Microsoft Word - SAQタイプ別の説明 _Ver3.2.docx

Similar documents
各 SAQ (v3.2.1 版 ) を適用すべきカード情報取扱い形態の説明 / JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください 適合しない部分が少し

セクション 1: 評価情報 提出に関する指示 加盟店は PCI データセキュリティ基準 (PCI DSS) の要件およびセキュリティ評価手順の自己問診結果を表明するものとしてこの文書の記入を完了する必要があります この文書のすべてのセクションの記入を完了します 加盟店は 該当する場合 各セクションが

Payment Card Industry(PCI) データセキュリティ基準 オンサイト評価 - サービスプロバイダ準拠証明書 バージョン 年 4 月 ご利用条件への同意 全ての目的において PCI の SSC サイトに記載された英文テキストがこの文書の正式版とみなされるものとし

概要 早急に移行することをお勧めします 20 年以上にわたって一般的な暗号化プロトコルとして普及してきた Secure Sockets Layer(SSL) は セキュリティ脆弱性にさらされているとはいえ 現在でも広く利用されています SSL v3.0 は 1999 年に TLS v1.0 に更新さ

この文書について この文書 ( 公式日本語訳 ) は PCI Security Standards Council, LLC ( 審議会 ) で入手可能な SAQ と記さ

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

PCIデータセキュリティ基準 要件詳細理解のためのトレーニング

この文書について この文書 ( 公式日本語訳 ) は PCI Security Standards Council, LLC ( 審議会 ) で入手可能な SAQ と記さ

PaymentElite とは PaymentElite により様々な加盟店決済システムの構築が可能 対面決済加盟店 デパート 専門店 / 量販店 SC/GMS POS 決済サーバ CAFIS CAFIS (Cred itandfinanceinformationsystem) とは安心 安全 便利

302KC 取扱説明書 Chapter9

エクストラネット : ファイアウォール内部の内部ユーザーと特定の外部ユーザーのみがアクセスできるコンテンツ 情報またはソフトウェアをホストする Web サイト インターネット : すべてのユーザー ( 内部ユーザーと外部ユーザー ) が公的にアクセスできるコンテンツ 情報またはソフトウェアをホストす

指定立替納付を使った場合の 国内提出書類の提出方法 1 出願書類や 納付書などを 指定立替納付で支払う場合の手順をご案内します ここでは ひな型を Word で編集する場合の手順を案内します 他を利用する場合は ユーザガイドをご覧ください (1) 指定立替納付を使うための事前準備 a. クレジットカ


SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

登録手順 1 の 2 Microsoft Outlook 2010 スタートアップ 参考 スタートアップ画面が表示されない場合 Microsoft Outlook 2010 の起動画面から [ ファイル ] タブを選択し [ 情報 ] をクリックします [ アカウント設定 ] [ アカウント設定 (

SSL サムプリントの検証 SSL サムプリントの検証はリモートユーザーがホストの信頼性を検証するために使用します この検証はリモートとホスト間の接続の安全性を確立して MITM 攻撃から保護するために実行する必要があります デフォルトで リモートユーザーが TCP/IP を使用してホストに接続しよ

PowerPoint プレゼンテーション

強化項目 PaymentEliteVer2.0 における機能強化項目 PCIDSS Payment Card Industry Data Security Standard クレジットカード情報保護を目的とした情報セキュリティ基準であるPCIDSS の要件に対応 (PCIDSSv2.0) 会員番号

2 SmaSvr SmaSvr システムの概要 テクノベインズでは 業務系周辺機器 業務系周辺機器が操作できる スマート端末 が操作できる スマート端末 が操作できる スマート端末アプリ環境 アプリ環境の提供 提供 を実現できる方法 実現できる方法 実現できる方法について研究してきた 研究してきた

