PCI DSS インシデント対応演習サービス(要件12.10対応)

PCI DSS インシデント対応演習サービス
(要件12.10対応)

PCI DSS 要件12.10では、カード情報流出を伴うシステム侵害に直ちに対応するためのインシデント対応計画を準備し、少なくとも年に1度計画をレビューおよびテストすることを求めています。

本サービスでは、弊社がインシデントのシナリオを策定し、お客様のインシデント対応ポリシーや手順に沿ってカード情報が流出した時の具体的な対応を机上で演習し、記録を作成します。机上演習の結果、システムや体制面の課題や実際の対応に必要な費用、損害賠償額をシミュレーションすることが可能です。

作成したインシデント演習記録は、PCI DSS要件12.10.2を満たしていることを確認する証跡として利用できます。また、演習にインシデント発生時に対応する担当者様が参加いただくことで、PCI DSS要件12.10.4で定められたインシデント対応トレーニングの証跡としても利用いただけます。

PCI DSSのインシデント対応計画

要件12.10.1

システム侵害が発生した場合に実施されるインシデント対応計画を作成する。
計画では、最低限、以下に対応する。

  • ペイメントブランドへの通知を最低限含む、侵害が発生した場合の役割、責任、および伝達と連絡に関する戦略
  • 具体的なインシデント対応手順
  • ビジネスの復旧および継続手順
  • データバックアッププロセス
  • 侵害の報告に関する法的要件の分析
  • すべての重要なシステムコンポーネントを対象とした対応

要件12.10.2

少なくとも年に一度、要件12.10.1 にあげられたすべての要素を含め、計画をレビューおよびテストする。

要件12.10.4

セキュリティ侵害への対応を担当するスタッフに適切なトレーニングを提供する。

サービスの流れと提供内容

Phase1

演習シナリオの作成

演習シナリオの作成イメージ

貴社のシステムについてヒアリングした上で、最新の攻撃手段などの事例を取り入れた、貴社業種・業態に応じたインシデント演習シナリオを策定いたします。

想定シナリオの例

  • 加盟店または決済代行事業者のシステムが侵害されて、カード情報が流出
  • ECカート事業者が提供するソフトウェアの脆弱性を突かれて、カード情報が流出
  • 自社サイトのシステムがパスワードリスト攻撃を受けてサイトを改ざんされカード情報が流出
  • POSシステムが侵害されて対面取引のカード情報が流出 等

Phase2

机上演習の実施

机上演習の実施イメージ

お客様のインシデント対応ポリシーや手順を使用し、シナリオに沿った机上演習(2〜4時間程度)を実施します。
インシデント対応の責任者の方、実際に対応をされるシステム担当者および顧客対応担当者の方がご参加下さい。
演習シナリオに沿って、現在の運用手順やシステムの状況(ロギングやシステム設定)の課題を抽出していきます。

Phase3

インシデント演習記録の作成

インシデント演習記録の作成イメージ

持ち帰りにて当日のインシデント演習記録を作成し、提出します。
PCI DSS審査時に、要件12.10.2の証跡としてご使用いただけます。
また、インシデント発生時に対応されるご担当者に参加いただいた
場合は要件12.10.4の証跡としてもご使用いただけます。

提供形態

  • Web会議形式もしくは対面による机上演習(2-4時間程度)
  • 終了後にインシデント演習記録を提出いたします。

価格

300,000円(税別)~