2016年7月27日16:23
NRIセキュアテクノロジーズ(NRIセキュア)は、2016年7月19日、高レベルのセキュリティ機能を持つクレジット決済ソリューション「P2PEソリューション」の評価機関「P2PE QSA」として認定されたと発表した。認定者は、国際クレジットカードブランド5社が設立した、クレジットカード等の国際的なセキュリティ基準に関する協議会(PCI SSC)となる。今後NRIセキュアは、「P2PEソリューション」をPCI SSCが制定しているセキュリティ規準に準拠させるための支援サービスを提供していく。
昨今、欧米諸国を中心に、クレジットカード取引を行う加盟店でクレジットカード情報が大量に流出する事件が起きている。事件の多くは、加盟店に置かれたクレジット端末システム(POS)の脆弱性をついたマルウェア(悪意のあるソフトウェア)による攻撃などによって生じており、カード情報が不正に搾取されている。このような状況の中、有効なセキュリティ手法として注目され始めているのが「P2PEソリューション」だ。
従来の仕組みでは、カード加盟店が入手したクレジットカード情報は、直接クレジットカード会社(もしくは決済代行会社)へ送られ、さらに加盟店の端末に情報がそのまま蓄積されていた。「P2PEソリューション」を導入すると、加盟店端末から決済ネットワークの手前までは、カード情報が暗号化された形で送られ、端末内に情報が残らないため、情報漏えいのリスクが低減される。これにより、加盟店におけるPCI DSSへの準拠に必要な審査項目が削られ、準拠を目指す加盟店の負担が大きく減る効果も期待できる。
NRIセキュアは、「P2PE QSA」認定を機に、ITサービス会社が「P2PEソリューション」を提供するために必要な、PCI SSCの定めるセキュリティ基準「PCI P2PE」への準拠に至るための「PCI P2PEソリューション準拠支援サービス」を提供する。
なお、NRIセキュアはこれまで、4つの認定(「QSA」「ASV」「PA-QSA」「PFI」)をPCI SSCから取得。「P2PE QSA」の取得で、日本で初めて、PCI SSCから5つの認定を取得した企業となった。