延命セキュリティ製品 製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

伝送通信ソフトVer.6マニュアル

はじめに 本説明書は インターネット伝送をご利用のお客さま向けに 基本的な操作手順をご確認いただくための資料です 詳細な操作手順については ご利用の際にお渡ししました インターネット伝送操作説明書 をご覧ください なお 画面操作に関するお問い合わせはインターネット伝送サポートセンターへご連絡ください

PowerPoint プレゼンテーション

Webエムアイカード会員規約

USB キーを使用して Windows リモートデ スクトップへのセキュアなログインを実現 Rohos Logon Key 2 要素認証 (2FA) ソフトウェアが ターミナルサーバーを保護し パスワードとハードウェア USB トークンを使用してリモートデスクトップにログインを可能にします Roho

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

登録手順 2 アカウントの登録 追加 インターネットアカウント画面が表示されます [ 追加 (A)] [ メール (M)] の順にクリックします 登録手順 3 表示名の設定 インターネット接続ウィザードが表示されます [ 表示名 (D)] に名前を入力します 入力が完了したら [ 次へ (N)] を

非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月 編

Canon Mobile Scanning MEAP Application インストールについて

メールソフト(Microsoft Outlook/Thunderbird)の利用方法

目次 1. はじめに ) 目的 ) TRUMP1 での課題 登録施設におけるデータ管理の負担 登録から中央データベースに反映されるまでのタイムラグ ) TRUMP2 での変更 オンラインデータ管理の実現 定期

ログイン 初期設定 初期設定 利用規定を確認し 同意する をタップ 端末番号 (TID) とパスワードを入力 OK をタップ カードリーダー兼 PIN パッド (LP-PCR2) を選択し OK をタップ 利用する接続方法と 接続する PIN パッドを選択 Bluetooth 接続の場合

平成 29 年 11 月 国民健康保険中央会

既存のどの SIEM にでも再考察し 2 要素認証を含めることができます Rohos Logon Key は 良く知られていて安全なワンタイムパスワード (OTP) 認証技術を使用して Windo ws Remote Desktop へのアクセスを許可します 脆弱なパスワードによるログインに変わるも

Mobile Access簡易設定ガイド

novas HOME+CA WEB 設定画面アクセス方法 novas HOME+CA の WEB 設定画面接続方法 本製品の設定は WEB 設定画面から変更できます WEB 設定画面のアクセス方法は以下のとおりです 1 本製品と有線または無線 LAN で接続した端末で WEB ブラウザを起動します

この文書について この文書 ( 公式日本語訳 ) は PCI Security Standards Council, LLC ( 審議会 ) で入手可能な PCI DSS

Android用 印刷プラグイン Canon Print Service マニュアル

[参考資料] Bluetooth対応タブレットでインターネット(MSP1000)

PowerPoint Presentation

McAfee SaaS Protection 統合ガイド Microsoft Office 365 と Exchange Online の保護

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

Microsoft Word - PCOMM V6.0_FAQ.doc

Windows Liveメールの設定

iNFUSE インフューズ

3. クラスリンク ( 先生の IP アドレス >:< ポート >) を生徒と共有して生徒がブラウザーから接続できるようにします デフォルトのポート番号は 90 ですが これは [Vision 設定 ] から変更できます Netop Vision Student アプリケーションを使

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

導入設定ガイド

Microsoft PowerPoint - オプションソフト資料_

wdr7_dial_man01_jpn.indd

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

.1 準備作業の流れ 準備作業の流れは 以下のとおりです 必要なものを用意する. パソコンインターネット接続回線 E メールアドレス.-(1).-().-(3) 当金庫からの送付物.-(4) パソコンの設定をする.3 Cookie の設定を行う.3-(1) Java の設定を有効にする ( ファイル

登録手順 1 の 2 Microsoft Outlook 2013 スタートアップ 参考 スタートアップ画面が表示されない場合 Microsoft Outlook 2013 の起動画面から [ ファイル ] タブを選択し [ 情報 ] をクリックします アカウント情報から [ アカウントの追加 ]

