Ver1.2 - Payment Card Forensics株式会社

Ver1.2
Copyright Payment Card Forensics All rights Reserved.
Ver1.2
会社名
代表
Payment Card Forensics株式会社(略称:PCF)
代表取締役社長 野
周作
事業内容
サービスエリア
ペイメントカード専門のフォレンジック調査
アジア太平洋地域
資本
本社
20百万円 (うち10百万円資本準備金)
東京都港区港南二丁目12番23号
株主
株式会社UBIC 60%
国際マネジメントシステム認証機構 40%
認定
-
米国PCIセキュリティ基準審議会(PCI SSC)より
認定フォレンジック機関(PFIs:PCI Forensic Investigator)
として承認
PCI SSCより認定セキュリティ評価機関(QSAs)として承認
1
Ver1.2
UBIC
- 会社名
- 事業内容
- 実績
(株)UBIC 東京証券取引所マザーズ:2158
情報漏洩や内部不正等の原因調査を行うフォレンジック調査サービス
国際訴訟におけるDiscovery(証拠開示)支援サービス
不正調査支援 約500件、 国際訴訟支援 約150件 ※2010年8月末現在
警察・官公庁及び民間向けトレーニング 累計500名以上
警察等の各種法執行機関へフォレンジックシール販売実績多数
ICMS
- 会社名
- 事業内容
- 認定
- 実績
国際マネジメントシステム認証機構(株)
情報セキュリティに関する審査/監査、第三者認証サービスの提供
PCI SSCより認定セキュリティ評価機関(QSAs)として承認
財団法人日本情報処理開発協会(JIPDEC)より ISMS/ISO27001
認証機関として認定
ISMS認証組織数 約70社
PCI DSS定期オンサイト監査 約20社
※2010年10月現在
2
Ver1.2
カード会社との加盟店契約において、加盟店やサービスプロバイダはカード情報
の漏えい事件が起きた際のフォレンジック調査が義務付けられています。
今まではペイメントカード情報漏えい事件の際のフォレンジック調査機関は
国際ペイメントブランド毎に個別に認定されていました。
例:VISA→QIRA、MasterCard→QFI
2011年3月にフォレンジック調査機関の認定が各ブランドからPCI SSCに
移管され、カード情報の漏えい事故発生の際にフォレンジック調査が必要な場合は
認定フォレンジック機関(PFI)が実施することになります。
本制度の施行によりフォレンジック調査後の報告書など5つのペイメントブランド
(VISA/Master/JCB/American Express/Discover)共通の対応が可能となります。
フォレンジック調査の際には、事故発生時におけるPCI DSSの適合状況を
同時に明らかにする必要があります。
3
Ver1.2
PCIセキュリティ基準
審議会
(米国:PCI SSC)
フォレンジック調査とPCI DSSアセスメントの依頼
クレジットカード情報の
漏えいの可能性がある
加盟店やサービスプロバイダ
Payment Card
Forensics(株)
PFIsとして承認
サービス提供
フォレンジックの調査要請
レポート提出
クレジットカード会社
(アクワイヤラ)
• フォレンジック調査のプロシージャ提供
• フォレンジック調査用のラボ提供
• フォレンジック調査員の派遣
レポート提出
UBIC
• PCI DSSオンサイトアセスメント
のプロシージャ提供
• PCI DSSオンサイト評価の受託
ICMS
国際ペイメント
ブランド
4
Ver1.2
ペイメント
ブランド
カード会社
調査
要請
報告
一次
報告
最終
報告
(アクワイヤラ)
調査
依頼
加盟店
事件発生
約款
合意
弊社
調査
開始
<事件の状況
ヒアリング>
・発生経緯
・対象の特定
・ログの有無
等
<最終報告>
<第一インシデ
ント報告>
・漏洩したカード会員
データの特定
・発生原因
・発生した期間
・PCI DSS適合状況
・観察事項
等
カード会員データが
漏えいした事実を
特定(データタイプ
など)
調査
実施
詳細
調査実施
PCI DSSの
適合性評価
5
Ver1.2
事件発生時には、事実確認や被害範囲の特定などを行うため直ちに
証拠保全の必要があります。下記の点にご注意ください。
対象のハードウェアを特定し、事件の対策責任者の管理下に置いて下さい。
但し、不用意にデータにはアクセスしないで下さい。
対象機器がネットワークに接続されているのであれば、ネットワークケーブルを抜くな
ど接続を遮断下さい。
対象機器の再起動はしないでください。
データ消去やソフトウエア(パッチを含む)のインストールをしないでください。
ハードウェア、その付属品、及び周辺環境を保全しておいてください。
関係者からヒアリングを行い、状況の詳細を把握してください。
自社情報システム及びセキュリティ担当者とのチャンネルを確保しておいて下さい。
但し、具体的な作業の指示はしないようご注意ください。
証拠保全の為に、まずは専門家である弊社にご相談ください。
6
Ver1.2
PCI SSCの承認する認定フォレンジック機関(PFIs)である。
24時間365日調査受付
標準サービスとして英語/日本語にて報告書を作成
※全ての工程を日本人の専門スタッフが対応致します。
事件への対応コンサルティングやシステム強化なども
オプションサービスとして対応可能
7
Ver1.2
Payment Card Forensics株式会社
〒110-0014
東京都港区港南二丁目12番23号
TEL
0120-938-897
mail
[email protected]
URL
http://www.pcf.co.jp/
8