導入前の課題
クレジットカード情報を扱う決済代行事業者として数年前に PCI DSS に準拠した。日常のセキュリティ運用は遠隔地にあるシステム運用子会社がリモートで行っている。年 1 回の PCI DSS の実地審査のために担当の技術者が複数名出張する必要があり、しかも 1 週間程度の審査期間中は全日拘束となるため他の業務がストップすることが大きな負担となっていた。
導入の目的・解決手段
実地審査のための拘束時間を減らし業務を止めないことを目的に、情報セキュリティコンサルティングサービスの PCI DSS コンサルティングパッケージ 「PCI DSS 審査支援サービス(オンクラウドレビュー®)」を導入した。専用のクラウドサービス上でコンサルタントがレビューした日々の運用やシステムを含めた審査証跡を、実地審査前に認定セキュリティ評価機関(QSA)が確認することで、実地審査の所要時間が短縮されることを期待した。
導入効果
運用証跡や文書について、事前に QSA とオンラインで質疑を行うことで、従来の審査でチェックしきれなかったことも丁寧に確認ができるようになり、審査の精度が向上した。きめ細かい審査が受けられるようになったにもかかわらず、実地審査の時間は合計 6 時間と従来に比べると 2 割以下に短縮され、審査のコストも大幅に削減できた。
この事例に関連のある他の事例
EC システム提供会社
リビエラグループ
X 社
すべての事例を参照