1 自動ライセンス認証を実施する場合 ホスト OS が Windows Server 2016 Datacenter Edition でライセンス認証済みであり ゲスト OS が Windows Server 2016 Standard Datacenter または Essentials Editi

Silk Central Connect 15.5 リリースノート

パソコンバンクWeb21 操作マニュアル[導入・事前設定編]

Microsoft PowerPoint - PCIDSS説明 版.pptx

Fujitsu Standard Tool

目次 第一章インストールと製品登録 1.1 インストール & ライセンス認証 3 第二章製品活用 - Leawo itransfer 3.1 コンピュータのファイルを iphone に転送 iphone のファイルをコンピュータにバックアップ ファイルを itunes から

MIND-Wireless-Win8.1_eduroam

まだ間に合う!PCI DSS準拠のための具体策セミナー_基調講演_fjコンサルティング

WeChat 認証ベースのインターネット アクセス

メールデータ移行手順

ユーザーズガイド Brother Meter Read Tool JPN Version 0

はじめに インターネット上で行われる非対面取引において クレジットカードによる決済は利便性が高いと言われる反面 不正使用の懸念もあげられます カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり 3Dセキュア もそのひとつです クレジット取引セキュリティ対策協議会が策定する

資金移動|AnserBizSOL利用者向けマニュアル

設定画面から ネットワーク設定 をタップします 管理者パスワード をタップします 管理者パスワードを入力して管理者としてログインします 管理者パスワードを入力して管理者としてログインします IPv4 設定 の IPv4 アドレス の値を確認します ネットワーク設定 をタップします もしくは ホーム画

Mobile Access IPSec VPN設定ガイド

Transcription:

各 SAQ (v3.2 版 ) を適用すべきカード情報取扱い形態の説明 2017.7.1/ JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください それでも判断に迷う場合は アクワイアラーや QSA コンサルタントに相談してください SAQ A カード会員データの取り扱いは すべて認証済みのサードパーティーに外部委託しており 店内にはカード会員データの 紙の計算書または領収書だけを保管している 加盟店に適用される要件を示すために作成されました SAQ A の加盟店は 電子商取引 / 通信販売 ( カードを提示しない ) 加盟店で カード会員データをシステムまたは店内に 電子形式で保管 処理 伝送することはありません SAQ A の加盟店は この支払チャネルに関して以下を確認します あなたの会社は カードを提示しない ( 電子商取引または通信販売による注文 ) 取引のみを扱っています カード会員データのすべての処理を PCI DSS 認定の第三者サービスプロバイダーに 全面的に外部委託しています あなたの会社は システムまたは敷地内で カード会員データを電子的に保管 処理 伝送することなく これらの機能を第三者に全面的に委託しています あなたの会社は 第三者サービスプロバイダーのカード会員データの保管 処理 伝送処理が PCI DSS に準拠するものであることを確認しました また あなたの会社にあるカード会員データの全ては 紙 ( 例えば計算書または領収書 ) でのみ保管され これらの書類を電子的に受信することはありません さらに 電子商取引チャネルでは 消費者のブラウザに配信される 支払ページの全ての要素は PCI DSS 認定の第三者サービスプロバイダーからのみ 直接送信します この SAQ は 対面式の加盟店には適用されません SAQ A-EP カード会員データを受け取らないが 支払取引の安全性および消費者のカード会員データを承認するページの 完全性に影響を及ぼすような Web サイトを持つ 電子商取引加盟店に適用される要件を対象とするために 開発されました SAQ A-EP 加盟店は 電子商取引の支払チャネルを PCI DSS 認定の第三者に部分的に外部委託している電子商取引加盟店で システムや店内ではカード会員データを電子的に保存 処理 伝送することはありません SAQ A-EP の加盟店は この支払チャネルに関して以下を確認します : あなたの会社は 電子商取引のみを扱っています 支払ページを除くカード会員データのすべての処理を PCI DSS 認定の第三者支払プロセッサーに全面的に外部委託しています

