2022年4月15日8:30
2022年3月現在、ルミーズはPCI P2PEソリューション認定を4サービス、PCI P2PEコンポーネント認定を2サービスで取得している。同社では、“Payment SIer”として、P2PE認定実績は国内№1となっており、認定支援のサービスも提供しているそうだ。同分野に詳しい、ルミーズ 開発部 部長 大池絢輔氏にPCI P2PEについて解説してもらった。(書籍「ペイメントビジネス・セキュリティ対策の仕組み」より)
※PCI P2PE はPCI Point-to-Point Encryptionの略
PCI DSSの監査項目はわずか33項目に
PCI P2PEは、決済端末で読み取ったカード情報を直ちに暗号化し、決済センターの復号化ポイントまで安全に保護するためのセキュリティ要件だ。拠点間として、暗号化ポイントと決済端末と復号化ポイントであるHSM(Hardware Security Module)の間でカード情報を安全にやり取りするための要件となる。暗号化として、DUKPTの技術が使われており、トランザクションごとに異なるワンタイムの暗号鍵を使って、暗号化、復号化を行う方式となる。一般的な暗号化はあらかじめ決済端末とHSMが共通の秘密鍵を持たせて、同じ鍵で暗号化と復号化を行う。そのため、鍵情報が漏洩すると、芋づる式にすべての情報が筒抜けになってしまうが、DUKPTでは鍵情報が仮に盗まれたとしても復号化できる情報は1トランザクションのみとなるセキュアな方式となる。
カード情報の非保持化のための接続方式として、クレジット取引セキュリティ対策協議会の「クレジットカード・セキュリティガイドライン」では、「外回り方式」「内回り方式」の二方式が提示されている。外回り方式では、加盟店のシステムと連動しない独立した端末で決済をする方式となる。特徴として、カード情報が加盟店のサーバやネットワークなどのシステムを通過しない代わりに、既存業務フローやシステムフローに大きな変更が必要となる場合もあるという。対して、内回り方式は、暗号化したカード情報が加盟店のシステム内を通過する方式となる。特徴として、決済機能を独立させることが難しい場合でも既存業務フローをほぼそのまま維持でき、システムフローも小幅な変更で済む。ただし、加盟店のシステム内をカード情報が通過するため、11項目のセキュリティ要件を満たす必要がある。PCI P2PE認定ソリューションを導入すれば、11項目が不要となる。
加盟店がPCI DSSを取得する場合、通常の監査項目は400項目の要件を満たす必要があるが、PCI P2PEの「SAQ P2PE」適用で監査項目はわずか33項目に押さえることができるという。
PCI P2PE v3.1の要件に関しては、ドメイン1~5に加え、追加要件のANNEXがある。主に鍵管理や端末管理に焦点が当てられている。必ずしも全てのドメインを満たす必要はなく、ソリューションによって不要なものもある。ドメイン2では、端末内での暗号化をする前の、平文でのカード情報へのアクセスがあるドメインになるが、端末によってはファームウェアのみで動いたり、アプリを載せられない端末はPCI PTSの要件でカバーできるため、端末によっては対象外になる。ただ、暗号化、復号化環境、暗号鍵といったデータ保護に関連した要件は対応が不可欠になる。
