AISは、機密として扱われるべきカード情報や取引情報をVisaの決済システムにおいて保護するために設計されたリスク管理プログラムです。カード発行会社（イシュア）、クレジットカードの加盟店獲得と管理業務を行う加盟店契約会社（アクワイアラ）、加盟店、カード会員など、決済に関わるすべての当事者の利益を、対面取引と非対面取引の両方で守ります。 
2004年に、Visaおよびその他の大手クレジット会社の協力により、業界共通のセキュリティ要件を設定する目的で、AIS要件は「ペイメントカード業界データセキュリティ基準（Payment Card Industry Data Security Standards、以下「PCI DSS」）として知られる、業界共通基準へと組み込まれることとなりました。
 
2006年9月からは、ペイメントカード業界セキュリティ基準協議会（Payment Card Industry Security Council、以下「PCI SSC」といいます）がPCI DSS と関連書類を所有、整備、配布することとなりましたが、PCI SSCの方針に沿ったデータセキュリティ基準の遵守を徹底し、バリデーションの重要な方策とするための管理プログラムとして、Visaは現在でもこのAISプログラムを利用しています。
 

AISプログラムの適用対象は？

加盟店やプロセッサ、決済を代行するサービスプロバイダなど、Visaの決済システムを利用してVisaのカード情報や取引情報を保管、処理、送信している全ての企業に、AISプログラムへの参加が義務付けられています。

AISプログラムの利点とは？

PCI DSSを導入し遵守することは、顧客情報をセキュリティ侵害や詐欺の危険から効果的に保護するための重要な第一歩と言えます。 
適切な情報の安全対策は、貴社のお客様を守るだけでなく、ビジネスリスクを減らし、カード会員情報の流出による損失や処理コストを最小限に抑えます。
 
AISプログラムの利点としては、下記のようなものが挙げられます。
・貴社ブランドの品位を向上させ、消費者の信頼度を高めます。 
・消費者の信頼が高まることで、売上や取引が増加します。
・セキュリティ侵害や、それに伴う調査や訴訟などにかかる不要な費用の発生を防ぎます。   
・情報漏洩や詐欺に伴う、ネガティブな報道の対象となるリスクを削減します。   
・安全対策や予防措置についての理解が深まります。
・不正取引に伴うカード会員とのトラブルや、それに付随する費用が削減されます。

「ペイメントカード業界データセキュリティ基準（PCI DSS）」の内容とは？

加盟店やプロセッサ、決済を代行するサービスプロバイダなど、Visaの決済システムを利用してVisaのカード会員データを保管、処理、送信している全ての企業には、ペイメントカード業界データセキュリティ基準（PCI DSS）の遵守が義務付けられており、小売販売（オンライン店舗+実店舗による販売）、通信販売、eコマースなどを含む、全ての決済チャネルに適用されます。 
PCI DSSは、Visaのカード会員情報や取引情報を保護するための12の要件から成っています。 
 
■安全なネットワークの構築・維持
1.　カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること
2.　システムまたはソフトウェアの出荷時の初期設定値（セキュリティに関する設定値）をそのまま利用しないこと
 
■カード会員データの保護
3.　保存されたカード会員データを安全に保護すること
4.　公衆ネットワーク上でカード会員データを送信する場合、暗号化すること


■脆弱性を管理するプログラムの整備
5.　アンチウィルス・ソフトウェアを利用し、定期的に更新すること
6.　安全性の高いシステムとアプリケーションを開発し、保守すること


■強固なアクセス制御手法の導入
7.　カード会員データへのアクセスを業務上必要最小限度に制限すること
8.　コンピュータにアクセスする利用者毎に識別IDを割り当てること
9.　カード会員データへの物理的アクセスを制限すること


■定期的なネットワークの監視およびテスト
10.　ネットワーク資源および会員データに対するすべてのアクセスを追跡し、監視すること
11.　セキュリティシステムおよび管理手順を定期的にテストすること


■セキュリティ・ポリシーの整備
12.　情報セキュリティに関するポリシーを整備すること
 
PCI DSS は、顧客データの機密性、有効性と整合性を保護する目的で策定されました。本基準は、Visaのカード会員情報の取り扱いや管理を行う上での必須要件となります。
 
PCI DSSの全文（英文）は、こちらからご覧いただけます。
 

PCIセキュリティ基準を満たしているかどうかを確認するには？

Visaでは、貴社がPCI DSSを満たしているかどうかを判定する方法として、以下のバリデーション・ツールの利用を推奨しています。

1. 自己評価問診票（SAQ）
加盟店やサービスプロバイダの皆様へ向けた、PCI DSSへの遵守状況を評価するバリデーション・ツールとして、ペイメントカード業界セキュリティ基準協議会（PCI SSC）は自己評価問診票（SAQ）を提供しています。このPCI DSSの自己問診票は4種類ありますので、貴社のビジネスニーズに合ったものをお選びください。自己評価問診票（英文）はこちらからダウンロードいただけます。

加盟店、サービスプロバイダの皆様には、最低年1回はこの問診票による自己診断を行うことをおすすめします。
 
2. 脆弱性スキャンテスト
脆弱性スキャングテストは、加盟店／サービスプロバイダから提供された外部IPアドレスに基づいて、遠隔操作で貴社のネットワークとウェブアプリケーションの脆弱性を診断するテストのことです。
 
このスキャンテストは、PCI SSC認定のスキャニングベンダー（ASV）によって実施されることが定められています。
認定スキャニングベンダーのリストは、こちらからご覧いただけます。スキャンニングテストは、最低でも四半期毎に行わなくてはなりません。
 
無料スキャンのご案内
Visaでは、アジア太平洋地域のクライアントの皆様に対して、脆弱性スキャンテストとオンライン問診票による自己診断をホームページ(https://www.trustkeeper.net/esp/Login.public)において、限られた数のみ無料で提供しています。
 
無料スキャンを受けるには、担当のVisa加盟店契約会社（アクワイアラ）またはカード発行会社（イシュア）にご連絡ください。

本サービスは限定されたものであり、弊社がサービス料を負担する一定の契約数しかご利用いただけませんのでご注意ください。契約は先着順となっています。

3. 訪問調査
PCIセキュリティデータ基準を満たしているかどうかを判定する最も包括的な方法として、PCI SSC認定セキュリティ監査機関（QSA）が実施する年次の訪問調査があります。認可を受けたQSAのリストは、こちらからご覧いただけます。
 
Visaは、取引件数や決済システムにもたらされる潜在的リスクや起こり得る損害の大きさに基づいて加盟店とサービスプロバイダを分類し、それぞれのレベルにおいて適用される遵守バリデーション要件を策定しました。
 
加盟店様向けのAIS遵守バリデーション要件は、こちらからご覧いただけます。
サービスプロバイダ様向けのAIS遵守バリデーション要件は、こちらからご覧いただけます。