コンプライアンス

PCI DSS

Q: Roleplaysは年次研修に関するPCI DSS要件12.6.2を満たしますか？

はい。プラットフォームは従業員ごとの研修完了日を追跡し、コンプライアンス状況を示すレポートを生成します。年次またはより頻繁な研修サイクルを設定し、自動リマインダーを設定し、QSA監査人が期待する形式で完了の証拠をエクスポートできます。

Q: 当社のコールセンター環境に特化したシナリオを作成できますか？

はい。事前構築済みのPCIシナリオに加えて、お客様固有のコールフロー、決済プロセス、脅威の状況を反映したカスタムシミュレーションを作成できます。ソーシャルエンジニアリングやプリテキスティング攻撃も含まれます。

Q: プラットフォームは要件12.6.3の確認要件をどのように処理しますか？

完了したすべてのシミュレーションが積極的な確認として機能します。セッション記録にはタイムスタンプ、所要時間、パフォーマンススコアが含まれ、署名済みフォームよりもはるかに強力な証拠となります。

Q: 研修コンテンツは新たな脅威の出現に応じて更新されますか？

はい。Roleplaysは、ビッシング手法、AIを活用したソーシャルエンジニアリング、新しいフィッシングパターンを含む現在の脅威を反映するために、シナリオライブラリを継続的に更新し、要件12.6.1の年次見直し義務を満たします。

Payment Card Industry Data Security Standard（PCI DSS）は、カード会員データを処理、保管、または送信するすべての組織に対し、正式なセキュリティ意識向上プログラムの維持を求めています。Roleplaysはその要件を、測定可能で魅力的な研修に変えます。

デモを依頼するコールセンター向けソリューション

概要

PCI DSSとは

Payment Card Industry Data Security Standard（PCI DSS）は、Visa、Mastercard、American Express、Discover、JCBによって設立されたPCI Security Standards Councilが策定したグローバルな情報セキュリティ基準です。現在バージョン4.0.1であり、PCI DSSは決済のライフサイクル全体を通じてカード会員データを保護するための技術的・運用的要件を定めています。

PCI DSSは、クレジットカード情報を受け付け、処理、保管、または送信するあらゆる組織に適用されます。これには、あらゆる規模の加盟店、決済プロセッサー、アクワイアラー、イシュアー、サービスプロバイダーが含まれます。実際には、電話でカード番号を受け取るコールセンターのエージェント、取引を処理する小売従業員、決済インフラを管理するITチームがすべて対象範囲に含まれることを意味します。

不適合の場合、カードブランドから月額5,000ドルから100,000ドルの罰金、取引手数料の増加、カード決済処理能力の喪失、そして侵害後の重大な評判被害が生じる可能性があります。この基準は任意ではなく、加盟店とそのアクワイアリング銀行との間の契約上の義務を通じて強制されます。

遵守すべき対象

決済カードデータを取り扱うコールセンター
小売およびeコマース事業者
銀行、フィンテック、決済プロセッサー
決済エコシステム内のSaaSプロバイダー

不適合の影響

カードブランドごとに月額最大100,000ドルの罰金
取引処理手数料の増加
カード処理権限の取り消し
侵害後の不正取引に対する責任

規制の詳細

研修要件

PCI DSS v4.0の要件12.6は、カード会員データ環境へのアクセスを持つすべての人員に対し、必須のセキュリティ意識向上研修を定めています。

12.6

要件12.6、セキュリティ意識向上プログラム

すべての人員がカード会員データセキュリティポリシーおよび手順を認識するように、正式なセキュリティ意識向上プログラムを実施しなければなりません。これは単なるポリシー文書を超えるものであり、組織は脅威、適切なデータ取り扱い、そしてカード会員データを保護するための個々の責任について従業員を積極的に教育しなければなりません。

QSA監査人が検証する点：文書化されたプログラムが存在し、経営陣によって承認され、ITスタッフだけでなくすべての人員を対象としていること。プログラムは現在の脅威に対応し、組織固有のカード会員データ環境に合わせて調整されている必要があります。

12.6.1

要件12.6.1、正式な意識向上プログラム

セキュリティ意識向上プログラムは、少なくとも12か月ごとに見直し、新たな脅威や脆弱性に対応するために必要に応じて更新しなければなりません。プログラムには、意識向上を伝え人員を教育するための複数の方法、例えばポスター、文書、会議、ウェブベースの研修、模擬フィッシング演習などを含める必要があります。

QSA監査人が検証する点：プログラムが過去12か月以内に見直され更新されたことを示す文書、および複数のコミュニケーション手段が使用された証拠。

12.6.2

要件12.6.2、年次研修

人員は少なくとも12か月ごとにセキュリティ意識向上研修を受けなければなりません。新規採用者は入社時に研修を完了する必要があります。これは最低限の頻度であり、より高いリスクに直面している組織や従業員の離職率が高い組織は、より頻繁な研修サイクルを検討すべきです。

QSA監査人が検証する点：過去12か月以内のすべての対象人員の研修完了記録、および新規採用者がカード会員データへのアクセスを得る前に研修を受けた証拠。

12.6.3

要件12.6.3、従業員の確認

人員は少なくとも12か月ごとに、セキュリティ意識向上ポリシーおよび手順を読み理解したことを確認しなければなりません。この要件は、従業員が受動的に登録されるのではなく、コンテンツに積極的に関与することを保証します。単なるチェックボックスでは不十分であり、確認は実質的な関与を示すものでなければなりません。

QSA監査人が検証する点：過去12か月以内の日付が記載された、すべての対象人員からの署名済みまたは電子的に記録された確認。監査人は、確認が単独の署名ではなく実際の研修完了に紐付いている証拠を探します。

ソリューション

Roleplaysの活用方法

スライド資料を、実際の行動を試す現実的なシミュレーションに置き換え、QSAが必要とするすべてを文書化します。

PCI特化型シナリオ

最も一般的なPCIの障害モードに対応した事前構築済みシミュレーション：カード番号を要求するソーシャルエンジニアリング電話、決済システムを標的とするフィッシングメール、セキュアエリアへの共連れ侵入、不適切なカードデータの保管。シナリオは脅威の状況の変化に応じて更新され、要件12.6.1の年次見直し義務を満たします。

データマスキング研修

エージェントに、カード番号全体を決して読み返さないこと、適切なマスキング手法（下4桁のみを表示）を使用すること、発信者が必要以上のデータを引き出そうとしている場合を認識することを訓練します。模擬発信者が、プレッシャー下でエージェントがマスキングプロトコルに従うかどうかを試します。

エージェントの行動スコアリング

複数基準によるAI評価が、各エージェントをセキュリティ意識、データ取り扱いの遵守、ソーシャルエンジニアリングへの抵抗力、適切なエスカレーション手順について採点します。結果は特定のPCI DSS要件に対応し、単純な出席記録を超えてQSA監査人が期待する能力の証拠を提供します。

コンプライアンス文書

すべての研修セッションが、参加者の識別情報、研修内容、所要時間、評価スコア、完了ステータスを含むタイムスタンプ付き記録を生成します。12か月の期間内に対象人員の100%が研修を受けたことを示すコンプライアンスレポートをエクスポートでき、まさに要件12.6.2が求めるものです。

ソーシャルエンジニアリング防御

模擬攻撃者が実世界のソーシャルエンジニアリング手法を使用します：ITサポートになりすますプリテキスティング、緊急性を利用した操作、権威者へのなりすまし、多段階のプリテキスティング攻撃。エージェントは、本番環境で直面する前に、安全な環境でこれらの手法を認識し抵抗することを学びます。

組み込みの確認機能

シミュレーションを完了することが確認となります。受動的なチェックボックスフォームとは異なり、完了した各セッションは従業員がセキュリティコンテンツに積極的に関与したことを証明します。セッション完了記録は、完全なタイムスタンプとパフォーマンスデータを証拠として、要件12.6.3の確認として機能します。

FAQ

よくある質問

Roleplaysは年次研修に関するPCI DSS要件12.6.2を満たしますか？

はい。プラットフォームは従業員ごとの研修完了日を追跡し、組織全体のコンプライアンス状況を示すレポートを生成します。年次またはより頻繁な研修サイクルを設定し、近づく期限に対する自動リマインダーを設定し、QSA監査人が期待する形式で完了の証拠をエクスポートできます。

当社のコールセンター環境に特化したシナリオを作成できますか？

もちろんです。事前構築済みのPCIシナリオに加えて、お客様固有のコールフロー、決済プロセス、脅威の状況を反映したカスタムシミュレーションを作成できます。例えば、エージェントに「確認のため」カード番号全体を読み返すよう求める発信者や、IT部門になりすますプリテキスティング攻撃をシミュレートできます。

プラットフォームは要件12.6.3の確認要件をどのように処理しますか？

完了したすべてのシミュレーションが積極的な確認として機能します。受動的なチェックボックスとは異なり、研修セッションを完了することは、従業員がセキュリティコンテンツに関与し、提示されたシナリオを理解し、その応答を通じて能力を実証したことを証明します。セッション記録にはタイムスタンプ、所要時間、パフォーマンススコアが含まれ、署名済みフォームよりもはるかに強力な証拠となります。

研修コンテンツは新たな脅威の出現に応じて更新されますか？

はい。PCI DSS要件12.6.1は、セキュリティ意識向上プログラムを少なくとも年次で見直し更新することを求めています。Roleplaysは、現在の脅威、ビッシング手法、AIを活用したソーシャルエンジニアリング、新しいフィッシングパターンを反映するために、シナリオライブラリを継続的に更新します。QSAは、研修コンテンツが現在の脅威の状況を反映していることを検証できます。

Roleplaysは既存のセキュリティ意識向上研修を完全に置き換えられますか？

Roleplaysは、すべての要件12.6のサブ要件を網羅する主要なPCIセキュリティ意識向上研修ツールとして機能できます。多くの組織は既存のLMSと併用しており、Roleplaysが対話型のシミュレーションベースの部分を担当し、LMSがポリシー文書の配布と追跡を管理します。プラットフォームのAPIにより、ほとんどの学習管理システムとの統合が可能です。

より速くコンプライアンスを達成。

年次のスライド資料を、セキュリティ行動を実際に試すシミュレーションに置き換えましょう。文書化された証拠で、PCI DSS 12.6のすべてのサブ要件を満たします。

デモを依頼するコールセンター向けソリューションを見る