グローリー、GCANセンターで「PCI P2PEソリューション」のプロバイダー認定を取得

2021年2月26日8:00

加盟店に非保持と同等/相当のセキュリティ措置を提供へ

グローリーは、決済情報処理センター「GCAN(ジー・キャン)センター」において、PCI SSCが定める国際的セキュリティ基準「PCI P2PEソリューション」のプロバイダー認定を2019年9月に取得した。同社の取り組みについて話を聞いた。

左からグローリー 開発本部 システム開発統括部 GCANGセンター 開発グループ グループマネージャー 井神大輔氏、同開発グループ チームマネージャー 大塚祥洋氏、同開発グループ 米澤克正氏

流通POSのASP展開に向けP2PE準拠

グローリーが運営する「GCANセンター」は、クレジットカード、電子マネー、デビットカードのセキュアな決済中継・ASPサービスを行うための決済センターとなり、約5万台の端末と接続されている。また、通貨処理や自動販売機などのサービス機器は、病院をはじめ、ホテル、食堂、キャンパスなどさまざまな場所に設置されている。GCANセンターでは、2007年に情報セキュリティマネジメントシステム「ISMS」、2018年3月にペイメントカードの国際セキュリティ基準「PCI DSS」を取得するなど、セキュリティ強化に力を入れてきた。

PCI P2PEソリューション取得に向け、2017年夏から秋にかけてPCI P2PEソリューションの検討を開始。社外セミナーへの参加、「PCI PTS」のセキュリティ要件「SRED(Secure Reading and Exchange of Data)」)」に対応した決済端末を製造するパナソニックなどと打ち合わせを行った。

グローリーでは、病院分野の自動精算機で強みを持つが、流通のPOS市場のASPサービスを展開する際に、加盟店からPCI P2PEソリューションへの対応が求められていた。自動精算機は外回り方式の運用だったが、「大手の量販店は内回りのニーズが多かったです」とグローリー 開発本部 システム開発統括部 GCANGセンター 開発グループ チームマネージャー 大塚祥洋は話す。2020年3月の実行計画の期限に向けて、大手加盟店で非保持化同等相当となる内回り対応を進める世の中の情勢になっていた。

「PCI P2PEソリューション」のプロバイダー認定を取得し、業界最高水準のセキュアな環境でのサービス提供を実現

HSMによる鍵管理が肝に

2017年11月に「P2PE QSA」数社に見積もりを依頼し、12月に審査会社を決定。グローリーが準拠した当時は、国内企業での審査実績があるP2PE QSAがなかったため、以前PA-DSSの準拠を検討した際に協力を得た、NTTデータ先端技術に依頼した。PCI P2PEソリューションには日本語の資料はないが、2018年1月に審査機関によるP2PEの勉強会を開き、スコープの定義や対応方針、パートナー企業の役割について決定した。同6月からQSAによるコンサルティングを受け、事前の対策を行い、2019年2月からP2PEソリューションプロバイダ認定の審査対応を開始した。

準拠に向けては、HSM(ハードウェア・セキュリティ・モジュール)による鍵管理が肝となった。大塚氏は「HSMの機能をバージョンアップする必要がありましたが、対応しているHSMが2019年4月にPCI SSCの認定が切れる製品であり、審査の開始時期と接近していました。その中で、採用したファームウェアがPCI P2PE認定、もしくはFIPS(連邦情報処理規格)認定で審査を受けるかが決まりませんでした」と振り返る。結果的に、エビデンスを揃える苦労はあったが、FIPS認定で対応した。

PCI DSSとの整合性を図って準拠
今後も高度なセキュリティ対策を継続へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

指紋認証付クレジットカードやログイン時の本人確認など生体認証技術を使用するコンポーネントの機能、パフォーマンス、セキュリティー試験をお引き受けします。(FIME JAPAN)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP