PCI DSSの管理システムアイディア

PCI DSS

概要

  • 仕事でとあるシステムをPCI DSS準拠する必要があって、そのときの管理台帳がExcelでした。
  • そのExcel内に準拠状況や、予定、コメント、タスク、依存関係などを記入して管理していましたが結構大変でした。時系列も追いづらく、アクターもわかりづらいです。
  • それを解決するためにPCI DSSの準拠内容をキーとした管理ツールを作ろうと考えていました。その最初のステップが準拠項目の構造データが必要だったので作りました。

企画概要

時間が経過してめんどくさくなっちゃったのでアイディアだけ公開しておきます。誰か作ってー。協力するので。ビジネスに失敗したら、監査会社に売れば元は余裕で取れるかと思います。

  • アクター
    • 社内のPCI DSS運用に関わる複数の担当者
      • 主にオペレーション周りとシステム周り
    • 監査役
      • 複数人
  • 想定している機能
    • 1年に1回の監査対応機能。監査員が項目毎にOKかNGかを記録。事業会社とのやりとりのログを残せる。
    • タスク管理と、他のタスク管理サービスへの連携。
    • SaaS
    • サブスク課金
    • 準拠項目の定期的なアップデート
    • ギャップ分析
      • バーンダウンチャート
    • 独自にベロシティを付けるとかして、工数見積もりできるようにするとか。
    • 自社が準拠すべき項目のフィルタリング
      • 準拠しなければいけないレベルは、1〜4ある。1は全ての項目。
      • レベル4はSAQ(自己問診票)だけ。SAQ自体もWebで行えるようにして上げても良いかな。SAQは無料で提供してフリーミアム的に作っても良いかも。
  • 想定している金額
    • 日本:3万円/月 * 10社 = 360万円/年
    • グローバル:2万円/月 * 100社 = 2,400万円/年
  • 原価
    • 初期:200万円/年
    • 保守:50万円/年
  • 売り先
    • 監査会社
    • 事業会社
  • コメントなどのエビデンスはスマートコントラクトに乗せておく。
  • i18n

準拠項目のマスタデータは以下にあります。

Comments

タイトルとURLをコピーしました