グローバルサイト

JCBデータ
セキュリティー
プログラム

JCBは、イシュアおよびアクワイアラに対し、
イシュア、アクワイアラ、カード情報を取り扱うイシュア・アクワイアラの業務委託先、
加盟店および加盟店決済代行会社が、
JCBデータセキュリティプログラムに基づいて
PCI DSSのご対応をいただくことを求めています。

PCI DSSについて詳しくはこちら

3種類の診断方法

PCI DSSでは3種類の診断方法が定義されています。

自己診断

「自己評価問診票」の設問に自らご回答いただくことで、PCI DSSを満たしているかどうか確認することができます。「自己評価問診票」は、PCI SSCホームページよりダウンロードいただけます。

「自己評価問診票(PCI DSS Payment Card Industry Self-Assessment Questionnaire)」のダウンロードはこちら

脆弱性スキャンテスト

PCI SSCが認定した「セキュリティー評価機関(ASV)」がネットワーク機器、ホストコンピュータ、アプリケーションに対し既知の脆弱点をテストするトラフィックを発生させ、 外部からの攻撃に対する安全対策レベルを評価する診断です。スキャンテスト終了後、診断結果と問題点についてのアドバイスが「セキュリティー評価機関(ASV)」より通知されます。
「セキュリティー評価機関(ASV)」が実施するスキャンテストの手順書、および「セキュリティー評価機関(ASV)」一覧については、PCI SSCホームページよりダウンロードいただけます。
テスト費用、実施期間などの詳細につきましては、「セキュリティー評価機関(ASV)」にお問い合わせください。

「脆弱性スキャンテスト手順書(PCI DSS Security Scanning Procedures)」のダウンロードはこちら

「セキュリティー評価機関(ASV)」一覧のダウンロードはこちら

訪問調査

PCI SSCが認定した「セキュリティー評価機関(QSA)」が、PCI DSSに基づいた、インタビュー・文書調査・システム設定確認等の実施調査を行い、調査報告書を作成のうえ、報告会にて調査結果を説明いたします。
「セキュリティー評価機関(QSA)」が実施する訪問調査の手順書、および「セキュリティー評価機関(QSA)」一覧については、PCI SSCのホームページからダウンロードいただけます。

  • 調査費用、実施期間などの詳細につきましては、「セキュリティー評価機関(QSA)」にお問い合わせください。

「訪問調査手順書(PCI DSS Security Audit Procedures)」のダウンロードはこちら

「セキュリティー評価機関(QSA)」一覧のダウンロードはこちら

JCBデータセキュリティー
プログラム要件

JCBは、カード情報をお取扱いいただいている各事業者様に対し、下表のとおりPCI DSS準拠をいただくことを求めています。
なお、下表内対象の所在国において法令、当局・業界団体の定めるPCI DSS準拠に関する基準がある場合は、当JCBデータセキュリティプログラムに優先するものとする。

現在(2018年3月31日(土)まで)

対象 PCI DSS準拠要否 取引数 準拠証明方法
自己診断 脆弱性スキャンテスト 訪問調査
インターネットを
介したJCBカード情報の
取扱がある場合
加盟店 推奨 年間100万件以上 四半期に1度 年に1度
年間100万件未満 年に1度 四半期に1度
加盟店向け決済代行会社 推奨 件数に関わらず 四半期に1度 年に1度
インターネットを
介したJCBカード情報の
取扱がない場合
加盟店 推奨 年間100万件以上 年に1度
年間100万件未満 年に1度
加盟店向け決済代行会社 推奨 件数に関わらず 年に1度
BSP 必須 件数に関わらず

変更後(2018年4月1日(日)以降)

対象 PCI DSS準拠要否 取引数 準拠証明方法
自己診断 脆弱性スキャンテスト 訪問調査
加盟店 非対面取引 必須
(2018年4月1日より)
年間100万件以上 四半期に1度 年に1度
年間100万件未満 年に1度 四半期に1度
包括代理加盟店
(件数に関わらず)
四半期に1度 年に1度
対面取引 必須
(2020年4月1日より)
年間100万件以上 四半期に1度 年に1度
年間100万件未満 年に1度 四半期に1度
業務委託先 イシュア向け(BSP)
アクワイアラ向け
加盟店向け
必須
(2018年4月1日より)
年間100万件以上 四半期に1度 年に1度
年間100万件未満 年に1度 四半期に1度
イシュア 必須
(2018年4月1日より)
件数に関わらず
アクワイアラ 必須
(2018年4月1日より)
件数に関わらず