PCI DSS準拠の盲点『Excel』『音声』『紙の申込書』への対応  「SBC型業務環境サービス(PCI DSS準拠)」「IVR決済サービス」を提供(下)

2017年5月25日8:30

■株式会社エクシード

電子ファイルに対応するSBC型業務環境サービス(PCI DSS準拠)

PCI DSSは約400の要件をクリアする必要があります。すべて自力で頑張る選択肢もなくはありませんが、かなり大変なので、解決策を考える上ではPCI DSSに準拠している第三者のサービスをうまく活用して、自社で対応しなければいけない要件を極力減らすことを考えるというのが1つのポイントです。

その流れの中で2つのサービスを紹介します。1つめは電子ファイルに対応するSBC型業務環境サービス(PCI DSS準拠)です。2つめが弊社と提携しているHOYAサービス株式会社が提供する音声データに対応したIVR決済サービスです。なお、紙媒体については対応するサービスをご紹介しておりませんが、基本的な対応としては、原本は極力触らない、鍵管理をして取り出さないというかたちにして、業務上はPDF化したファイルを用いるようにして、当該PDFについては弊社のSBC型業務環境サービス(PCI DSS準拠)をご活用いただければと思います。

SBC型業務環境サービス(PCI DSS準拠)

SBC型業務環境サービスは、ファイル等の安全な取り扱いと共有を可能にするシステム環境とリモートデスクトップ環境を提供するクラウド型サービスです。大きくは業務を行うシステム環境とリモートデスクトップ環境、この2つを提供するサービスになります。ターゲットとしては、二次発行会社を考えていますが、その他、個人情報やカード情報に準じるような機密情報を扱っている企業でも活用できるサービスです。具体的なサービスイメージですが、利用者は、弊社がクラウド上で用意する業務環境、業務スペースへリモートデスクトップからアクセスし、その中でカード情報の取り扱い業務を行います。弊社は業務環境の提供、サポートデスクのサービス提供を行います。

機能として大きく3つ挙げられます。1つはファイル管理・共有機能です。カードデータが記録されたファイルを暗号化した上で安全に管理・共有できる環境を提供しており、先ほどの求められる対策のところで挙げたファイルと通信の暗号化、ファイルへのアクセス認証、管理機能を実装しています。2つめがリモートデスクトップ機能です。PCI DSSに準拠したリモートデスクトップ環境、具体的にはMicrosoft Officeが利用可能な環境を提供しており、サービスの利用により社員PCのPCI DSS準拠対策が不要になります。3つめはシステム運用で、PCI DSSで求められる要件の中でも運用が大きなポイントになっており、例えば、1日1回セキュリティ関連のログを全部チェックするなど、かなり細かくて大変な要件が定められていますが、その運用部分をすべて弊社が担うサービスになっています。

このサービスのメリットは2つあります。1つは認証を取得するまでの期間を短縮できること。2つめが認証取得・維持コストを抑えることができることです。アプリ要件、Microsoft Azureなどのシステム基盤要件、システム運用要件を、弊社がPCI DSSに準拠したサービスとして提供しますので、お客様は委託先の管理、社内の文書化と教育の部分だけを実施するだけで済みます。これにより、PCI DSSの約400の要件を最大90%ほどカットすることが可能です。PCI DSS準拠にかかるコストは企業によって異なりますが、クラウドサービスを使うということにより、弊社の試算では最大で40%くらい削減できると算定しています。

なお、このサービスは現在開発中であり、仕様等変更になる可能性がありますので、その点はご留意いただければと思います。

クレジットカード情報の保持・通過を回避するIVR決済サービス

次にHOYAサービス提供のIVR決済サービスの概要ですが、主なターゲットはコールセンター、加盟店で、IVR、自動音声応答システムを使った非保持化のソリューションになります。流れとして、お客様から電話による注文があると、オペレータがその注文に基づいて決済金額などを自社の受注システムに入力します。その後、受注システムに入力された情報が、HOYAサービスが用意しているPCI DSSに準拠した環境にあるIVRに転送され、オペレータも同時に電話をIVRに転送します。すると、音声ガイダンスが流れてお客様はそのガイダンスに従ってカード番号を入力します。そうするとIVRでカード番号が入力されて決済に進む、といったサービスになります。

IVR決済サービスの概要

サービスの特徴として、IVRを検討する時に問題になる、「カゴ落ち」という、音声に切り替わったところで電話を切られてしまう問題について、人に近い自然な音声等による防止機能を備えていることが挙げられます。さらに、オペレータがカード番号に触れないので、コールセンターのPCI DSSの準拠が不要となります。そのほか、オプションになりますが、API連携の機能を有していますので、受注システムに一度入力した決済用データをそのまま使用することができ、都度入力に伴う手間を省き、ミスを軽減することができます。また、オペレータへの通話戻し機能を備えている、日本語だけではなくて外国語にも対応する多言語対応、という特徴も備えています。

なお、弊社では、WEBアプリケーションの実行基盤のPCI DSS準拠サービス「PCI DSS準拠セキュアマネージドサービス」も提供しています。そちらもぜひご活用いただければ幸いです。

【参考】PCI DSS準拠セキュアマネージドサービス

▶▶前編へ戻る

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のエクシード ビジネス推進本部 セキュリティグループ PCI DSSコンサルタント 松原 史典氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■株式会社エクシード
ビジネス推進本部 セキュリティグループ
〒141-0022
東京都品川区東五反田3-20-14 高輪パークタワー7F
TEL :03-6422-0021(代表)
URL:http://www.xseed.co.jp/
Email : info@xseed.co.jp

page toppagetop