2018年6月6日8:00

■日本カード情報セキュリティ協議会

PCI DSS情報(期限付き要件、P2PEなど)

どうしても非保持にできない加盟店、カード会社、サービスプロバイダ(PSP)はPCI DSSに取り組む必要があります。PCI DSSは、2004年12月施行、2016年4月にv3.2がリリースされています(2018年5月にv3.2.1が発表済み)。カード情報の漏えいリスクを減じ、不正なアクセスによる被害を拡大させないための合理的な基準です。世界的に統一された基準としてのメリットがあり、記載されるセキュリティ対策は具体的です。

Payment Card Industry Data Security Standard

PCI DSS v3.2の期限付き要件についてご紹介します。6月30日までに対応する要件として、SSL/初期のTLSとTLS1.0以前のバージョン廃止があります。新規の場合、SSLとTLS1.0以前を使用してはならないことになっています。サービスプロバイダは、2016年6月30日までにTLS1.1以降を選択できるサービスを提供すること、既存の実装におけるSSLとTLS1.0以前のバージョンは、2018年6月30日までに廃止しなければならないことになっています。(POS POI端末は条件付きで容認)。6月まではPCI DSSの審査でもセーフでしたが、7月以降の審査では準拠できなくなります。

また、次のとおり2月1日までの期限付きの要件として、BAU (Business As Usual) としてのPCI DSS維持、多要素認証の必須化があります。

システムに変更があった際には変更管理のプロセスに従う必要がありますが、要件6.4.6では、正しいシステムの設定や、ネットワーク図の更新がなされているかを検証することにより、PCIDSS要件へ影響分析を行うことを求めています。

要件12.4.1では、正式なPCI DSS準拠プログラムの確立として、PCI DSS準拠維持に関わる全体の責任を経営層が割り当てることが求められます。また、要件12.11、12.11.1では、四半期ごとの従業員のポリシー遵守状況チェックとして、運用が手順どおりに実施されているかをレビューする要件となっています。(いずれもサービスプロバイダのみの要件)

また、カード情報を大量に扱う事業体、情報漏えいを起こした事業体で、指定事業体向け補足検証のA3.1~A3.5の追加要件への対応が必要です。

多要素認証については、これまでリモートアクセスの際に適用されていた二要素認証が、用語変更となっています。ただし、要件8.3.1にあるとおり、内部のネットワークでも管理アクセスの場合は多要素認証が必要となりました。

これらはシステム投資がありますので、時間的な猶予が必要になります。PCI DSSは日々の運用に気を使っており、リスクが大きくなるとわかっていても運用側の声を聞いて猶予期間を持たせています。PCI DSSの要件は、参加企業となる大手加盟店、システム会社、コンサルティング会社等がワーキングに参加し決められる民主的なものです。

カード情報の保護を高めるための「PCI P2PE(Point-to-Point Encryption)」は、カード情報を読み取ってからセンターまでの間を暗号化するものです。米国では何千という拠点を保有している加盟店企業があり、各拠点のPOSレジやLANなどもPCI DSSの対象となりますが、P2PE認定ソリューションを使用することでPCI DSSスコープの縮小が可能となります。国内の実行計画でもPCI P2PE認定ソリューションを使用している場合、「非保持同等/相当」とみなされます。2018年2月26日現在、グローバルで51のソリューションが認定されており、日本でも認定審査機関が登場しています。

PCI P2PE(PCI Point to Point Encryption)とは?

そのほか、PCI SSCでは、FAQのページを作っており、役立つ情報を提供されています。また、JCDSCのWebサイトでも質問を受け付けていますので、お困りの際はアクセスしてみてください。

割賦販売法や実行計画は遵守しなければいけないもの

まとめとして、割賦販売法や実行計画は遵守しなければいけないものとなっています。まずは、自社のカード情報がどのように管理され、使われているかなど、対象となりうるシステムや業務フローを把握する必要があります。そのために、アクワイアラやベンダーなどの協力を得ることも重要です。

また、自社でPCI DSSを取得する際は、コンサルタントやQSAなどの専門家だのみではなく、PCI SSCなどの公開情報も活用していくことも大切です。また、加盟店は自社でPCI DSSの審査が可能なISAを育成するのも一案です。何よりクレジットカード情報の保護は義務であるため、会社の経営層を巻き込めば、より対応は早く進むでしょう。

▶▶前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」の日本カード情報セキュリティ協議会の講演をベースに加筆を加え、紹介しています。

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP