2021年7月9日8:20
FIME JAPANが決済関係の技術を解説する本コーナー。今回は、PCI SSCが策定しているセキュリティ基準「PCI-PTS」の必要性と認証クラス(Non-PEDとSCR)について紹介してもらった。
記事のポイント!
①さまざまな加盟店でPCI-PTS認証端末が使用される
②PCI-PTSは国際ブランドが求めているが一部例外が存在
③暗証番号を入力しない端末もPCI-PTSを取得可能
④Approval Classとは?
⑤Non-PEDとは?
⑥Secure Card Readerとは?
⑦Approval Classも検討した上で要不要を判断へ
現在、キャッシュレス環境強化の流れに従いさまざまな加盟店でPCI-PTS認証端末が使われている。PCI-PTS認証は基本的に国際ブランドが必要としている。これはブランド認定時にPCI-PTS認証番号を確認することに起因している。その他のケースでは、“クレジットカード・セキュリティガイドライン【2.0 版】 ”(クレジット取引セキュリティ対策協議会)にて、PCI-P2PEが求められるケースが存在する。このケースは、内回り通信方式という加盟店内部ネットワークを通じて決済を実施するケースに適用されるものである。内回り方式の場合について、必ずPCI-P2PEが必要である訳ではないが、PCI-P2PEを取得するのであれば端末は必ずPCI-PTS認証端末が必要となる。加えて、SRED(Secure Reading and Exchange of Data)というクレジットカードデータを保護するためのオプションを認定対象にする必要がある。
PCI-PTS認証は基本的には国際ブランドが求めているものとなっているが、一部例外が存在する。この例外とはPIN(暗証番号)を入力しない端末についてである。この場合、条件によってはPCI-PTS認証番号を確認せずにブランド試験を実施することが可能である。PCI-PTS認証の要不要の最終判断は端末設置をするカード会社が国際ブランドと意思統一した上で判断されるものであり、場合によってはPCI-PTS認証が必要と判断されることもある。
PCI-PTSは広く認知されている通り、非常に強いセキュリティ基準である。例えば端末が開封された時に内部に保存されている暗号鍵や暗証番号等を、瞬時に消去することが定められていたり、ラボと呼ばれるPCIが認証した組織が実際に攻撃する等で基準を満たしていることが確認される。
暗証番号を入力しない端末についてもPCI-PTSを取得することが可能である。国内での例は多くないが、それがPCI-PTSにおける認証クラス(Approval Class)のNon-PED(Non PIN Entry Device)とSCR(Secure Card Reader)である。今回はこの2つを解説する。
