アカウント名:
パスワード:
今回のような流出が起こった場合、各加盟店のシステムについて同様の脆弱性がないか調査依頼は実施してるんだろうか。
一定期間内の報告がない場合は加盟店契約を破棄でそうなものだが。
セキュリティの調査は金も時間もかかるよ。誰の費用でやるの?しかも今回システムの脆弱性としか言っていないわけで、同様の脆弱性と言われてもどのような観点で何を調べれば良いのやら…
今回のような流出が起こった場合は「認定フォレンジック機関(PFI)」に調査を依頼して報告書を得た上で、PCI DSSの監査(QSAかな?)をしないとカード取引の再開ができません。
日本ではPayment Card Forensics㈱一択のように思えますが、実はNRIセキュアも認定会社です(ニュースリリース [nri-secure.co.jp])。が、私が知る限りNRIセキュアがPCI DSSのフォレンジック調査したって話を聞いたことがないんだよなぁ………中の人でもイイから知っている人事例プリーズ。
先のニュースリリースによるとNRIセキュアはPCI DSS関係の4つの認定(QSA/PA-QSA/ASV/PFI)をすべて持っているとのこと。
NRIの人がんばれ!
「この先生きのこる」みたいな書き方をしてしまいましたが、欲しいのは人事例ではなく、事例です(´・ω・`)※クレジットカードでは「即日本カード発行」という書き方をすると「日本カード発行?」と訳が分からなくなります(゚∀゚)
この類って、事例集みたいなものが作りにくいからセールスしにくいんだろうなぁ(事例=オモラシ犯だし)。ガンガレということで、事故対応支援「PFIクレジットカード情報漏えい調査サービス」 [nri-secure.co.jp]
これは流出元の加盟店のみに対する処置なんだろうか?
同様の原因による流出防止のためには、決済システムに対する基準の改定と共に全加盟店に対して再審査が必要かと思いますが実際はそうでもないのだろうか。。。
カード会社も再流出時のコスト(真のカード所有者に請求できない決済など)は引っ被りたくないよねぇ。
決済システムのPCI DSS認定はほぼ必須でしょ?今の基準だと3年に一回は再検査が入りますよ。
お漏らし事例の会社の再開をラクにするためPCI DSS認定の決済システムに丸投げして、その入口だけ監査して範囲を狭めるというのは割とフツーの動きだと思ってます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
クレジットカード会社は (スコア:0)
今回のような流出が起こった場合、
各加盟店のシステムについて同様の脆弱性がないか調査依頼は実施してるんだろうか。
一定期間内の報告がない場合は加盟店契約を破棄でそうなものだが。
Re: (スコア:0)
セキュリティの調査は金も時間もかかるよ。誰の費用でやるの?
しかも今回システムの脆弱性としか言っていないわけで、同様の脆弱性と言われてもどのような観点で何を調べれば良いのやら…
Re: (スコア:0)
今回のような流出が起こった場合は「認定フォレンジック機関(PFI)」に調査を依頼して報告書を得た上で、PCI DSSの監査(QSAかな?)をしないとカード取引の再開ができません。
日本ではPayment Card Forensics㈱一択のように思えますが、実はNRIセキュアも認定会社です(ニュースリリース [nri-secure.co.jp])。が、私が知る限りNRIセキュアがPCI DSSのフォレンジック調査したって話を聞いたことがないんだよなぁ………中の人でもイイから知っている人事例プリーズ。
先のニュースリリースによるとNRIセキュアはPCI DSS関係の4つの認定(QSA/PA-QSA/ASV/PFI)をすべて持っているとのこと。
Re: (スコア:0)
NRIの人がんばれ!
Re: (スコア:0)
「この先生きのこる」みたいな書き方をしてしまいましたが、欲しいのは人事例ではなく、事例です(´・ω・`)
※クレジットカードでは「即日本カード発行」という書き方をすると「日本カード発行?」と訳が分からなくなります(゚∀゚)
この類って、事例集みたいなものが作りにくいからセールスしにくいんだろうなぁ(事例=オモラシ犯だし)。ガンガレということで、事故対応支援「PFIクレジットカード情報漏えい調査サービス」 [nri-secure.co.jp]
Re: (スコア:0)
今回のような流出が起こった場合は「認定フォレンジック機関(PFI)」に調査を依頼して報告書を得た上で、PCI DSSの監査(QSAかな?)をしないとカード取引の再開ができません。
これは流出元の加盟店のみに対する処置なんだろうか?
同様の原因による流出防止のためには、決済システムに対する基準の改定と共に全加盟店に対して再審査が必要かと思いますが
実際はそうでもないのだろうか。。。
カード会社も再流出時のコスト(真のカード所有者に請求できない決済など)は引っ被りたくないよねぇ。
Re: (スコア:0)
決済システムのPCI DSS認定はほぼ必須でしょ?
今の基準だと3年に一回は再検査が入りますよ。
お漏らし事例の会社の再開をラクにするためPCI DSS認定の決済システムに丸投げして、その入口だけ監査して範囲を狭めるというのは割とフツーの動きだと思ってます。