日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得

2011年9月26日8:00

日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得
NTTデータのPastelPortと連携しより安全な通信を実現

日本NCRとNTTデータは、2011年9月9日、両社が開発した決済アプリケーション・ソフトウェアが、PCIDSSやPCI PTSなど、ペイメントカードの国際セキュリティ基準を管理する団体であるPCI SSC(Payment Card Industry Security Standards Council)から、国内初のPA-DSS(Payment Application Data Security Standard)Version 2.0認定を取得した。

国内で初めて2008年にPA-DSSに準拠

POSからセンターまで包括的にセキュリティを確保

PA-DSSは、クレジットカードなどの決済アプリケーションを開発・販売するPOSベンダーなどが準拠対象となる。日本NCRでは国内向けの製品としてははじめて、2008年にPA-DSS Version1.1に準拠している。

「もともと弊社の決済アプリは、2008年にPA-DSS Version 1.1を取得しましたが、PCI SSCの定めるガイドラインでは、2つバージョンが上がると更新が求められていたため、今回準拠を決意しました」(日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏)

日本NCRとNTTデータの決済アプリケーション・ソフトウェアのイメージ

今回の認定を取得したのは、日本NCRの決済アプリケーション・ソフトウェア「NCR Retail Enterprise Solution – ePayment(リテイル・エンタープライズ・ソリューション – イー・ペイメント)」とNTTデータが提供するクレジットカードの決済サービス、「PastelPort(パステルポート)」である。NCR Retail Enterprise Solution – ePaymentには、PastelPortと接続するためのソフトウェアが標準で組み込まれているため、POSからPastelPortセンターまで包括的にセキュリティを確保できるという。

「NTTデータでは、PastelPortで通信するためのクライアント・ソフトウェアを提供されていますが、通信ソフトだけでは、PA-DSSに準拠できませんでしたので、弊社のような決済アプリケーション・ソフトウェアを提供する企業との組み合わせが必要になりました」(野沢氏)

また、NCRにとっても通信する相手が曖昧だと決済アプリケーションとして不完全なものになる。その点、「PastelPortはPCI DSSの審査も受けていたため、安全な相手に通信できるという意味で、パートナーとしては最適でした」と野沢氏は連携の経緯を口にする。

前回の審査よりもPA-QSAの要求が高まる

文書はもちろん、その内容まで細かいチェックを受ける

2.0の審査に向けては、「1.1に比べ、審査の基準が厳しくなった分、準拠への道のりは険しいものとなりました」と野沢氏は打ち明ける。

具体的には暗号化の部分の難易度が上がった点、そして、PA-DSSの審査を担当するPA-QSAの品質をPCI SSCが審査することになったため、審査のハードルが上がった点だ。

日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏

これは、米国においてPCI DSSの認定セキュリティ評価機関である「QSA」やPA-QSAが、審査時に公正を欠くなどの問題が過去にあったため、PCI SSCが審査機関を審査する「品質保証プログラム」制度ができたためだ。同制度により、実際の審査ではこれまで口頭で済んでいた部分がドキュメントとして証跡を残さなければならなくなり、QSAも審査過程において明確なエビデンスを示さなければならなくなった。

「今回の審査では、文書だけではなく、内容面まで細かくチェックされました。また、製品自体がセキュリティを保持していることはもちろん、開発プロセス時のセキュリティ品質も問われるようになりました」(野沢氏)

具体的には、セキュリティホールができないようなレビュー体制を敷いているか、鍵の漏えいを防止するような管理体制をとっているかなど、組織自体の運営を見直さなければならなくなった。

NTTデータのPastelPortについては、PA-DSS Version 1.1にも準拠していなかったため、「セキュリティ上の問題も含め、2.0に準拠するためにパッケージの更新を行っていただきました」と野沢氏は話す。

なお、審査に関しては前回同様にNTTデータ先端技術(旧NTTデータ・セキュリティ)に依頼した。対応コストについては、1.1で蓄積したベースがあるため、その半分程度の金額で準拠が達成できたという。

最近は顧客企業からも

PA-DSS準拠のリクエストが増える

そもそも、同社が国内でいち早くPA-DSSに準拠したのは、POSシステムへのセキュリティ面の不安を考えたからである。米国ではPCI DSSの準拠が証明されたPOSアプリケーションの使用が義務化されており、NCRだけでなく、ほかの会社もPA-DSSに準拠したパッケージを販売している。日本では、POSからのカード番号の情報漏えいなどは顕在化していないが、「国内のPOS加盟店などもカード番号漏えいのリスクは大きい」と野沢氏は考えている。

同社が、2008年7月にリリースしたPA-DSS準拠の「NCR RealGate Payment(NCRリアルゲイト決済)」に関しては、「当時は、加盟店の認知度も低く、PA-DSSのパッケージとしての引き合いはそれほどありませんでしたが、最近では『Request for Proposal』をもらう際に『PA-DSS準拠』の文字が散見されるようになりました」と野沢氏は話す。

NCR Retail Enterprise Solution – ePaymentは、カード決済に関する部分を独立してパッケージ化しているため日本NCR製のPOSはもとより、NTTデータのPastelPortと接続して他社製のPOSをはじめとする各種カード決済端末にも導入が可能な点が特徴となっている。また、さまざまな電子マネーの規格にも対応した。すでに電子マネーの部分では大手家電量販店での採用が決定しているそうだ。

なお、PastelPort以外の別の決済サービスに接続する場合は、「決済サービスが変わった時点で通信時のセキュリティが変わるため、追加の審査が必要になる」と野沢氏は説明する。

価格に関してはパッケージの導入規模によって変動する。野沢氏は、「少なくても弊社のPOS加盟店からカード番号の漏えいがあっては困りますので、既存顧客のPOSの入れ替え時にはNCR Retail Enterprise Solution – ePaymentの導入を進めていく方針です」と話す。また、同パッケージによる新規顧客の開拓にもつなげていきたいとしている。

⇒⇒特集トップへ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP