メールマガジン登録
Rss X-twitter Facebook-f

PCI DSSの最新動向と国内での今後の方向性(下)

2018年6月6日8:00

■日本カード情報セキュリティ協議会

PCI DSS情報(期限付き要件、P2PEなど)

どうしても非保持にできない加盟店、カード会社、サービスプロバイダ(PSP)はPCI DSSに取り組む必要があります。PCI DSSは、2004年12月施行、2016年4月にv3.2がリリースされています(2018年5月にv3.2.1が発表済み)。カード情報の漏えいリスクを減じ、不正なアクセスによる被害を拡大させないための合理的な基準です。世界的に統一された基準としてのメリットがあり、記載されるセキュリティ対策は具体的です。

Payment Card Industry Data Security Standard

PCI DSS v3.2の期限付き要件についてご紹介します。6月30日までに対応する要件として、SSL/初期のTLSとTLS1.0以前のバージョン廃止があります。新規の場合、SSLとTLS1.0以前を使用してはならないことになっています。サービスプロバイダは、2016年6月30日までにTLS1.1以降を選択できるサービスを提供すること、既存の実装におけるSSLとTLS1.0以前のバージョンは、2018年6月30日までに廃止しなければならないことになっています。(POS POI端末は条件付きで容認)。6月まではPCI DSSの審査でもセーフでしたが、7月以降の審査では準拠できなくなります。

また、次のとおり2月1日までの期限付きの要件として、BAU (Business As Usual) としてのPCI DSS維持、多要素認証の必須化があります。

システムに変更があった際には変更管理のプロセスに従う必要がありますが、要件6.4.6では、正しいシステムの設定や、ネットワーク図の更新がなされているかを検証することにより、PCIDSS要件へ影響分析を行うことを求めています。

要件12.4.1では、正式なPCI DSS準拠プログラムの確立として、PCI DSS準拠維持に関わる全体の責任を経営層が割り当てることが求められます。また、要件12.11、12.11.1では、四半期ごとの従業員のポリシー遵守状況チェックとして、運用が手順どおりに実施されているかをレビューする要件となっています。(いずれもサービスプロバイダのみの要件)

また、カード情報を大量に扱う事業体、情報漏えいを起こした事業体で、指定事業体向け補足検証のA3.1~A3.5の追加要件への対応が必要です。

多要素認証については、これまでリモートアクセスの際に適用されていた二要素認証が、用語変更となっています。ただし、要件8.3.1にあるとおり、内部のネットワークでも管理アクセスの場合は多要素認証が必要となりました。

これらはシステム投資がありますので、時間的な猶予が必要になります。PCI DSSは日々の運用に気を使っており、リスクが大きくなるとわかっていても運用側の声を聞いて猶予期間を持たせています。PCI DSSの要件は、参加企業となる大手加盟店、システム会社、コンサルティング会社等がワーキングに参加し決められる民主的なものです。

カード情報の保護を高めるための「PCI P2PE(Point-to-Point Encryption)」は、カード情報を読み取ってからセンターまでの間を暗号化するものです。米国では何千という拠点を保有している加盟店企業があり、各拠点のPOSレジやLANなどもPCI DSSの対象となりますが、P2PE認定ソリューションを使用することでPCI DSSスコープの縮小が可能となります。国内の実行計画でもPCI P2PE認定ソリューションを使用している場合、「非保持同等/相当」とみなされます。2018年2月26日現在、グローバルで51のソリューションが認定されており、日本でも認定審査機関が登場しています。

PCI P2PE(PCI Point to Point Encryption)とは?

そのほか、PCI SSCでは、FAQのページを作っており、役立つ情報を提供されています。また、JCDSCのWebサイトでも質問を受け付けていますので、お困りの際はアクセスしてみてください。

割賦販売法や実行計画は遵守しなければいけないもの

まとめとして、割賦販売法や実行計画は遵守しなければいけないものとなっています。まずは、自社のカード情報がどのように管理され、使われているかなど、対象となりうるシステムや業務フローを把握する必要があります。そのために、アクワイアラやベンダーなどの協力を得ることも重要です。

また、自社でPCI DSSを取得する際は、コンサルタントやQSAなどの専門家だのみではなく、PCI SSCなどの公開情報も活用していくことも大切です。また、加盟店は自社でPCI DSSの審査が可能なISAを育成するのも一案です。何よりクレジットカード情報の保護は義務であるため、会社の経営層を巻き込めば、より対応は早く進むでしょう。

▶▶前編へ戻る

※本記事は2018年3月2日に開催された「ペイメントカード・セキュリティフォーラム2018」の日本カード情報セキュリティ協議会の講演をベースに加筆を加え、紹介しています。

カード決済&リテールサービスの強化書

関連記事

こちらもおすすめ
  1. PCI DSSの最新動向と国内での今後の方向性(上)
  2. P2PEアプリケーションのセキュリティ評価機関PA-QSA(P2PE)として認定(NTTデータ先端技術)
  3. PCI DSS準拠に必要な審査項目を削減可能なPoint to Point暗号化プログラムの「P2PE QSA」として認定(BBSec)
  4. ネットムーブが国内初、PCI P2PEソリューション認定取得
  5. 決済セキュリティ強化に向けたPCI DSS、PA-DSS、P2PE基準のポイント
  6. PCI SSCが東京でコミュニティミーティング開催、国内外セキュリティ関係者が多数参加

ペイメントニュース最新情報

1205dnpseminar
kyokasho2025

MAILMAGAZINE

無料メルマガ登録

PAYMENTNAVI LOVE

無料会員登録

feitian
ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)
itnavi

国内最大級のクレジットカード情報データベース(アイティーナビ)

netstarslogo
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
gmopg

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

remise
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
tmn
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
infcurion3
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
scudetto_logo
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
zeus2
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
toppan
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
dgft
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
exa
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
akuru
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
rogo3

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

3inc
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
netmove1_logo

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

dnp

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

TAG
3-Dセキュア BtoB CLO EMV FeliCa HSM IC乗車券 ID決済 NCB NFC P2PE PCI DSS PCI DSS準拠事例 Pro2021 Pro2022 Pro2023 Pro2024 インバウンド キャッシュカード キャリア決済 ギフトカード クレジットカード クレジットカード会社 デビットカード トークナイゼーション プリペイドカード ポイントカード マイナンバー マーケティング モバイル モバイルペイメント 不正検知(フラウド) 個品割賦 公金決済 共通ポイント 地域通貨 外貨決済 後払い 決済端末 法人カード 海外情報 無料会員コンテンツ 越境EC 送金 電子マネー
paymentnavi-shiro

© Copyright payment navi. All Rights Reserved.

本サイトの掲載記事、写真・画像の無断転載・複製を固く禁じます。記載されているロゴや製品・システム名は各社および商標権者の登録商標・商標です。

PAGE TOP