PCI国際協議会によって認定された審査機関(QSA=Qualified Security Assessor)による訪問審査を受けて、認証を得る。QSAの一覧は、PCI国際協議会のサイトに掲示されています。
カード発行会社をはじめ、情報の取扱い規模の大きな事業者に、要請されている方法です。
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved
Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。ASVの一覧は、PCI国際協議会のサイトに掲示されています。
カード情報の取扱いが中規模、およびインターネットに接続している事業者には必須の方法です。
PCIDSSの要求事項に基づいた、アンケート形式によるチェック項目に回答して、すべて「Yes」であれば、準拠していると認められます。カード情報取扱い件数の比較的少ない、一般加盟店などの事業者向けの方法です。
当初のVer1.0は、セキュリティに関するITの専門用語が並んでいて、一般の商店経営者の方がこの設問を理解するのは、かなりたいへんな内容でした。そこで2008年2月に改訂されたVer1.1では、一般加盟店やサービスプロバイダーなどの形態別に分けて制作され、PCIDSSを理解いただけるよう、工夫されています。
日本語版は2008年10月からVISA-Japanのサイトに掲載されています。
「QSAs」英文中の「here」をクリックすると、認定審査機関(QSA)の一覧PDFファイルが表示されます。
また、「ASVs」の「here」からも同様に、認定スキャンベンダー(ASV)とスキャンツールの一覧PDFファイルが表示されます。
https://www.pcisecuritystandards.org/qsa_asv/find_one.shtml
イシュアー、アクワイアラー、サービス・プロバイダー、加盟店
業界例
金融業:クレジットカード会社、クレジットカード発行金融機関
流通業: 大手百貨店、スーパー、量販店、鉄道、航空会社
通信/メディア/公共:携帯電話会社、通信会社、ユーティリティ、新聞
製造業:石油業界 他