2021年3月2日8:00

クレジットカード等の決済取引におけるセキュリティ基準における「PCI PTS POI」認定取得について、テュフズードジャパン株式会社 COM事業部 IEP部 シニアセールスエグゼクティブの登山慎一氏に解説してもらった。

※書籍「キャッシュレス・セキュリティガイド」より

PCI PTS POIは、過去にも現在にも、日本国内に評価が可能な試験ラボはない。そのため、国内のベンダーにとって取得のハードルが高い。テュフズードジャパンでは、ドイツのセキュリティラボとのパートナーシップにより、日本国内でPCI PTS POIの認定受付を行っている。今回は、①PCI PTS POIの概要、②関連ドキュメント、③Modular Derived Test requirementsの概要、④認定プロセス、⑤パートナーシップ、の5つのトピックを中心に紹介する。

テュフズードジャパン株式会社 COM事業部 IEP部 シニアセールスエグゼクティブの登山慎一氏

PCI PTS POIとは

PCI PTS POIは、Payment Card Industry PIN Transaction Security Point Of Interactionの略である。PCI SSCはセキュリティ基準を策定する協議会であり、2006年にAmerican Express、Discover、JCB、Mastercard、Visaによって設立された。このPCI SSCが策定したPIN入力装置のセキュリティ基準で、決済端末のPIN取引を保護することを目的としているのがPCI PTS POIである。
現在、国内で進められる割賦販売法改正によるセキュリティ対策の強化では、EC取引などの非対面加盟店と、実店舗の対面加盟店に分けて対応が進められている。このPCI PTS POIは後者の対面加盟店での決済において、セキュリティを担保する仕組みの中の一部分になる。対面加盟店は、2020年3月末までにカード情報非保持化または非保持化同等の措置、もしくはPCI DSS準拠が目標とされている。こうしたPCI DSS準拠やPCI P2PEの導入の際に必要となるのが、PCI PTS認証済みのデバイスである。また、それとは別に各国際ブランドが取得を要求している。

PCI PTS POIに関わる主なドキュメント

下記は、PCI PTS POIの評価に関わる主なドキュメントである。いずれもPCI SSCのウェブサイトから入手可能(言語設定を英語にし、ドキュメントライブラリーから入手)。ドキュメントは英語のみのため、言語のサポートが必要な場合はテュフズードが対応可能だ。

– Device Testing and Approval Program Guide (Version 1.9, June 2020)
– Point of Interaction (POI) Modular Security Requirements (Version 6.0, June 2020)
– Point of Interaction (POI) Modular Derived Test Requirements (Version 6.0 June 2020)
– PTS POI Technical FAQs for use with Version 6.0 (December 2020)
– Vendor Release Agreement (Sep 2019)
– Attestation of Validation (AoV) (Jun 2020)

PCI PTS試験で求められるドキュメント-Point of Interaction(POI)Modular Derived Test Requirementsの概要

上記に挙げたドキュメントのうち、主に評価に関わるのがPoint of Interaction(POI)Modular Derived Test Requirementsである。現在のバージョンは6で、2021年6月まで5.1と選択できる。

本ドキュメント(バージョン5.1)のDTRモジュール1では、タンパ検出メカニズムという物理的セキュリティ、ファームウェア認証などの論理的セキュリティ、オンライン・オフラインPINセキュリティに関するコアな要求事項が定義されている。DTRモジュール2では、TOEの識別やカードとラップに対する防御などのPOS端末のインテグレーションに関する要求事項が定義されている。DTRモジュール3では、脆弱性評価や運用テストといったオープンプロトコル要求事項が定義されている。DTRモジュール4では、SRED(Secure Reading Exchange of Data)と呼ばれる安全なデータの読み取りと交換について記載されている。DTRモジュール5では、製造段階や製造拠点からイニシャルキーローディングの施設や、最初に設置する場所までのデバイスマネージメントに関するセキュリティ要件が記載されている。PCI PTS認証取得の評価の際には、指定の手法で要求が満たされているかを確認されるため、要求事項の内容を理解して対策することが必要だ。

バージョン6での主要な変更点は楕円曲線暗号をサポートするための要件「ソフトウェアセキュリティドメイン」を定義し評価するための新規要件の追加や、ファームウェアでの3年の有効期限の設定等である。バージョン5でのDTRモジュールは、バージョン6では4つの項目に再編されているが、内容に大きな変更が入るものではない。バージョン6の評価モジュール1では物理的および論理的セキュリティについて、評価モジュール2ではPOS端末の統合、評価モジュール3では通信とインターフェース、評価モジュール4ではライフサイクルセキュリティについてそれぞれ記載されている。

PCI PTS試験における認定プロセス

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

指紋認証付クレジットカードやログイン時の本人確認など生体認証技術を使用するコンポーネントの機能、パフォーマンス、セキュリティー試験をお引き受けします。(FIME JAPAN)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP