2014年7月28日8:00国際ブランドプリペイドカード事業開始にあわせてPCI DSSに完全準拠国内で普及が進むブランドプリペイドカードを強固なセキュリティでサポート
ギフト・プリペイドカードサービスを提供するバリューデザインは、国際ペイメントブランドプリペイドカード事業開始にあわせて、「PCI DSS Version2.0」に完全準拠し、運用を継続している。「au WALLET」「ココカラクラブカード」等国際ブランドプリペイドカードは、今後の普及が大きく期待されており、バリューデザインでは、強固なセキュリティを武器にプリペイドカードサービスを提供している。
「Visa Net」への接続の条件としてPCI DSSに準拠
PCIDSSにあわせてシステムを新たに構築
バリューデザインでは、ブランドプリペイドカード事業が2013年7月のサービスインに向けてPCI DSSの取得準備を開始した。Visa向けブランドプリペイドサービスでは、Visaのネットワークである「Visa Net」に接続するときの前提条件としてPCI DSSに準拠する必要があったそうだ。同社では、過去にハウスプリペイド事業においてPCI DSSの調査を実施していたこともあり、スムーズに準拠に向けて動き出すことができたという。
ブランドプリペイド事業に向け、PCI DSSに合わせてシステムを新たに構築したため、準備はしやすかったが、対象範囲の特定とスコープの範囲については模索しながら進めたそうだ。また、準拠に向けては、セコムトラストシステムズ(株)の支援を受けた。
QSA(認定セキュリティ評価機関)による審査は、2013年2月に受診した。また、予備審査を2012年10月に受けている。ただ、2013年2月の段階ではサービスをスタートしていなかったため、初回の審査は、スムーズに準拠ができたそうだ。
ネットワーク設計、システムはPCI DSSに合わせて構築
プライバシーマークによる文章も活用
準拠に向け、一番苦労したのは、運用期間と構築期間が混ざる部分のファイアウォールの設定だ。カード情報が伝送される部分はファイアウォールでセグメントを分けて、アプリケーションサーバはセグメントからのみにアクセスできるようにしている。また、ネットワーク設計、システムはPCI DSSに合わせて構築した。
さらに、暗号化の部分はHSM(ハードウェア・セキュリティ・モジュール)を導入したが、「導入当初は、仕様の理解や開発を含め、分からないことも多かったです」とバリューデザイン システム部運用・監視チーム リーダー 根本英行氏は苦労を打ち明ける。
さらに、要件対応に加え、準拠に向けた資料の作成も大変だったという。ベースの資料はコンサルティング会社の支援を受けたが、システムの運用・構築と並行した作業に苦労した。なお、要件12は管理規定部分が入っているため、すでに取得していたプライバシーマークの文章を活用した。
代替コントロールは数少ない項目で適用
アンチウィルスソフトはネットワーク型に変更へ
後編は、7月29日発売の書籍「カード決済セキュリティの仕組み」でご紹介します。
