ソーシャルで集金決済~資金を効率的に集める決済方法(NCBレポート2012年5月号)
書籍「NFCビジネス完全ガイド」好評受付中、5月末までは先行特典を実施
書籍「PCI DSSのすべて」~初心者でもわかるペイメントカードの世界基準~
「中国ビジネスレポート」をスペシャルプライスで提供
New Payment Report 2011 電子版の販売を開始(NCB)
カードマーケティングガイド~ポイントカード・ICカードの動向を完全網羅~日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得
2011年9月26日8:00
日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得
NTTデータのPastelPortと連携しより安全な通信を実現
日本NCRとNTTデータは、2011年9月9日、両社が開発した決済アプリケーション・ソフトウェアが、PCIDSSやPCI PTSなど、ペイメントカードの国際セキュリティ基準を管理する団体であるPCI SSC(Payment Card Industry Security Standards Council)から、国内初のPA-DSS(Payment Application Data Security Standard)Version 2.0認定を取得した。
国内で初めて2008年にPA-DSSに準拠
POSからセンターまで包括的にセキュリティを確保
PA-DSSは、クレジットカードなどの決済アプリケーションを開発・販売するPOSベンダーなどが準拠対象となる。日本NCRでは国内向けの製品としてははじめて、2008年にPA-DSS Version1.1に準拠している。
「もともと弊社の決済アプリは、2008年にPA-DSS Version 1.1を取得しましたが、PCI SSCの定めるガイドラインでは、2つバージョンが上がると更新が求められていたため、今回準拠を決意しました」(日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏)
日本NCRとNTTデータの決済アプリケーション・ソフトウェアのイメージ
今回の認定を取得したのは、日本NCRの決済アプリケーション・ソフトウェア「NCR Retail Enterprise Solution – ePayment(リテイル・エンタープライズ・ソリューション – イー・ペイメント)」とNTTデータが提供するクレジットカードの決済サービス、「PastelPort(パステルポート)」である。NCR Retail Enterprise Solution – ePaymentには、PastelPortと接続するためのソフトウェアが標準で組み込まれているため、POSからPastelPortセンターまで包括的にセキュリティを確保できるという。
「NTTデータでは、PastelPortで通信するためのクライアント・ソフトウェアを提供されていますが、通信ソフトだけでは、PA-DSSに準拠できませんでしたので、弊社のような決済アプリケーション・ソフトウェアを提供する企業との組み合わせが必要になりました」(野沢氏)
また、NCRにとっても通信する相手が曖昧だと決済アプリケーションとして不完全なものになる。その点、「PastelPortはPCI DSSの審査も受けていたため、安全な相手に通信できるという意味で、パートナーとしては最適でした」と野沢氏は連携の経緯を口にする。
前回の審査よりもPA-QSAの要求が高まる
文書はもちろん、その内容まで細かいチェックを受ける
2.0の審査に向けては、「1.1に比べ、審査の基準が厳しくなった分、準拠への道のりは険しいものとなりました」と野沢氏は打ち明ける。
具体的には暗号化の部分の難易度が上がった点、そして、PA-DSSの審査を担当するPA-QSAの品質をPCI SSCが審査することになったため、審査のハードルが上がった点だ。
日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏
これは、米国においてPCI DSSの認定セキュリティ評価機関である「QSA」やPA-QSAが、審査時に公正を欠くなどの問題が過去にあったため、PCI SSCが審査機関を審査する「品質保証プログラム」制度ができたためだ。同制度により、実際の審査ではこれまで口頭で済んでいた部分がドキュメントとして証跡を残さなければならなくなり、QSAも審査過程において明確なエビデンスを示さなければならなくなった。
「今回の審査では、文書だけではなく、内容面まで細かくチェックされました。また、製品自体がセキュリティを保持していることはもちろん、開発プロセス時のセキュリティ品質も問われるようになりました」(野沢氏)
具体的には、セキュリティホールができないようなレビュー体制を敷いているか、鍵の漏えいを防止するような管理体制をとっているかなど、組織自体の運営を見直さなければならなくなった。
NTTデータのPastelPortについては、PA-DSS Version 1.1にも準拠していなかったため、「セキュリティ上の問題も含め、2.0に準拠するためにパッケージの更新を行っていただきました」と野沢氏は話す。
なお、審査に関しては前回同様にNTTデータ先端技術(旧NTTデータ・セキュリティ)に依頼した。対応コストについては、1.1で蓄積したベースがあるため、その半分程度の金額で準拠が達成できたという。
最近は顧客企業からも
PA-DSS準拠のリクエストが増える
そもそも、同社が国内でいち早くPA-DSSに準拠したのは、POSシステムへのセキュリティ面の不安を考えたからである。米国ではPCI DSSの準拠が証明されたPOSアプリケーションの使用が義務化されており、NCRだけでなく、ほかの会社もPA-DSSに準拠したパッケージを販売している。日本では、POSからのカード番号の情報漏えいなどは顕在化していないが、「国内のPOS加盟店などもカード番号漏えいのリスクは大きい」と野沢氏は考えている。
同社が、2008年7月にリリースしたPA-DSS準拠の「NCR RealGate Payment(NCRリアルゲイト決済)」に関しては、「当時は、加盟店の認知度も低く、PA-DSSのパッケージとしての引き合いはそれほどありませんでしたが、最近では『Request for Proposal』をもらう際に『PA-DSS準拠』の文字が散見されるようになりました」と野沢氏は話す。
NCR Retail Enterprise Solution – ePaymentは、カード決済に関する部分を独立してパッケージ化しているため日本NCR製のPOSはもとより、NTTデータのPastelPortと接続して他社製のPOSをはじめとする各種カード決済端末にも導入が可能な点が特徴となっている。また、さまざまな電子マネーの規格にも対応した。すでに電子マネーの部分では大手家電量販店での採用が決定しているそうだ。
なお、PastelPort以外の別の決済サービスに接続する場合は、「決済サービスが変わった時点で通信時のセキュリティが変わるため、追加の審査が必要になる」と野沢氏は説明する。
価格に関してはパッケージの導入規模によって変動する。野沢氏は、「少なくても弊社のPOS加盟店からカード番号の漏えいがあっては困りますので、既存顧客のPOSの入れ替え時にはNCR Retail Enterprise Solution – ePaymentの導入を進めていく方針です」と話す。また、同パッケージによる新規顧客の開拓にもつなげていきたいとしている。
PCIDSSサービスの資料請求
関連記事
- 国内初のPA-DSS Version 2.0認定を取得(日本NCR/NTTデータ)
- PCI DSS Version 2.0の発効から半年、続々と準拠企業が登場
- PCI DSS Version 1.2に完全準拠(デジタルチェック)
- ジィ・シィ企画がPCI DSS Version 1.2に準拠
- PCI DSS Version 1.2の認定を取得(ソフトバンク・テクノロジー)
- PCI DSS Version 2.0に完全準拠(ゼウス)
- インターネットプロバイダーサービスにおいてPCI DSS Version 2.0に完全準拠(So-net)
- PCI SSC、PCI基準の改定サイクルを2年から3年に変更
- 特権IDの集中管理、制御、監査を実現する「PIM Enterprise Suite」(ディアイティ)
- 「カードセキュリティの最新動向」
関連記事
[Focus記事カテゴリの最新記事]
- クーポン販売総数1,000万枚を突破した「GROUPON」の戦略は?(グルーポン・ジャパン)
- 店舗の空席時を利用して時間・枚数限定のクーポンを連携(ロケーションバリュー)
- ジオサービスから決済までO2Oサービスを強化(Yahoo! JAPAN)
- スマートフォンを利用した共通ポイントプログラム「スマポ」を展開(スポットライト)
- 「Edy」「iD」の電子マネーや「プロン女カード」を販促に活用(プロントコーポレーション)
[カードセキュリティ 最新情報カテゴリの最新記事]
- 「銀聯ネット決済」において新たな認証スキームを導入(三井住友カード/ベリトランス)
- 外部調査機関によるフォレンジック調査を行い、PCI DSS準拠などの対策を予定(ベクター)
- PCI DSSの普及に向け取り組む日本カード情報セキュリティ協議会が定時会員総会を開催
- 暗号化ファイル伝送ツール「Confidential Posting」を販売開始(富士通FIP)
- EMV、VISA認証サービス、PCI DSSなどカード決済のセキュリティ対策に力を入れる(Visa)
[トップページ用注目ニュースカテゴリの最新記事]
- オンラインクーポンや「TSUTAYAサーチ」などの店舗販促に力を入れる(TSUTAYAカンパニー)
- 中国工商銀行と提携し、現地在住者向けJCBカードを発行(JCB/JCBI)
- 「求人情報ナビゲーション」の掲載をスタート(TIプランニング)
- クーポン販売総数1,000万枚を突破した「GROUPON」の戦略は?(グルーポン・ジャパン)
- 北海道のスーパー「北雄ラッキー」と提携カードを発行(ジャックス)
