する 5 すべてのシステムをマルウェアから保護しウィルス対策ソフトウェアまたはプログラムを定期的に更新する 6 安全性の高いシステムとアプリケーションを開発し保守する 7 カード会員データへのアクセスを業務上必要な範囲内に制限する 8 システムコンポーネントへのアクセスを識別認証する 9 カード会員データへの物理アクセスを制限する 10 ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する 11 セキュリティシステムおよびプロセスを定期的にテストする 12 すべての担当者の情報セキュリティポリシーを整備する PCI Security Standards Council, LLC. All Rights Reserved. 8 ページ

Payment Card Industry(PCI) データセキュリティ基準オンサイト評価の準拠証明書加盟店バージョン年 4 月ご利用条件への同意全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとしこのテキストと

Payment Card Industry(PCI) データセキュリティ基準オンサイト評価の準拠証明書加盟店バージョン 3.2 ご利用条件への同意全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとしこのテキストと英文テキスト間に曖昧さや矛盾がある場合は英文テキストが優先されるものとしますセクション 1: 評価情報提出に関する指示