JCBデータセキュリティ
プログラム
JCBは、イシュアおよびアクワイアラに対し、イシュア、アクワイアラ、カード情報を取り扱うイシュア・アクワイアラの業務委託先、加盟店および加盟店決済代行会社が、JCBデータセキュリティプログラムに基づいてPCI DSSの対応をされることを求めています。
3種類の診断方法
PCI DSSでは3種類の診断方法が定義されています。
自己診断
「自己評価問診票」の設問に自ら回答することで、PCI DSSを満たしているかどうか確認することができます。「自己評価問診票」は、PCI SSCホームページよりダウンロードできます。
「自己評価問診票(PCI DSS Payment Card Industry Self-Assessment Questionnaire)」のダウンロードはこちら
脆弱性スキャンテスト
PCI SSCが認定した「セキュリティ評価機関(ASV)」がネットワーク機器、ホストコンピュータ、アプリケーションに対し既知の脆弱点をテストするトラフィックを発生させ、
外部からの攻撃に対する安全対策レベルを評価する診断です。スキャンテスト終了後、診断結果と問題点についてのアドバイスが「セキュリティ評価機関(ASV)」より通知されます。
「セキュリティ評価機関(ASV)」が実施するスキャンテストの手順書、および「セキュリティ評価機関(ASV)」一覧については、PCI SSCホームページよりダウンロードできます。
テスト費用、実施期間などの詳細につきましては、「セキュリティ評価機関(ASV)」にお問い合わせください。
「脆弱性スキャンテスト手順書(PCI DSS Security Scanning Procedures)」のダウンロードはこちら
訪問調査
PCI SSCが認定した「セキュリティ評価機関(QSA)」が、PCI DSSに基づいた、インタビュー・文書調査・システム設定確認等の実施調査を行い、調査報告書を作成のうえ、報告会にて調査結果を説明します。
「セキュリティ評価機関(QSA)」が実施する訪問調査の手順書、および「セキュリティ評価機関(QSA)」一覧については、PCI SSCのホームページからダウンロードできます。
- ※
調査費用、実施期間などの詳細につきましては、「セキュリティ評価機関(QSA)」にお問い合わせください。
JCBデータセキュリティプログラム要件
JCBは、カード情報を取り扱いされる各事業者様に対し、下表のとおりPCI DSS準拠されることを求めています。 なお、下表内対象の所在国において法令、当局・業界団体の定めるPCI DSS準拠に関する基準がある場合は、当JCBデータセキュリティプログラムに優先するものとします。
現在(2018年4月1日以降)
| 対象 | PCI DSS準拠要否 | 取引数 | 準拠証明方法 | |||
|---|---|---|---|---|---|---|
| 自己診断 | 脆弱性スキャンテスト | 訪問調査 | ||||
| 加盟店 | 非対面取引 | 必須 (2018年4月1日より) |
年間100万件以上 | — | 四半期に1度 | 年に1度 |
| 年間100万件未満 | 年に1度 | 四半期に1度 | — | |||
| 包括代理加盟店 (件数に関わらず) |
— | 四半期に1度 | 年に1度 | |||
| 対面取引 | 必須 (2020年4月1日より) |
年間100万件以上 | — | 四半期に1度 | 年に1度 | |
| 年間100万件未満 | 年に1度 | 四半期に1度 | — | |||
| 業務委託先 | イシュア向け(BSP) アクワイアラ向け 加盟店向け |
必須 (2018年4月1日より) |
年間100万件以上 | — | 四半期に1度 | 年に1度 |
| 年間100万件未満 | 年に1度 | 四半期に1度 | — | |||
| イシュア | 必須 (2018年4月1日より) |
件数に関わらず | — | — | — | |
| アクワイアラ | 必須 (2018年4月1日より) |
件数に関わらず | — | — | — | |