2019年10月23日8:00
外回りの運用で百貨店などの流通企業を支援
アイティフォーでは、ICカード対応を実現するキャッシュレス決済ソリューション「iRITSpay(アイ・リッツペイ)」において、 2016年12月31日付でPCI DSS Ver3.0に準拠し、毎年審査・更新を継続している。同社のPCI DSS準拠の経緯について話を聞いた。
社内横断で対応に取り組む
センターにはPCI DSSに準拠したAWSを採用
アイティフォーでは、小売業向け基幹システム「RITS」を十数社 の流通企業に提供している。同社では、2015年11月に地方銀行 の琉球銀行から決済端末提供の相談を受けた。その後、受注が決定 し、3月にプロジェクトのキックオフをするとともにPCI DSS準拠 の意思を固め、2016年3月に端末とセンターの開発に着手している。
アイティフォー 流通・eコマースシステム事業部 営業推進部 決 済ビジネス部 営業推進グループ シニアスペシャリスト 望月忍氏は、 「以前のシステムではカード情報は保持していましたが、新たにIC カードと非保持対応をし、センター側もPCI DSSに準拠したセン ターとなりました。2017年1月10日にサービスはキックオフし ましたが、8カ月での対応完了は相当なスピードでできたと思いま す」と成果を述べる。
PCI DSS対応に向けては、他社からの意見・情報を得ながら、技 術企画、システム、コールセンターと、実際の運用に携わる人員 が行った。望月氏は、「今までにないような横断的な組織となりま した」と話す。また、PCI DSSの審査会社からコンサルティングも 受けている。実際にコンサルを受けたのは2016年6月~7月に かけてだったが、順調に対応が進み、PCI DSSへの準拠は同年11 月に完了している。
まずはPCI DSSの対象範囲を絞り込むことに注力。準拠に向け て、データセンターはPCI DSSに準拠したアマゾン・ウェブ・サー ビス(AWS)を採用した。AWSはパブリッククラウドのため、スモー ルスタートが可能で、データが増えた分だけシステムを拡張でき る点も採用を決めた理由のひとつだった。また、ソフトは自社パッ ケージだったが、不都合がある部分は自ら対応している。
ドキュメントの整理が労力に
24時間365日の監視業務を以前から実施
「iRITSpay」は新規で構築したサービスであり、制約事項がほと んどなく代替コントロールは少なかったというが、企業からの要 望でダイヤルアップ(アナログ/ISDN)の対応をする必要があった。 ダイヤルアップの機器(RAS)は古いため、今では常識となってい るセキュリティの機能が未対応だった。具体的には設定の暗号化 通信、時刻同期(NTP)に対応していなかったそうだ。そのため、 セキュリティ専用装置を保管したり、定期的に時刻を確認する等 の運用でカバーしている。
一番大変だったのはドキュメントの整理で、コンサルティング の支援は受けたが、一から自社で作成することとなった。同部分 は労力となったが、結果的にPCI DSSの本質を理解できたことが 収穫だったという。
2020年3月までには従来のパブリッククラウドのPAN情報は削除
地方の百貨店などで外回りによる運用を実施
※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より
