目的

本基準は、株式会社スターペイメント(以下当社という)のペイメントカード情報を取り扱うシステムが正確、かつ、セキュリティを保った形で維持されることを確実にするために実施すべき事項を定めている。

基本方針

株式会社スターペイメント(以下当社という)は、運営するシステムにおいて取り扱われるペイメントカード情報処理に関して、想定しうる情報セキュリティ事故を未然に防止し、当社の社会的責務である情報及び情報システムの機密性、完全性および可用性を維持し、PCI DSSに準拠した運営を行うことを情報セキュリティの目的とする。すべての社員は情報セキュリティの規程およびPCI DSSの規定を理解し、順守しなければならない。

適用範囲

本方針の適用範囲は、ペイメントカード情報を保管、処理、伝送するシステムを構成する全ての要素、カード決済処理サービスの運用に関連するすべての情報資産、業務および要員とする。

情報セキュリティ組織・体制の目的

情報セキュリティを強化し、セキュリティ管理の実効性を最大限にまで高めるためには、組織全体をあげてセキュリティ管理に取り組む必要がある。そのためには、通常の業務組織と並んで、下記の事項を担当するための部門横断的な体制を設けることが必要である。情報セキュリティ対策の実施および評価を継続的かつ総合的に管理する。情報セキュリティポリシーおよびPCI DSS関連の重要な文書等を組識全体に浸透させる。当社内または外部組識との間で情報セキュリティ対策に矛盾が生じないように調整する。

人的資源の教育・訓練

当社は、ペイメントカード取り扱いの運営業務に係わる責任者および管理者として必要な責任能力を明確化し、該当者には下記の教育・訓練を十分に施すと共に、技能および経験に基づいてその適格性を判断する。

セキュリティ教育・訓練

組織のすべての従業員と、第三者利用者に対して、組織のセキュリティポリシーおよび手順に関して、セキュリティポリシーに目を通して理解させて、取扱い又は管理の徹底を図る。

情報システムの取得、開発および保守

システム導入・変更および保守についてセキュリティ要求事項を分析し適切に管理する。

情報セキュリティインシデントの管理

システム違反が発生した場合は、責任者は実施されるインシデント対応計画を迅速に作成し、関係各所へ報告を行う。また、影響範囲や復旧手順などの想定をし、被害拡大を防ぐ。セキュリティインシデントについては対策チームを結成し、原因を追求して再発防止策を講じる。

事業継続管理

事業活動に対する障害に対処し、重大な故障や災害の影響から重要なビジネスプロセスを保護する為、事業継続計画を策定し、事業の継続を維持する。

遵守

組織の法律アドバイザーや資格認定された法律専門家に助言を求め、刑事法、民事法、法的/規則上/契約上の義務、他のセキュリティ要件への違反を回避する。

見直し

本セキュリティポリシーは社会情勢や社内情勢などの変化に必要に応じて見直しを行う。