• 協議会について
  • 日本カード情報セキュリティ協議会
  • 概要・ごあいさつ
  • 登録企業一覧
  • 会則
  • 入会案内
  • 部会の活動
  • PCI DSS
  • グローバルセキュリティ基準PCI DSSとは
  • 概要
  • 認定取得のメリット
  • 認定取得について
  • 認定審査機関について
  • 導入が必要な企業
  • 企業一覧
  • PCI DSS準拠への参考資料集
  • 非保持化への参考資料
  • 非保持・PCI DSS対応の加盟店事例紹介
  • 会員専用
  • サイトスポンサー
  • お問合せ
  • pcidss

よくあるご質問

※入力されたワードと一致するワードがあった場合、そのワードが含まれた質問と答えが絞り込まれ表示されます。2ワード以上入力する際は、間に半角スペースを入れてください。

6. EMV(工事中)
7. PA-DSS(工事中)

1. コンプライアンス全般
日本国内のPCI DSS準拠済み企業のリストはどこかに公表されていますか。(J-101)
PCI DSS準拠の認定統一マークはありますか。(J-102)
PCI DSS準拠は日本では義務ですか、準拠しない場合にペナルティを課されることはありますか。(J-103)
カード情報の漏えい事故を起こした加盟店で、PCI DSSに準拠しなければ、カード加盟店として取引できなくなった事例はありますか。(J-104)
電話で注文を受ける通販では、カード番号やセキュリティコードも電話で聞き取っており、録音も取っています。PCI DSSではこうした音声データの取扱いをどのように規定していますか?(J-107)
当社はISMSの認証を取得していますが、なぜPCI DSSの必要があるのですか?(J-109)
PCI DSSとは、なんでしょうか。(J-110)
PCI DSS準拠とは、どういうことですか。(J-111)
一つの会社で加盟店でもあり、イシュアーでもある場合、PCI DSSの取得方法は訪問審査なのか?自己問診なのか?の判断をする場合に何かルールは有りますか?(J-112)
社員の経費精算を処理するため、社員それぞれに法人クレジットカードを配付し、カード番号などの一覧を保有しています。PCI DSS準拠しなければいけませんか?(J-113)
2. QSA審査
QSAの訪問審査に合格するには、コンサル会社のサポートがないと、むずかしいですか?(J-201)
QSAの審査費用は、Pマークのように定価料金はあるのでしょうか。QSAによって、安いところもあるのですか?(J-202)
QSAの審査は、レベル1とレベル2ではレポートの複雑さが異なるということで、審査料金もレベル2のほうが安くなりますか。(J-203)
ISA(社内の審査資格者)が審査して合格なら、外部のQSAの審査を頼まなくても、PCI DSS準拠と認められますか?(J-205)
QSAにコンサル的に指導してもらいながら、審査もしていただくことは可能ですか?(J-207)
ISMSのように、当社が審査いただきたい範囲を限定して、PCI DSS認証を得ることはできますか?(J-208)
当社はチェーンストアで、全国に多数の店舗があります。QSAの審査は東京の本社だけでなく、全国の店舗すべてに実施する必要がありますか?(J-209)
3. SAQ
SAQを加盟店契約しているカード会社(アクワイアラー)へ提出した場合、カード会社はその内容を審査しますか? カード会社からは「受理した」という書類は発行されますか?(J-301)
加盟店はカード会社へSAQの提出をしたら、これで「当社はPCI DSSに準拠」と対外的に公言してかまいませんか?(J-302)
SAQに記入する社内担当者は、何かセキュリティ関連の資格者である必要はありますか。また、署名する役員は、取締役であれば社長でなくてもいいのでしょうか?(J-303)
カード会社は、どのタイプのSAQを使用すればよいですか。(J-305)
PCI DSSの新しいバージョンが発行されても、SAQの日本語版がまだ発行されていない場合は、日本語版のある直近のSAQで提出すれば、認められますか?(J-307)
4. ASV・各種検査
各種スキャン検査のうち、外部ネットワーク検査はASVという認定制度がありますが、その他の検査については、検査会社の品質をどうやって比較評価すればよいですか。(J-401)
レベル3でQSAの訪問審査が義務や推奨でない企業は、四半期ごとのASVスキャン検査をしていれば、「PCI DSS準拠」と宣言してよいですか?(J-402)
5. カード情報非保持
当社では、クレジットカードでの決済はレジとは別の単独の端末で行っていて、カード情報は当社のシステムとは無関係です。ただし紙の売上げ伝票にはカード番号が一部マスキングされて、各店舗で保管しています。PCI DSS準拠は要求されますか。(J-503)
8. PCI DSS詳細
PCI DSSのカード会員データとは何ですか?(J-801)
機密認証データとは何ですか?(J-802)
PCI DSSの適用範囲を教えてください。(J-803)
PANは国際ブランドの付与されたクレジットカードのみが対象ですか?(J-804)
PANが無い場合で、カード会員名、サービスコード、有効期限が複数、または単体で存在する場合は、カード会員データとしてPCI DSS要件に従って保護される必要がありますか?(J-805)
PANが無い場合で機密認証データ(全トラックデータ、CAV2/CVC2/CVV2/CID、PINまたはPINブロック)が存在する場合、カード会員データとしてPCI DSS要件に従って保護される必要がありますか?(J-806)
加盟店が、受注システムをレンタルサーバーに置いている場合、レンタルサーバー業者もPCI DSSを遵守する必要がありますか?(J-808)
トークンの定義を教えてください。(J-810)
暗号化とトークン化の情報保護と複合の仕組みの違いを教えてください。(J-811)
カード決済とは関係なく加盟店側の顧客DBの中に、「カード会員名」と同一のデータが保存されている場合、PCIDSSの保護の対象となりますか?(J-812)
パスワードの定期変更は必要なのですか?(J-813)
プライマリーアカウント番号をトランケーションに使用できる形式には、どのようなものがありますか?(J-814)
結果が見つかりませんでした。
  
  1. 外部のサイトへリンクします。
  • PマークとPCI DSS
  • ISMSとPCIDSS
  • 参考資料
  • 関連リンク