2015年8月6日8:23
■ロイヤルゲート
ハイセキュリティのスマホ決済サービスを目指す「PAYGATE」の取り組み
PCI DSS準拠DUKPT完全対応のスマホ決済プラットフォームの強みとは?
ロイヤルゲートでは、スマートデバイス決済プラットフォーム「PAYGATE」を展開しており、ANSI9.24のDUKPTキーマネジメントを採用し、HSM(ハードウェア・セキュリティ・モジュール)で鍵管理を行うことで、高いセキュリティと信頼性を実現しています。また、2014年4月11日、「PAYGATE」において、世界でもいち早くパブリッククラウドサービスと、データセンターのハイブリット構成で、「PCI DSS Version2」に準拠しています。通常は、データセンターなどにスコープを絞って準拠するケースの多いPCI DSSですが、ロイヤルゲートでは、決済端末・アプリケーション・データセンターのすべてを対象範囲として準拠を達成することで、セキュリティの高い安心したサービスを提供しています。
mPOSのアプリケーションをワンストップで提供
パブリッククラウドとオンプレミスのハイブリッドでPCI DSS準拠
ロイヤルゲートでは、筐体のハードウェアのデザインや設計から、アプリケーション、ゲートウェイ、アプリケーションの対策をワンストップで提供しています。他社との差別化を図り、決済手数料やトランザクション料に依存せず、他の収入源となるような決済に関する付加サービスを提供しています。モバイルPOS以外にもQRコードやメールで請求できる仕組みとなる「COdeGATE」、ウォレット、CLO(Card Linked Offer)といったプラットフォームを用意または開発していますので、リアルとECのプラットフォームを提供している企業は、顧客データ、在庫、ポイントデータといった情報連携がO2Oプラットフォームを介して行えます。弊社の複合的なプラットフォームをご利用いただくことで、将来的にはCLOのようなダイレクトマーケティングを、トランザクション・リンクド・オファーのような形でリアルタイムに提供していきたいです。また、PAYGATEの仕組みは、レシートの加盟店控えを7年間保管する仕組みをご利用いただけます。
ウォレットサービスとしては、「PAYGATE Wallet」の提供を予定しています。現在、ウォレットサービスを提供するほとんどの企業が位置情報をベースにサービスを提供していますが、弊社では「PAYGATE AIR」というNFC対応機をご利用いただけるため、NFCとiBeacon、GPSの位置情報を活用して、二要素認証ができるプラットフォームを考えています。
決済センターはThalesのHSMを利用しており、オンプレミスの環境に設置していますが、それ以外のサーバは、カード決済の暗号化をしてから複合化するまで、保持も保管もしていません。アプリケーションはMicrosoftの「Microsoft Azure」を利用しており、パブリッククラウドとオンプレミスのハイブリッドでPCI DSSに準拠しています。この仕組みを採用したことにより、エコシステムとして安価に、グローバルで統一されたセキュリティに準拠でき、世界中でサービスを展開可能です。ロイヤルゲートでは、2014年4月にシンガポール、2015年2月にサンフランシスコに現地法人を設置し、2016年にはEUでも立ち上げる予定で、これらを拠点としてグローバルで使える決済のプラットフォームを提供していきます。たとえば、グローバルに展開する企業は、各国で展開するのは仕組みやプラットフォーム、セキュリティのコストが課題となりますが、弊社の仕組みをご利用いただくことで、その負担を少なくしていきたいと考えています。
DUKPTを採用したキーマネジメントを実施
デバイスで暗号化してからはHSMまでは複合化できない
従来のmPOSプレイヤーは、小規模店舗で、迅速・安価に、導入することで裾野を広げてこられましたが、弊社はハイセキュリティが売りとなり、DUKPTを採用したキーマネジメントや、センターからアプリケーション、デバイスまでスコープを広げて取得したPCI DSS準拠を含め、ミドルクラス以上のエンタープライズ企業での採用も意識しています。また、ハイフレキシビリティとして、iOS、Android、Windows等に幅広く対応し、柔軟なSDKやAPIを提供することで、上位システムとの連携を容易にしています。
2015年10月のライアビリティシフトへの対応としてEMV IC化の対応を致しました。また、「Apple Pay」や「Samsung Pay」をはじめ、将来的に国内でもNFCへの対応が求められると考えられます。さらに、その先には、ビッグデータ分析まで含めたサービスを考えており、決済のトランザクションと合わせて消費行動を変えられるような次世代まで見据えた可能性を模索しています。すでに「PAYGATE AIR」は、PCI PTS Version4.0に準拠し、EMV レベル1/2 コンタクト、EMV レベル1 コンタクトレス、FeliCa検定が2015年1月までに完了し、2次元コードのリーダーも搭載しています。8月には量産品が出てくる予定で、すでに数千台のオーダーをいただいています。
スマートフォンやタブレットの汎用機を使うためには、セキュリティ対策は重要です。据え置き型の端末の場合、電話回線やインターネット回線で接続し、処理センターからカード会社まで接続するクローズドな決済環境ですが、スマホ決済端末の場合、スマートフォンと端末はBluetoothで接続されています。さらにスマートフォンと処理センターはWi-FiやLTEでつながります。どこでもデータは抜き取られる危険性がありますし、決済以外のアプリケーションもダウンロードされていますので、そういったアプリケーションが悪意をもたらす可能性もあります。弊社では、如何にカードをスワイプしたタイミングで、暗号化のキーマネジメントを強くできるかが重要であると考えており、DUKPTを完全実装していますので、デバイスで暗号化してからはHSMまでは一切複合化できません。また、複合化した後も一切クレジットカード番号は保持していません。
※本記事は2015年3月12日に開催された「ペイメントカード・セキュリティフォーラム2015」のロイヤルゲート 代表取締役CEO 梅村圭司氏の講演をベースに加筆を加え、紹介しています。
