グローリー、GCANセンターで「PCI P2PEソリューション」のプロバイダー認定を取得

2021年2月26日8:00

加盟店に非保持と同等/相当のセキュリティ措置を提供へ

グローリーは、決済情報処理センター「GCAN(ジー・キャン)センター」において、PCI SSCが定める国際的セキュリティ基準「PCI P2PEソリューション」のプロバイダー認定を2019年9月に取得した。同社の取り組みについて話を聞いた。

左からグローリー 開発本部 システム開発統括部 GCANGセンター 開発グループ グループマネージャー 井神大輔氏、同開発グループ チームマネージャー 大塚祥洋氏、同開発グループ 米澤克正氏

流通POSのASP展開に向けP2PE準拠

グローリーが運営する「GCANセンター」は、クレジットカード、電子マネー、デビットカードのセキュアな決済中継・ASPサービスを行うための決済センターとなり、約5万台の端末と接続されている。また、通貨処理や自動販売機などのサービス機器は、病院をはじめ、ホテル、食堂、キャンパスなどさまざまな場所に設置されている。GCANセンターでは、2007年に情報セキュリティマネジメントシステム「ISMS」、2018年3月にペイメントカードの国際セキュリティ基準「PCI DSS」を取得するなど、セキュリティ強化に力を入れてきた。

PCI P2PEソリューション取得に向け、2017年夏から秋にかけてPCI P2PEソリューションの検討を開始。社外セミナーへの参加、「PCI PTS」のセキュリティ要件「SRED(Secure Reading and Exchange of Data)」)」に対応した決済端末を製造するパナソニックなどと打ち合わせを行った。

グローリーでは、病院分野の自動精算機で強みを持つが、流通のPOS市場のASPサービスを展開する際に、加盟店からPCI P2PEソリューションへの対応が求められていた。自動精算機は外回り方式の運用だったが、「大手の量販店は内回りのニーズが多かったです」とグローリー 開発本部 システム開発統括部 GCANGセンター 開発グループ チームマネージャー 大塚祥洋は話す。2020年3月の実行計画の期限に向けて、大手加盟店で非保持化同等相当となる内回り対応を進める世の中の情勢になっていた。

「PCI P2PEソリューション」のプロバイダー認定を取得し、業界最高水準のセキュアな環境でのサービス提供を実現

HSMによる鍵管理が肝に

2017年11月に「P2PE QSA」数社に見積もりを依頼し、12月に審査会社を決定。グローリーが準拠した当時は、国内企業での審査実績があるP2PE QSAがなかったため、以前PA-DSSの準拠を検討した際に協力を得た、NTTデータ先端技術に依頼した。PCI P2PEソリューションには日本語の資料はないが、2018年1月に審査機関によるP2PEの勉強会を開き、スコープの定義や対応方針、パートナー企業の役割について決定した。同6月からQSAによるコンサルティングを受け、事前の対策を行い、2019年2月からP2PEソリューションプロバイダ認定の審査対応を開始した。

準拠に向けては、HSM(ハードウェア・セキュリティ・モジュール)による鍵管理が肝となった。大塚氏は「HSMの機能をバージョンアップする必要がありましたが、対応しているHSMが2019年4月にPCI SSCの認定が切れる製品であり、審査の開始時期と接近していました。その中で、採用したファームウェアがPCI P2PE認定、もしくはFIPS(連邦情報処理規格)認定で審査を受けるかが決まりませんでした」と振り返る。結果的に、エビデンスを揃える苦労はあったが、FIPS認定で対応した。

PCI DSSとの整合性を図って準拠
今後も高度なセキュリティ対策を継続へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP