Start of menu
Close Menu

データセキュリティ基準

データセキュリティ基準について

カード会員の情報を処理、保存、伝送する事業者は考えられる全ての事前注意を行い、カード会員と事業者自身を保護する必要があります。データセキュリティ運営方針(DSOP)を通じてPCIデータセキュリティ基準(PCI DSS)に準拠することで、お客さまにより安心してご利用いただけ、貴店の信頼性が向上します アメリカン・エキスプレスのデータセキュリティ運営方針 (PDF)の詳細はこちらを参照してください。
PCIセキュリティ標準協議会の会員として、アメリカン・エキスプレスは加盟店の支払いデータを守るPCIデータセキュリティ基準の策定に関与してきました。
PCI DSSの詳細については、PCIセキュリティ標準協議会のウェブサイトのPCIデータセキュリティ基準 を参照してください。

【情報流出が発生した場合】
アメリカン・エキスプレスへの通知義務
DSOPに詳細が規定されておりますように、カード会員情報が不正にアクセス・使用されたことが判明、または疑問が生じた場合、加盟店さまにご対応をお願いする手順は以下の通りとなります。

    1. 速やかにアメリカン・エキスプレスに連絡する
    2. アメリカン・エキスプレスや監査人と共に、情報流出についての徹底調査を行う
    3. 情報流出に関する全ての情報を提供し、アメリカン・エキスプレスの指示に従う

 

※カード会員情報の安全性が脅かされた(またはその疑問が生じた場合)、弊社の加盟店営業担当者もしくはアメリカン・エキスプレス加盟店サービスホットライン0120-333983(通話料無料/9:00〜17:00 /土日祝休)までご連絡ください。また、EIRP Merchant data incident - initial notice form にご記入いただき、American Express Enterprise Incident Response Program(EIRP)EIRP@aexp.com(※英語対応のみ)宛にご送信いただくことも可能です。

以下のケースは、情報流出による追加費用を回避することができます。

    1. 貴店のデータの安全性が疑わしいと
         判明、または疑問が生じた時に速やか
         にアメリカン・エキスプレスに通知し
         ている場合
    2. アメリカン・エキスプレスのDSOPを完全
         に遵守している場合
    3. 情報流出が貴店、従業員、代理人によ
         る不正行為に起因するものではない場合
加盟店レベル

加盟店レベル

アメリカン・エキスプレスの加盟店さまは、アメリカン・エキスプレスとの年間取引件数に応じて、データセキュリティ上3つのレベルに分類されます。貴店のデータセキュリティ要件は、貴店の属するレベルにより規定されます。下の表は、年間取引件数によるレベル分類と、アメリカン・エキスプレスのDSOPを遵守するための要件を示しています。

加盟店レベルとデータセキュリティ要件

*レベル3に分類された加盟店さまは調査結果報告書を提出する義務はありませんが、データセキュリティ運営方針のその他全ての規定を遵守しなくてはなりません。アメリカン・エキスプレスのデータセキュリティ運営方針(PDF)を参照してください。

【情報流出が発生した場合】
アメリカン・エキスプレスへの通知義務
DSOPに詳細が規定されておりますように、カード会員情報が不正にアクセス・使用されたことが判明、または疑問が生じた場合、加盟店さまにご対応をお願いする手順は以下の通りとなります。

    1. 速やかにアメリカン・エキスプレスに連絡する
    2. アメリカン・エキスプレスや監査人と共に、情報流出についての徹底調査を行う
    3. 情報流出に関する全ての情報を提供し、アメリカン・エキスプレスの指示に従う

 

※カード会員情報の安全性が脅かされた(またはその疑問が生じた場合)、弊社の加盟店営業担当者もしくはアメリカン・エキスプレス加盟店サービスホットライン0120-333983(通話料無料/9:00〜17:00 /土日祝休)までご連絡ください。また、EIRP Merchant data incident - initial notice form にご記入いただき、American Express Enterprise Incident Response Program(EIRP)EIRP@aexp.com(※英語対応のみ)宛にご送信いただくことも可能です。

