カードセキュリティ最新情報, カードセキュリティPCI DSS, トップページ用注目ニュース, ペイメントニュース, ペイメント新着情報

PIN入力装置のセキュリティ基準「PCI PTS POI」認定取得の概要は？

2021年3月2日8:00

クレジットカード等の決済取引におけるセキュリティ基準における「PCI PTS POI」認定取得について、テュフズードジャパン株式会社　COM事業部 IEP部シニアセールスエグゼクティブの登山慎一氏に解説してもらった。

※書籍「キャッシュレス・セキュリティガイド」より

PCI PTS POIは、過去にも現在にも、日本国内に評価が可能な試験ラボはない。そのため、国内のベンダーにとって取得のハードルが高い。テュフズードジャパンでは、ドイツのセキュリティラボとのパートナーシップにより、日本国内でPCI PTS POIの認定受付を行っている。今回は、①PCI PTS POIの概要、②関連ドキュメント、③Modular Derived Test requirementsの概要、④認定プロセス、⑤パートナーシップ、の5つのトピックを中心に紹介する。

テュフズードジャパン株式会社　COM事業部 IEP部シニアセールスエグゼクティブの登山慎一氏

PCI PTS POIとは

PCI PTS POIは、Payment Card Industry PIN Transaction Security Point Of Interactionの略である。PCI SSCはセキュリティ基準を策定する協議会であり、2006年にAmerican Express、Discover、JCB、Mastercard、Visaによって設立された。このPCI SSCが策定したPIN入力装置のセキュリティ基準で、決済端末のPIN取引を保護することを目的としているのがPCI PTS POIである。
現在、国内で進められる割賦販売法改正によるセキュリティ対策の強化では、EC取引などの非対面加盟店と、実店舗の対面加盟店に分けて対応が進められている。このPCI PTS POIは後者の対面加盟店での決済において、セキュリティを担保する仕組みの中の一部分になる。対面加盟店は、2020年3月末までにカード情報非保持化または非保持化同等の措置、もしくはPCI DSS準拠が目標とされている。こうしたPCI DSS準拠やPCI P2PEの導入の際に必要となるのが、PCI PTS認証済みのデバイスである。また、それとは別に各国際ブランドが取得を要求している。

PCI PTS POIに関わる主なドキュメント

下記は、PCI PTS POIの評価に関わる主なドキュメントである。いずれもPCI SSCのウェブサイトから入手可能（言語設定を英語にし、ドキュメントライブラリーから入手）。ドキュメントは英語のみのため、言語のサポートが必要な場合はテュフズードが対応可能だ。

– Device Testing and Approval Program Guide (Version 1.9, June 2020)
– Point of Interaction (POI) Modular Security Requirements (Version 6.0, June 2020)
– Point of Interaction (POI) Modular Derived Test Requirements (Version 6.0 June 2020)
– PTS POI Technical FAQs for use with Version 6.0 (December 2020)
– Vendor Release Agreement (Sep 2019)
– Attestation of Validation (AoV) (Jun 2020)

PCI PTS試験で求められるドキュメント－Point of Interaction(POI)Modular Derived Test Requirementsの概要

上記に挙げたドキュメントのうち、主に評価に関わるのがPoint of Interaction(POI)Modular Derived Test Requirementsである。現在のバージョンは6で、2021年6月まで5.1と選択できる。

本ドキュメント（バージョン5.1）のDTRモジュール1では、タンパ検出メカニズムという物理的セキュリティ、ファームウェア認証などの論理的セキュリティ、オンライン・オフラインPINセキュリティに関するコアな要求事項が定義されている。DTRモジュール2では、TOEの識別やカードとラップに対する防御などのPOS端末のインテグレーションに関する要求事項が定義されている。DTRモジュール3では、脆弱性評価や運用テストといったオープンプロトコル要求事項が定義されている。DTRモジュール4では、SRED（Secure Reading Exchange of Data）と呼ばれる安全なデータの読み取りと交換について記載されている。DTRモジュール5では、製造段階や製造拠点からイニシャルキーローディングの施設や、最初に設置する場所までのデバイスマネージメントに関するセキュリティ要件が記載されている。PCI PTS認証取得の評価の際には、指定の手法で要求が満たされているかを確認されるため、要求事項の内容を理解して対策することが必要だ。

バージョン6での主要な変更点は楕円曲線暗号をサポートするための要件「ソフトウェアセキュリティドメイン」を定義し評価するための新規要件の追加や、ファームウェアでの3年の有効期限の設定等である。バージョン５でのDTRモジュールは、バージョン６では４つの項目に再編されているが、内容に大きな変更が入るものではない。バージョン６の評価モジュール１では物理的および論理的セキュリティについて、評価モジュール２ではPOS端末の統合、評価モジュール３では通信とインターフェース、評価モジュール４ではライフサイクルセキュリティについてそれぞれ記載されている。