あなたの会社の電子商取引 Web サイトは カード会員データを受信しませんが 消費者または消費者のカード会員データが PCI DSS 認定の第三者支払プロセッサーに リダイレクトされる方法を制御します 加盟店の Web サイトが 第三者プロバイダーによってホストされている場合 そのプロバイダーが該当するすべての PCI DSS 要件を満たすことが 検証されます ( プロバイダーが共有ホスティングプロバイダーの場合は PCI DSS の付録 A を含む ) 消費者のブラウザに表示される支払ページのそれぞれの要素は 加盟店の Web サイトまたは PCI DSS 準拠のサービスプロバイダーからのものとします あなたの会社は システムまたは敷地内で カード会員データを電子的に保管 処理 伝送することなく これらの機能を第三者に全面的に委託しています あなたの会社は 第三者サービスプロバイダーのカード会員データの保管 処理 伝送処理が PCI DSS に準拠するものであることを確認しました また あなたの会社にあるカード会員データの全ては紙 ( 例えば計算書または領収書 ) のみを保管し これらの書類を電子的に受信することはありません この SAQ は電子商取引チャネルにのみ適用されます SAQ B インプリンターまたはスタンドアロン型ダイヤルアップ端末のみによって カード会員データを処理する加盟店に適用される要件を示すために 作成されたものです SAQ B の加盟店は 従来型 ( カードを提示する ) 加盟店 または通信販売 ( カードを提示しない ) 加盟店のいずれかで カード会員データをコンピューターシステムに保存しません SAQ B の加盟店は この支払チャネルに関して以下を確認します あなたの会社は インプリンターのみを使用するか スタンドアロン型ダイヤルアップ端末 ( 電話回線によって処理装置に接続 ) のみを使用して ( あるいはその両方 ) 顧客のペイメントカード情報を取り込みます スタンドアロン型ダイヤルアップ端末は 環境内のその他のシステムに接続されていません スタンドアロン型ダイヤルアップ端末は インターネットに接続されていません あなたの会社は カード会員データをネットワーク ( 内部ネットワークまたはインターネット ) を経由して伝送しません あなたの会社にあるカード会員データの全ては 紙 ( 例えば計算書または領収書 ) のみを保管し これらの書類を電子的に受信することはありません これらの書類を電子的に受信することはありません また あなたの会社は カード会員データを電子形式で保存しません この SAQ は 電子商取引チャネルには適用されません SAQ B-IP ペイメントプロセッサーに IP 接続される スタンドアロン型 PTS 認定の加盟店端末装置のみによって カード会員データを処理する加盟店に適用される要件を示すために 作成されました セキュア 2

カードリーダー (SCR) として分類される POI 装置に対して例外が適用します すなわち SCR を使う加盟店はこの SAQ の対象外です SAQ B-IP の加盟店は 従来型 ( カードを提示する ) 加盟店 または通信販売 ( カードを提示しない ) 加盟店のいずれかで カード会員データをコンピューターシステムに保存しません SAQ B-IP の加盟店は この支払チャネルに関して以下を確認します あなたの会社は 顧客のペイメントカード情報を取り込むために ペイメントプロセッサーに IP 経由で接続されている スタンドアロン型 PTS 承認の加盟店端末装置 (POI) (SCR を除く ) のみを 使用しています スタンドアロン型 IP 接続 POI 装置は PCI SSC Web サイトに一覧表示されている通り PTS POI プログラムに対して検証されます (SCR を除く ) スタンドアロン型 IP 接続 POI 装置は 環境内の他のシステムには接続されていません ( これは POI 装置を他のすべてのシステムから分離する ネットワークセグメンテーションによって実現できます ) カード会員データの唯一の伝送は PTS 認定 POI 装置からペイメントプロセッサーへのものです POI 装置は他の装置 ( コンピューター 携帯電話 タブレット等 ) を介すことなく ペイメントプロセッサーに接続されます あなたの会社にあるカード会員データの全ては 紙 ( 例えば計算書または領収書 ) でのみ保管され これらの書類を電子的に受信することはありません また あなたの会社は カード会員データを電子形式で保存しません この SAQ は 電子商取引チャネルには適用されません SAQ C ペイメントアプリケーションシステム (POS システムなど ) がインターネットに接続されている (DSL ケーブルモデムなどを経由している ) 加盟店に適用される要件を示すために 作成されました SAQ C の加盟店は POS( 販売時点情報管理 ) システム またはインターネットに接続されている その他のペイメントアプリケーションシステム経由で カード会員データを処理しますが カード会員データをコンピューターシステムに保存しません 従来型 ( カードを提示する ) 加盟店 または通信販売 ( カードを提示しない ) 加盟店のいずれかとなります SAQ C の加盟店は この支払チャネルに関して以下を確認します あなたの会社は ペイメントアプリケーションシステムとインターネット接続が 同じデバイス上または同じローカルエリアネットワーク (LAN) 上 ( あるいはその両方 ) にあります ペイメントアプリケーションシステム / インターネットデバイスは 環境内の他のシステムには接続されていません ( これは ペイメントアプリケーションシステム / インターネットデバイスを他のすべてのシステムから分離する ネットワークセグメンテーションによって実現できます ) POS 環境の物理的場所は 他の敷地や場所に接続されておらず LAN は単一場所用です あなたの会社にあるカード会員データの全ては紙 ( 例えば計算書または領収書 ) のみを保管し これらの書類を電子的に受信することはありません また あなたの会社は カード会員データを電子形式で保存しません 3

この SAQ は電子商取引チャネルには適用されません SAQ C-VT インターネットに接続されたパーソナルコンピューター上にある 隔離された仮想端末のみによって カード会員データを処理する加盟店に適用される要件を示すために 作成されました 仮想端末は ペイメントカードトランザクションを承認するアクワイアラー プロセッサー または第三者サービスプロバイダーの Web サイトへの Web ブラウザベースのアクセスです 加盟店は安全に接続された Web ブラウザを使用して ペイメントカードデータを手動で入力します 物理的端末の場合と異なり 仮想端末はデータをペイメントカードから直接には読み取りません ペイメントカードトランザクションを手動で入力するため 一般に仮想端末は 取引量の少ない加盟店環境で 物理的端末の代わりに使用されます SAQ C-VT 加盟店は 仮想端末のみによってカード会員データを処理し カード会員データをコンピューターシステムに保存しません これらの仮想端末は 仮想端末の支払い処理機能をホストする 第三者にアクセスするインターネットに接続されています この第三者は 加盟店の仮想端末ペイメント取引を承認および / または決済するため カード会員データを保存 処理 および / または伝送するプロセッサー アクワイアラー またはその他の第三者サービスプロバイダーがありえます この SAQ オプションはキーボードを介して 一度に 1 つのトランザクションを インターネットベースの仮想端末ソリューションに手動で入力する加盟店にのみ 適用されることを目的としています SAQ C-VT の加盟店は 従来型 ( カードを提示する ) 加盟店 または通信販売 ( カードを提示しない ) 加盟店のいずれかです SAQ C-VT の加盟店は この支払チャネルに関して以下を確認します あなたの会社の唯一の支払い処理は インターネットに接続された Web ブラウザによってアクセスされる 仮想端末によって行われます あなたの会社の仮想端末ペイメントソリューションは PCI DSS を検証済みの第三者サービスプロバイダーによって提供され ホストされます あなたの会社は 一箇所に隔離され 環境内の他の場所またはシステムに接続されていないコンピューターを介して PCI DSS に準拠する仮想端末ソリューションにアクセスします ( これはコンピューターを他のシステムから隔離するために ファイアウォールまたはネットワークセグメンテーションによって実現されます ) あなたの会社のコンピューターには カード会員データを保存するソフトウェア ( バッチ処理またはストアアンドフォワード用のソフトウェアなど ) がインストールされていません あなたの会社には カード会員データをキャプチャーまたは保存するためのハードウェアデバイス ( カードリーダーなど ) は取り付けられていません あなたの会社は カード会員データを 何らかのチャネル ( 内部ネットワークまたはインターネットなど ) を介して 電子的に受信または伝送しません あなたの会社にあるカード会員データの全ては 紙 ( 例えば計算書または領収書 ) でのみ保管され これらの書類を電子的に受信することはありません また あなたの会社は カード会員データを電子形式で保存しません 4

この SAQ は 電子商取引チャネルには適用されません SAQ P2PE 検証され PCI に登録された P2PE( ポイントツーポイント暗号化 ) ソリューションに含まれる ハードウェア支払端末のみを介して カード会員データを処理する加盟店へ適用される要件に対応するために 作成されました SAQ P2PE 加盟店は どのコンピューターシステムの平文のカード会員データへもアクセスできず ハードウェア支払端末を介して PCI SSC 認定の P2PE ソリューションから アカウントデータを入力することだけができます SAQ P2PE の加盟店は 従来型 ( カードを提示する ) 加盟店 または通信販売 ( カードを提示しない ) 加盟店のいずれかです 例えば 通信販売加盟店が紙面か電話で受け取ったカード会員データを 検証済み P2PE ハードウェア装置のみに直接入力する場合は SAQ P2PE の対象となるでしょう SAQ P2PE の加盟店は この支払チャネルに関して以下を確認します 全ての支払プロセスは PCI SSC によって承認され登録された 検証済み PCI P2PE ソリューションを介して行われます アカウントデータの保存 処理 または伝送をする加盟店の環境内にある唯一のシステムは 検証済みで PCI のリストに掲載されている P2PE ソリューションと共に使用することを承認された 加盟店端末装置 (POI) デバイスです それ以外の方法で カード会員データを電子的に送受信は行いません 既存の環境に 電子的なカード会員データは保存していません 加盟店がカード会員データを保存する場合 保存するのは紙の計算書または領収書のコピーのみであり 電子的に受領したものではありません また あなたの会社は P2PE ソリューションプロバイダー提供の P2PE 説明書 (PIM) に記載されている すべてのコントロールを実装しています この SAQ は 電子商取引チャネルには適用されません SAQ D Marchant 加盟店用 SAQ D は 他の SAQ タイプの基準を満たさない SAQ 対象加盟店に適用されます SAQ D を使用する加盟店環境の例には 次のようなものがありますが これらに限定されません カード会員データを 自社の Web サイトで承認する電子商取引加盟店 カード会員データを 電子形式で保存する加盟店 カード会員データを 電子形式で保存しないが 他の SAQ タイプの基準を満たさない加盟店 他の SAQ タイプの基準を満たす環境にあるが 自社の環境に他の PCI DSS 要件が適用されるような加盟店 SAQ D を完成させる会社の多くは 各 PCI DSS 要件への準拠を検証する必要がありますが 特定のビジネスモデルの会社には適用されない要件もあります 特定の要件の除外については この SAQ のガイダンスを参照してください 5

サービスプロバイダー用 SAQ D ServiceProvider ペイメントブランドにより SAQ 対象として定義された すべてのサービスプロバイダーに適用されます SAQ D を行う会社の多くは 各 PCI DSS 要件への準拠を検証する必要がありますが 特定のビジネスモデルの会社には適用されない要件もあります たとえば ワイヤレス技術をまったく使用しない会社は ワイヤレス技術の管理に特化した PCI DSS セクションへの準拠を検証する必要がありません 同様に カード会員データをいつも電子形式で保存しない会社はカード会員データの安全な保管に関連する要件を検証する必要はありません ( 要件 3.4 など ) 以上 6

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック