PCI DSS AWS Users Consortium Japan

PCI DSS AWS Users Consortium Japanとは
(略称:PCI DSS AUC Japan)

株式会社サーバーワークスが中心となって、他4社とともにコンソーシアムを設立します。
クレジットカードなどペイメントカード情報の安全な取り扱いを目的に策定された国際セキュリティ基準である「PCI DSS」を中心としたAWSにおけるキャッシュレス決済のセキュリティ構築、運用について、グローバルトレンドから最新の導入、運用事例などの知⾒を集め、発信していくことを目的とします。
AWSの各種サービス利用を前提とした様々な取り組みについて発信、情報共有していきます。

  • PCI データセキュリティ基準(PCI DSS):クレジットカードなどペイメントカード会員データを安全に取り扱う事を目的として策定された国際セキュリティ基準。Payment Card Industry Data Security Standard の頭文字をとったもので、国際ブランド5社 ( American Express・Discover・JCB・MasterCard・VISA ) が共同で設立したPCI SSC ( Payment Card Industry Security Standards Council ) によって策定・管理されている。

ユーザー企業の課題(実際の声)

  • 課題 1

    これからPCI DSSに準拠するユーザー企業

    サービス開始時の事業の見通しが不透明なためスモールスタートしたい。また社内の技術者からは普段から慣れ親しんでいるAWSを使いたいという強い意見がある。自社の選択したAWSサービス(例:サーバーインスタンスor サーバレスなど)で最も効率的にPCI DSSに準拠する方法や技術情報にアクセスしたい。(スタートアップのフィンテック企業A社)

  • 課題 2

    既にPCI DSSに準拠しているが、AWSを利用していないユーザー企業

    他のシステムでは既にAWSを利用しているため、PCI DSS準拠が必要なシステムもAWSに移行していきたい。しかしAWSを利用してPCI DSSに準拠した実績があるのか、具体的にはどのように対応しているのかの公開情報が少なく、情報収集が必要である。(流通系企業B社)

  • 課題 3

    既にPCI DSSに準拠していて、AWSを利用しているユーザー企業

    PCI DSSは、ある一定の周期でバージョンアップがある。一旦はAWSでPCI DSSに準拠したが、バージョンアップへの不安を抱いており、単独では情報収集能力に限界がある。(地方銀行C社)

    QSAからAWSに関連するPCI DSS要件で指摘事項があり、他社がどのように要件を解釈して準拠しているか技術的な観点を知りたい。(決済代行事業者D社)

活動内容

  • 活動 1

    技術情報の発信

    PCI DSS、クレジットカードセキュリティ対策、クレジットカード情報流出事件やその手口などの最新情報及びPCI DSSを前提としたAWSの各種サービスと活用のガイダンスやFAQなどを会員企業に提供します。特に技術的な視点で幹事会社、会員企業間で情報交換を行い、その内容を発信します。PCI DSSとAWSに関連する技術情報について、会員企業の質問に幹事会社のナレッジやベストプラクティスに基づき回答を作成し、本コンソーシアムがFAQとして公開します。会員企業はFAQにアクセスし、該当するものがない場合はFAQへの公開を前提に質問することも可能です。

  • 活動 2

    セミナーやイベントの開催

    PCI DSSおよびクレジットカード セキュリティ対策の観点で、AWSパートナーの新サービスや事例発表など、AWS活用を前提とした各種周辺サービスやソリューション、セミナーやイベントについても発信します。

  • 活動 3

    ベストプラクティスの取りまとめ

    オンプレミスを前提としていたクレジットカード情報の取り扱いインフラを、どのようにAWSを活用すれば、より安全に、スケーラブルに、より低コストでPCI DSS準拠が実現できるか、ユースケースや導入事例を取りまとめていきます。

幹事会社

  • 株式会社サーバーワークス
    (本コンソーシアム事務局)

    株式会社サーバーワークス(本コンソーシアム事務局)
  • 株式会社琉球銀行

    株式会社琉球銀行
  • fjコンサルティング株式会社

    fjコンサルティング株式会社
  • 株式会社GRCS

    株式会社GRCS
  • 株式会社リンク

    株式会社リンク

2022年以降の活動詳細

活動名 詳細
実装におけるマッピング表の作成 AWSが提示するPCI DSSの責任共有モデルに関し、より実務に有用なマッピング表として「AWS責任範囲」、「AWSの設計にて順守できる範囲」、「ユーザーで対応する範囲」の視点で分解し、参加企業に公開します。
英語版のみのArtifactの読み方なども日本語で補足していきます。
ホワイトペーパーの公開 PCI DSS v4.0(2022年3月発行予定)の改訂のポイント、特にAWSに関連する部分をホワイトペーパーとして発信します。
セミナー実施 活動内容を取りまとめた成果物などを発表するセミナーを実施します。

ユーザー企業会員の募集要項

PCI DSS準拠が求められるユーザー企業(2021年改正割賦販売法で定義される1号~7号事業者に該当)を募集しています。
規約にご同意いただき事務局へ申込フォームの提出により、ご入会いただけます。

種別 具体的な業種
1号事業者 カード発行会社(イシュア)
2号事業者 加盟店(対面/非対面)
3号事業者 加盟店契約会社(アクワイアラ)
4号事業者 決済代行業者等
決済代行業者、ECモール事業者、ショッピングセンター・モール等、CCT端末先 等
5号事業者 QRコード決済事業者等
QRコード決済事業者、スマートフォン決済事業者、ID決済事業者等、名称にかかわらずカード情報と紐づけた他の決済用番号で決済を行う事業者
6号事業者 第5号事業者からカード情報の管理を受託している事業者
7号事業者 加盟店向け決済システム提供事業者
EC システム提供会社(ASP/SaaS として EC 事業者にサービス提供する事業者、EC 事業者に購入プラットフォームを提供する事業者)  等
  • カード会員データの伝送処理保存を行っている事業者、決済代行会社又はアクワイアラに接続できる決済モジュールを提供している事業者も含まれます。

会員メリット

各種ドキュメントへのアクセス
AWSを活用したPCI DSS準拠のガイダンスやベストプラクティスおよびユースケースや導入事例、よくある質問集などの各種成果物(ドキュメントや動画)にアクセス可能です。
特別セミナーへの参加
各種成果物や最新動向を説明するためのセミナーに参加することが可能です。
テーマのリクエスト
今後取り上げてほしいテーマなどを幹事会社への提言が可能です。

お申し込み

プライバシーポリシー」「ユーザー企業会員規約」をご一読の上、以下のフォームよりお申し込みください。


Q & Aよくあるご質問

PCI DSS AWS Users Consortium Japanについて、よく寄せられるご質問とその答えを公開しています

現時点では、個人のご参加は原則ご遠慮いただいています。

現在幹事会社以外のベンダー企業のご参加の枠組みも検討しております。参加条件などを確定してアナウンス申し上げます。

無料です。

会員限定のWebサイトによってアクセス可能です。

本コンソーシアムの活動内容はWebサイトまたはメールで会員にお知らせします。

専用のアドレスへのご連絡にていつでも退会可能です。

TOP