以下のケースは、情報流出による追加費用を回避することができます。

    1. 貴店のデータの安全性が疑わしいと
         判明、または疑問が生じた時に速やか
         にアメリカン・エキスプレスに通知し
         ている場合
    2. アメリカン・エキスプレスのDSOPを完全
         に遵守している場合
    3. 情報流出が貴店、従業員、代理人によ
         る不正行為に起因するものではない場合


加盟店さまの遵守要件

加盟店さまの遵守要件

全ての加盟店さまには、PCIデータセキュリティ基準に準拠しているアメリカン・エキスプレスのデータセキュリティ運営方針を確実に遵守いただくことをお願いしております。一部の加盟店さまには、データ保護を確実なものにするために、以下のステップに従って手続きをとっていただく場合がございます。

ステップ 1
貴店がどの加盟店レベルに分類されているかを調べ、調査結果報告書の種類を判断しなくてはなりません。上記タブの「加盟店レベル」を参照してご判断ください。レベルに応じて以下の証明書を提出する必要があります。

1. 訪問調査報告書(年次)
訪問調査報告書とは、カード情報が実際に処理、保存、伝送される際の、加盟店さまのシステム、端末機設備、ネットワークを検証する検査です。検査は認定セキュリティ評価機関(QSA)、もしくは加盟店さまのCEO、CFO、代表者が承認した場合は加盟店さまによって行われます。
QSAの一覧については下記のウェブサイトを参照してください。
https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php

評価者は検査した現場環境と検査結果の詳細をまとめた準拠レポート(ROC)を作成します。ROCには加盟店さま、もしくはQSAが作成した準拠証明(AOC)が含まれます。アメリカン・エキスプレスではAOC、またはROC要旨を調査結果報告書として認めています。

2. ネットワーク脆弱性スキャン報告書(四半期毎)
ネットワーク脆弱性スキャン報告書は、加盟店さまのウェブサーバやネットワーク機器等、インターネットに接続しているコンピュータやウェブサーバを検査するプロセスです。この検査はリモートで行われ、認定されたベンダー(ASV)によって実施されます。ASVの一覧については下記のウェブサイトを参照してください。
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php.
アメリカン・エキスプレスではネットワーク脆弱性スキャンに合格した検査の要旨、またはネットワーク脆弱性スキャンニング結果の摘要(請求があればスキャン結果報告書完全版)を四半期毎に作成し、弊社に提出しなければなりません。摘要にて危険度の高い問題が認めらなかったことを証明しなければなりません。

ステップ 2
調査結果報告書の用意ができましたら、弊社の安全なポータルを通じてトラストウェーブに調査結果報告書をアップロードしてください。ポータルのアクセスおよび詳しい取り扱いに関しては、トラストウェーブにメール(※英語のみ)でご相談ください。

【情報流出が発生した場合】
アメリカン・エキスプレスへの通知義務
DSOPに詳細が規定されておりますように、カード会員情報が不正にアクセス・使用されたことが判明、または疑問が生じた場合、加盟店さまにご対応をお願いする手順は以下の通りとなります。

    1. 速やかにアメリカン・エキスプレスに連絡する
    2. アメリカン・エキスプレスや監査人と共に、情報流出についての徹底調査を行う
    3. 情報流出に関する全ての情報を提供し、アメリカン・エキスプレスの指示に従う

 

※カード会員情報の安全性が脅かされた(またはその疑問が生じた場合)、弊社の加盟店営業担当者もしくはアメリカン・エキスプレス加盟店サービスホットライン0120-333983(通話料無料/9:00〜17:00 /土日祝休)までご連絡ください。また、EIRP Merchant data incident - initial notice form にご記入いただき、American Express Enterprise Incident Response Program(EIRP)EIRP@aexp.com(※英語対応のみ)宛にご送信いただくことも可能です。

以下のケースは、情報流出による追加費用を回避することができます。

    1. 貴店のデータの安全性が疑わしいと
         判明、または疑問が生じた時に速やか
         にアメリカン・エキスプレスに通知し
         ている場合
    2. アメリカン・エキスプレスのDSOPを完全
         に遵守している場合
    3. 情報流出が貴店、従業員、代理人によ
         る不正行為に起因するものではない場合