2021年2月26日8:00
加盟店に非保持と同等/相当のセキュリティ措置を提供へ
グローリーは、決済情報処理センター「GCAN(ジー・キャン)センター」において、PCI SSCが定める国際的セキュリティ基準「PCI P2PEソリューション」のプロバイダー認定を2019年9月に取得した。同社の取り組みについて話を聞いた。
流通POSのASP展開に向けP2PE準拠
グローリーが運営する「GCANセンター」は、クレジットカード、電子マネー、デビットカードのセキュアな決済中継・ASPサービスを行うための決済センターとなり、約5万台の端末と接続されている。また、通貨処理や自動販売機などのサービス機器は、病院をはじめ、ホテル、食堂、キャンパスなどさまざまな場所に設置されている。GCANセンターでは、2007年に情報セキュリティマネジメントシステム「ISMS」、2018年3月にペイメントカードの国際セキュリティ基準「PCI DSS」を取得するなど、セキュリティ強化に力を入れてきた。
PCI P2PEソリューション取得に向け、2017年夏から秋にかけてPCI P2PEソリューションの検討を開始。社外セミナーへの参加、「PCI PTS」のセキュリティ要件「SRED(Secure Reading and Exchange of Data)」)」に対応した決済端末を製造するパナソニックなどと打ち合わせを行った。
グローリーでは、病院分野の自動精算機で強みを持つが、流通のPOS市場のASPサービスを展開する際に、加盟店からPCI P2PEソリューションへの対応が求められていた。自動精算機は外回り方式の運用だったが、「大手の量販店は内回りのニーズが多かったです」とグローリー 開発本部 システム開発統括部 GCANGセンター 開発グループ チームマネージャー 大塚祥洋は話す。2020年3月の実行計画の期限に向けて、大手加盟店で非保持化同等相当となる内回り対応を進める世の中の情勢になっていた。
HSMによる鍵管理が肝に
2017年11月に「P2PE QSA」数社に見積もりを依頼し、12月に審査会社を決定。グローリーが準拠した当時は、国内企業での審査実績があるP2PE QSAがなかったため、以前PA-DSSの準拠を検討した際に協力を得た、NTTデータ先端技術に依頼した。PCI P2PEソリューションには日本語の資料はないが、2018年1月に審査機関によるP2PEの勉強会を開き、スコープの定義や対応方針、パートナー企業の役割について決定した。同6月からQSAによるコンサルティングを受け、事前の対策を行い、2019年2月からP2PEソリューションプロバイダ認定の審査対応を開始した。
準拠に向けては、HSM(ハードウェア・セキュリティ・モジュール)による鍵管理が肝となった。大塚氏は「HSMの機能をバージョンアップする必要がありましたが、対応しているHSMが2019年4月にPCI SSCの認定が切れる製品であり、審査の開始時期と接近していました。その中で、採用したファームウェアがPCI P2PE認定、もしくはFIPS(連邦情報処理規格)認定で審査を受けるかが決まりませんでした」と振り返る。結果的に、エビデンスを揃える苦労はあったが、FIPS認定で対応した。
