どうも!!
ペイメントシステム課の川上です!!
サブスクペイの中の人です!!
今回は、先日実施されたPCI DSSバージョン4の監査に参加した所感を書きます。
ちなみに私は、昨年サブスクペイにジョインするまでPCI DSSに関わったことはありませんでした。
ですので元シロウトなりに感じたことを綴りたいと思います。。。
PCI DSSってなんだっけ
PCI DSSについては我らがボスが詳しく分かりやすく説明してくれています。
「PCI DSSなにそれおいしいの」状態の方は、まずはこちらをご覧いただければ幸いでございます(宣伝)。
備えよ常に
ボスのブログでは「毎年監査を受け」ていることしか書かれていませんので、ここをもう少し掘り下げてみましょう。
PCI DSSに準拠するには、PCI SSC(PCI Security Standards Council)が認定する審査機関(QSA : Qualified Security Assessors)による監査を受けて、これに合格する必要があります。
PCI DSSの要件ごとに多数のチェック項目がありますので、ひとつひとつ基準を満たしているかどうかをQSAの監査員に説明し、弊社の対応状況を審査していただくことになります。
最初の準備
今回の監査では、要件ごとに担当者を決めました。
各担当者は自分が受け持つ要件について精査し、想定問答集を作成することが最初の作業です。
とはいえ専門用語バリバリの難解な文章ですので、まず設問の意味が理解できません。最初に心が折れる瞬間です。
昨年の担当者にヒアリングしながら想定問答を考えますが、今回はPCI DSSがバージョン4になったことで昨年の回答実績が通用しない設問も多々あります。
おかげでびっくりするくらい進捗が悪く心の折れる日々が続きます。
リハーサル開催
担当分の想定問答がある程度準備できたところで次なる試練が待ち受けます。
QSAの監査員に扮したボスに、監査のリハーサルを実施していただくのです。
リハーサルでは容赦のないツッコミの嵐が吹き荒れます。
想定問答を用意したことでそれなりに理解が進んだと思っていたのですが、ビックリするくらい回答できません。
額から汗が吹き出し、全身がガクガク震え、答える声がどんどん小さくなっていきます。
こんなことで本番は大丈夫なのだろうか・・・という不安を抱えつつ、想定問答を練り直します。
監査本番
監査は5日間にかけて実施されます。
文書などあらかじめ用意できるものは事前に提出し、監査では要件に沿った質問に答えていきます。
「あ!これリハーサルでやったところだ!」というところもあれば「え゛!?」と答えに詰まる部分もあります。
自分が担当していない要件では、想定外の質問に対する回答の準備を手伝ったり議事録を取ったり、朝から晩まで気が抜けません。これが5日間続きます。
ときおりヒヤリとする瞬間もありましたが、予定通り5日間の日程を終えました。
正式な結果は後日となりますが、大きな問題もなく監査終了です!!
こうして、準備から本番まで約2カ月にわたる監査対応が終わりを迎えました。
監査を終えて
冒頭で書いた通り私はまだサブスクペイ歴1年のひよっこですが、日ごろの業務で使用する各種規定文書や記録・ルール等々、実はすべてPCI DSSに通じるものがあったのか!!という気付きを得られたことが一番の収穫に感じます。
また事前にリハーサルを実施したことが有用でした。特に私は昨年の監査に参加していないため、あらかじめ流れや雰囲気をつかむのに役立ちました。
これにて無事PCI DSSバージョン4の監査を終えたわけですが、バージョン4ではベストプラクティス要件(Feature-Dated)という「これメチャクチャ大変だから2025年3月31日までに対応すればいいよ!」と対応を先送りにすることが許されている項目がいくつもあります。
来年の監査ではこれらベストプラクティス要件への対応も必要になりますので、今回以上に長く苦しい戦いになることでしょう。
既に来年の監査に向けた準備ははじまっています。今年の経験を糧に頑張ります。
俺たちの戦いはこれからだ!!
We are hiring!!
ROBOT PAYMENTでは一緒に働く仲間を募集しています!!!
speakerdeck.com
www.robotpayment.co.jp
🎉twitter採用担当アカウント開設!🎉どんどん情報発信していきます!!