Visa International Tokyo | アカウント情報セキュリティの仕組み

アカウント情報セキュリティの仕組み



	AISホーム \| AISとは \| AISの利点 \| AISの仕組み \| バリデーション手続き \| ダウンロードおよび参考資料 \| 情報漏洩が発生したら





	AISプログラムにおいて必要なこととは？
	PCI基準を満たしているかどうかをチェックするには？
	すべてのバリデーションを受けなければならないのですか？
	バリデーションはどのくらいの頻度で実施する必要がありますか？
	PCI基準の遵守のバリデーションは、どのような形で認知されるのですか？
	AISプログラムに参加しないとどうなりますか？

AISプログラムにおいて必要なこととは？
AISプログラムへの参加は、VISAカード情報を扱っている全ての会社の義務です。貴社と加盟店契約を結んでいるVISAカード発行会社が、貴社の確実なVisa PCI基準の順守に責任を持ち、AISのバリデーション手続をご案内するように定められています。

PCI基準を満たしているかどうかをチェックするには？
貴社がPCI基準を満たしているかどうかを確認するには、以下のバリデーションを受けていただきます（内容はVISAカード決済の月間平均処理件数に
よって異なります）

問診票による自己診断
脆弱性スキャニングテスト
訪問調査

すべてのバリデーションを受けなければならないのですか？
バリデーションをどれだけ受けるかは、月に何件のVisaアカウントを保管、処理あるいは送信したかによって異なります。大量のカード情報や決済情報を処理する企業で情報漏洩が発生した場合、それだけ各関係者が受ける被害も大きくなります。従って、3つのバリデーションを全て受けていただき、入念なチェックを行う必要があります。下の表は、1ヶ月間に扱うVisaアカウントの数に応じて、どのバリデーションを受ける必要があるかを示しています。

Visaアカウントの月間平均取扱件数	受けていただくバリデーション
10,000件未満	1. 問診票による自己診断
10,000件から50,000件	1. 問診票による自己診断 2. 四半期毎の脆弱性スキャニングテスト
50,000件を超える	1. 問診票による自己診断 2. 四半期毎の脆弱性スキャニングテスト 3. 訪問調査

トップに戻る

バリデーションはどのくらいの頻度で実施する必要がありますか？
VISAカード決済を処理される企業はすべて、年1回必ずAISバリデーションを受けていただく必要があります。その際、貴社で既に安全対策の見直しやテストを定期的に実施されていることが前提となります。PCI基準に照らした認定は、このプロセスの一環として実施してください。

データ取扱量の多い加盟店やプロセッサ（>50,000件）に対しては、Visa加盟店契約会社から年1回のバリデーションをお願いしています。

現在、通常業務の一環として定期的な脆弱性スキャニングテストおよびITセキュリティの訪問調査を実施されている場合は、年1回のバリデーションが免除されることもあります。このような場合、加盟店契約を結んでいる金融機関が最善の方策を決めるお手伝いをいたします。

バリデーションに関する詳細はこちら

PCI基準の遵守のバリデーションは、どのような形で認知されるのですか？
貴社がPCI基準を満たしていると判定された場合は、貴社と加盟店契約を結んでいる金融機関がVisaにその旨を通知します。それにより、Visaが作成したAIS関連メッセージを貴社のマーケティング資料に利用できるようになります。

Visaから正式な認定を受けることで、競争力を得るとともに、お客様や他の業界団体、規制機関に安全対策のレベルの高さを示す手段を手に入れることができます。

AISプログラムに参加しないとどうなりますか？
Visaは、すべての加盟店契約会社にペナルテイを科すことによってAISプログラムへの参加を徹底することができるようになっており、またカード情報や取引情報を保護するために具体的な措置を取るよう求める場合もあります。

情報の漏洩が発生し、しかもカード情報を保護するための適切な対策が取られていなかった場合は、貴社が加盟店契約を結んでいる金融機関にも罰金が科せられることがあります。

| | | | | | |