経済産業省および日本クレジット協会が2016年2月23日に公表した「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」では、2018年3月末までにデータセキュリティ基準の「PCI DSS(Payment Card Industry Data Security Standard)」準拠もしくはカード情報非保持化(非通過型)への対応を求めています。
PCI DSSは、国際的なクレジットカード発行元5社(American Express、Discover、JCB、MasterCard、VISA)が共同で策定した、クレジットカード業界における国際セキュリティ基準でしたが、(社)日本クレジット協会が日本における実行計画に定めた現在では、改正割販法が求めるセキュリティ基準に位置づけられました。PCI DSSに準拠することは、クレジットカード情報取扱い企業にとって、コンプライアンス上必須です。
弊社が提供する脆弱性検査サービスは、PCI DSSが定める12の要件に基づいて約400の要求事項のうちWebに関せる脆弱性を重点的に調査するものです。カード情報を保持するECサイトとしてカード情報を非保持で運用していても、PCI DSSにより顧客情報流出が発生しないか最低限行う必要があります。顧客のid/passwordが流出することで、他サイトにてブルートフォース攻撃に利用される可能性が高いためです。
顧客情報や重要な情報が掲載されているサイト、多くのひとが集まるサイトは様々な脅威に晒されています。電子メールアドレス、パスワード、氏名と住所が保管されている場合は、仮にデータベースが暗号化されていても情報流出の際には社会的な責任を問われることになります。仮に暗号化されていなかったり、暗号が解読された場合には、顧客のid/passwordが流出することで、他サイトにてブルートフォース攻撃に利用された場合、損害賠償請求がなされる可能性が濃厚です。
セキュリティに詳しい人が構築したサイトであれば、初期状態で安全な状態である確率は高いのですが、そうした専門家でも見逃してしまうほど、毎日脆弱性情報が発表されています。このため、ウェブアプリケーションにおける重要な脆弱性やその脆弱性を作りこまないようにする方法を OWASP Top 10 としてリリースされました。
弊社では、重要な情報が掲載されたり、多くのひとがアクセスしてくるサイトをリリースする前に求められる OWASP Top 10 への対応確認を行う、脆弱性検査を行っています。
レポートはPDFにて提供致します。英語ですが対処方法などはGoogle翻訳にてご理解頂けます。対処方法が必要な場合は別途お見積りの上ご案内させていただけます。
レポートサンプルを見る診断結果において脅威が発見されなくなったものに対して、以下の検査済マークを発行致します。
PCI DSS/ OWASP Top 10の何れか 49,800円 / IP (※)
※平日ビジネス時間帯に検査、 1 IPアドレス毎
PCI DSSへ完全に準拠していただくためには別途、社内脆弱性検査と内部監理体制をPCI DSSに準拠して頂く必要がございます。
ご自身の手で脆弱性検査を行って頂くために、脆弱性検査ツールも販売しております。検査を行うためにはネットワークやセキュリティについての基礎知識が必要となります。(使い放題 年額 64,000円~)
脆弱性検査ツールの詳細はこちら詳しくはお気軽にお問い合わせください。