Start of menu
Close Menu

サービスプロバイダの遵守要件

サービスプロバイダとは、アメリカン・エキスプレスの取引処理を行う際に、加盟店さまや他のユーザーに対してサービ スを提供する第三者機関です。サービスプロバイダには、承認代行業者、決済代行業者、ゲートウェイプロバイダ、加盟店さまの端末機設備、ソフトウェア、システムの提供者、決済処理のソリューションやサービスの事業者が含まれます。

データセキュリティ基準
カード会員のデータ情報を処理、保管、伝送する全ての企業は、顧客や会社を保護するためにあらゆる対策を講じなければなりません。データセキュリティ運営方針(DSOP)を通じてPCIデータセキュリティ基準(PCI DSS)を遵守することにより、貴店の顧客やビジネスの信用レベルを高めることができます。アメリカン・エキスプレスはPCIセキュリティ基準協議会のメンバーとして、カード会員情報保護の対応方法を定めるPCIデータセキュリティ基準の策定サポートをしてきました。
PCI DSSの詳細については、PCIセキュリティ標準協議会のウェブサイトPCIデータセキュリティ基準(英語サイト)を参照してください。

遵守要件
全てのサービスプロバイダは、PCIデータセキュリティ基準の遵守を含む、アメリカン・エキスプレスのデータセキュリティ運営方針に準拠することが求められます。
サービスプロバイダは、以下の報告書を提出する必要があります:

1. 訪問調査報告書(年次)
年次オンサイト・セキュリティ検査とは、カード情報が実際に処理、保管、伝送される場所での、企業の技術および作業システム、端末機設備、ネットワーク(およびそのコンポーネント)を詳細に検証する検査です。検査は認定セキュリティ評価機関(QSA)、もしくは企業のCEO、CFO、代表者が認めた場合は企業によって行われます。QSAの一覧については下記のウェブサイトを参照してください。
https://www.pcisecuritystandards.org/approved_companies_providers/qualified_security_assessors.php
評価者は検査した現場環境や検査結果の詳細をまとめた準拠レポート(ROC)を作成します。ROCには企業、もしくはQSAが作成した準拠証明(AOC)が含まれます。アメリカン・エキスプレスではAOC、またはROC要旨を報告書として認めています。

2. ネットワーク脆弱性スキャン報告書(四半期毎)
ネットワーク脆弱性スキャン報告書は、加盟店さまのウェブサーバやネットワーク機器等、インターネットに接続しているコンピュータやウェブサーバを検査するプロセスです。この検査はリモートで行われ、認定されたベンダー(ASV)によって実施されます。ASVの一覧については下記のウェブサイトを参照してください。
https://www.pcisecuritystandards.org/approved_companies_providers/approved_scanning_vendors.php.
アメリカン・エキスプレスではネットワーク脆弱性スキャンに合格した検査の要旨、またはネットワーク脆弱性スキャンニング結果の摘要(請求があればスキャン結果報告書完全版)を四半期毎に作成し、弊社に提出しなければなりません。摘要にて危険度の高い問題が認めらなかったことを証明しなければなりません。
報告書の用意ができましたら、データセキュリティ運営方針で説明されている既定のフォームに従ってCDを作成し、以下の住所まで郵送してください。

〒167-8001
東京都杉並区荻窪4-30-16
アメリカン・エキスプレス・インターナショナル・インコーポレイテッド
GNOデータ・セキュリティ・ユニット

【情報流出が発生した場合】
アメリカン・エキスプレスへの通知義務
DSOPに詳細が規定されておりますように、カード会員情報が不正にアクセス・使用されたことが判明、または疑問が生じた場合、加盟店さまにご対応をお願いする手順は以下の通りとなります。

     1. 速やかにアメリカン・エキスプレスに連絡する
     2. アメリカン・エキスプレスや監査人と共に、情報流出についての徹底調査を行う
     3. 情報流出に関する全ての情報を提供し、アメリカン・エキスプレスの指示に従う


※カード会員情報の安全性が脅かされた(またはその疑問が生じた場合)、弊社の加盟店営業担当者もしくはアメリカン・エキスプレス加盟店サービスホットライン0120-333983(通話料無料/9:00〜17:00/土日祝休)までご連絡ください。また、EIRP Merchant data incident - initial notice form にご記入いただき、American Express Enterprise Incident Response Program(EIRP)EIRP@aexp.com(※英語対応のみ)宛にご送信いただくことも可能です。

以下のケースは、情報流出による追加費用を回避することができます。
     1. 貴店のデータの安全性が疑わしいと判明、または疑問が生じた時に速やかにアメリカン・エキス
         プレスに通知している場合
     2. アメリカン・エキスプレスのDSOPを完全に遵守している場合
     3. 情報流出が貴店、従業員、代理人による不正行為に起因するものではない場合