2014年4月9日12:02
三井住友カードと、NRIセキュアテクノロジーズ(NRIセキュア)は、三井住友カード加盟店のセキュリティを促進するサービスを共同で開発し、2014年4月1日からNRIセキュアが提供を開始した。対象は、ECサイトなどで非対面取引を行う加盟店で、顧客クレジットカード情報に対するセキュリティ対策を促進するという。
「加盟店ウェブサイト向けセキュリティサービス」は、主にEC加盟店のウェブシステムを対象に、セキュリティ対策のレベルアップを支援するサービスと、加盟店が、ペイメントカード業界のグローバルセキュリティ基準である「PCI DSS」について正しい理解を持つことを促進するサービスの2種類で構成される。
サイバー攻撃からカード情報を守るためには、加盟店がPCI DSSに準拠していることが理想的だが、その中でも、PCI DSSで要求される「ASVスキャン」を実施することで、インターネットで公開されるシステムに求められるセキュリティ対策の状況が確認できると同時に、PCI DSSの準拠要件の1つを満たすことが可能だ。
具体的なサービスとしては、「ASVスキャン」の前に、加盟店ウェブサイトの基礎的なセキュリティ状況を確認するサービスを提供する。予備調査として、クレジットカード情報を狙うハッカーからは、サイトがどのように見えているかを、当該加盟店のウェブサイト情報を収集して確認する。また、その結果は、目標レベルであるASVスキャンを実施できる状況かどうか、の判断にも使うことができるという。今回、三井住友カード加盟店限定で、手軽に且つ安価に受けられる仕様にカスタマイズし、提供するそうだ。
ASVスキャンは、「PCI認定スキャニングベンダー(ASV)」であるNRIセキュアが、年4回、同サービスに加入した加盟店のインターネットサイトに対して実施。すべてのスキャンに合格すると、PCI DSSの準拠要件の1つを満たすことができる。予備調査とASVスキャンを実施した加盟店には、ASVスキャンの結果報告と共に、PCI DSS自己診断チェックシートにより、PCI DSSに準拠するためのステップについて解説。同サービスはNRIセキュアの既存サービスだが、三井住友カード加盟店には特別価格を設定し提供する。
そのほか、NRIセキュアは、PCI DSSに準拠した審査を行う監査人を講師として、詳しい解説とアドバイスを行う勉強会を実施する。今回のサービスでは、三井住友カード加盟店のみを対象として年2回の勉強会開催を予定している。
