決済アプリケーションセキュリティ基準「PA-DSS」入門 第1回(下)

2010年8月19日8:37第1回 決済アプリケーションセキュリティ基準「PA-DSS」とは?(下)PA-DSSの対象となる決済アプリケーション押さえるべきポイントは2つ、‟Off The Shelf”と‟ハードウェア端末”

まずは、実際のPA-DSS本文から、‟PA-DSSの範囲”を以下に引用する。

============

PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるペイメントアプリケーションを開発するソフトウェアベンダなどに適用されます。

(PCI PA-DSS要件およびセキュリティ評価手順V1.2.1 ページ v “PA-DSSの範囲”)

============

PA-DSSの対象となるアプリケーションは、‟第三者に販売、配布、ライセンス供与されるペイメントアプリケーション”とある。つまり、特定の加盟店のみに対して開発、販売される決済アプリケーションは、PA-DSSの対象とはならない。そのような特定の加盟店のみが使用する決済アプリケーションは、PA-DSSの対象とせずとも、PCI DSSの対象範囲に含まれるものであり、PCI DSSの審査の過程で決済アプリケーションのセキュリティ対策も確認されることになるためである。第三者に販売、配布、ライセンス供与される決済アプリケーションとは、アプリケーションの仕様を特定の加盟店が決めるようなものではなく、ベンダが決定、開発し、販売するものである。このような決済アプリケーションを使用している加盟店は、PCI DSSに準拠しようとした時、そのアプリケーションが対象範囲に含まれるものの、仕様を把握し、勝手に対策を施すといったことができない。このため、加盟店のPCI DSS準拠のフレームワークとは別に、ベンダが独自にアプリケーションをPA-DSS準拠させる必要がある。

このように、加盟店が独自に仕様を決定したり、(委託を含めて)開発を行ったりせず、アプリケーションが汎用的で、購入してそのまま使えるようなものを‟Off The Shelf”と呼び、PA-DSSの対象となる。ただし、日本国内においてはPOS端末が単独でさまざまな加盟店に対して汎用的に、カスタマイズをすることなく販売され、そのまま使用されるといったケースはあまり考えられないことや、特定の加盟店に対して販売される端末であっても、結局のところPCI DSSの審査過程で同様の対策が求められることから、単純に、POS端末であればまずPA-DSS対応しなければならない、と考えて良いだろう。

もう1点の重要なポイント、‟ハードウェア端末”について、PA-DSS本文から引用する。

============

ペイメントアプリケーションが常駐するハードウェア端末(ダムPOS 端末やスタンドアロンPOS端末とも呼ばれる)は、以下の条件がすべて満たされる場合、PA-DSS レビューを受ける必要がありません。

・ 端末が加盟店のシステムまたはネットワークに接続されていない。

・ 端末がアクワイアラまたはプロセサーのみに接続する。

・ ペイメントアプリケーションベンダが安全なリモート1)更新、2)トラブルシューティング、3)アクセス、4)保守を提供する。

・ 次の内容が承認後に決して保存されない:(カードの背面やチップ上などにある)磁気ストライプの追跡データの完全な内容、カード検証コードまたは値(ペイメントカードの前面または背面に印字されている3~4桁の数字)、PIN または暗号化されたPINブロック。

(PCI PA-DSS要件およびセキュリティ評価手順V1.2.1 ページ vii “ハードウェア端末に対するPA-DSS適用性”)

============

ダムPOS端末や、スタンドアロンPOS端末と呼ばれるような、ハードウェア端末はPA-DSSの対象とならない、という記述である。条件としては4点挙げられているが、1点目と2点目はほぼ同義であることから、本質的には3点を考慮する必要があるだろう。

まず、1点目および2点目、端末が加盟店のシステムに接続されず、直接アクワイアラやプロセッサに接続されるという点である。オーソリゼーション端末では、加盟店システム、つまりPOS端末と連動するものや、LAN構成の中で店舗に設置されたサーバ経由で加盟店システムと接続され、通信を行うようなものはこれに当てはまらないため、ハードウェア端末には当てはまらない。逆に、POSや店舗に設置されたサーバ等と接続されておらず、直接アクワイアラやプロセッサにダイヤルアップ接続を行い、処理が完結するような端末はこの条件に当てはまることになる。

3点目は、リモート更新、リモートトラブルシューティング、リモートアクセス、リモート保守を提供する、とある。つまり、リモートから安全にメンテナンスができる場合のみ、この条件に当てはまる。逆に、リモートアクセスを受け付けず、オンサイト保守のみ可能となっているような場合はこの条件に当てはまらないため、ハードウェア端末とみなされない。

4点目は、完全な磁気ストライプデータ、検証コード、PINといった、センシティブ認証データとされるものをオーソリゼーション後に端末内に保存しないこと、という条件が挙げられている。これは、PCI DSSやPA-DSSの要件でも強く要求されていることであり、これらのデータを悪用されると、カードの偽造や不正利用が非常に容易になってしまうためである。

これら、4点の条件に当てはまる端末の場合、ハードウェア端末と分類され、PA-DSSの対象ではなくなる。筆者の意見としては、本当にこれらの条件を満たす端末があるのかどうか、という疑問と、これらの条件を満たしているかどうかは誰が確認し、判断するのだろうか、という疑問があり、慎重に検討すべきところであると考えている。

PA-DSSに準拠する/しないの判断は慎重に

次回以降予告

本連載の初回では、PCI DSSとPA-DSSの違いから、その成り立ちと枠組み、PA-DSSの対象範囲の考え方を紹介した。ただし、実際にPA-DSSに準拠したアプリケーションを開発することは、金銭的コスト、時間的コストをとっても安易に決められることではない。準拠の必要性を判断する際には、必ず国際カードブランドやカード会社、およびPA-QSAと協議し、各社合意を得た上で方向性を決定し、取り組んでいただくことを強く推奨する。

次回以降は、PA-DSSの14要件の内容について解説する。PA-DSSは、多くの要件でPCI DSSの要件を参照していることから、PCI DSSの要件に踏み込むこともあり、また、PA-DSSを通してPCI DSSや、その根底となるセキュリティ対策の考え方の理解も深まるはずである。今後PA-DSSに深く関連することが考えられる場合も、そうでない場合も、ご一読いただければ幸いである。

第1回 決済アプリケーションセキュリティ基準「PA-DSS」とは?(上)へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP