2016年8月17日8:06

開発者に対し、利便性が高くセキュアなサービスを提供へ

Eコマースプラットフォーム「BASE(ベイス)」を運営するBASEは、同社が提供するオンライン決済サービス「PAY.JP(ペイドット ジェーピー)」の決済環境において、PCI DSSに完全準拠している。同社では、Amazonがグローバルに提供する「Amazon Webサービス(AWS)」上でサービスを構築した。

開発者向けの決済サービスを提供
PCI DSSの要件に合わせてシステムを構築

「PAY.JP」は開発者が使用しやすいように、RESTfulでJSON-basedなAPIで設計されている。さらに「Ruby」「Python」「PHP」「NodeJS」「Go」「Java」「Perl」などのライブラリを提供しており、開発者は簡易に決済システムをWebサイトに組み込める。

「PAY.JP」は、BASEがオンライン決済サービス「Pureca(ピュレカ)」を子会社化して開始したサービスとなる。ピュレカは2012年7月創業。PCI DSS Version3.0への準拠もピュレカ時代に達成したものだ。同サービスではクレジットカード情報を扱うため、国際ブランドが定めているルールとしてPCI DSSへの準拠はマスト(義務)であると考えた。また、「安心して決済サービスを提供する上で、PCI DSSに準拠しているのと、していないのではまったくビジネスが変わってきます」と、PAY.JP事業部長 高野兼一氏は話す。

右からPAY.JP事業部長 高野兼一氏、PAY.JP事業部セキュリティ・エンジニア クリストファー・スミス氏
右からPAY.JP事業部長 高野兼一氏、PAY.JP事業部セキュリティ・エンジニア クリストファー・スミス氏

ピュレカは、2013年に決済サービスの開発と合わせてPCI DSSへの着手を開始。PAY.JP事業部セキュリティ・エンジニア クリストファー・スミス氏は、「決済サービスは、PCI DSSの要件にしたがった構築を心がけました」と説明する。同社では、クラウド環境でのサービス構築を決意し、Amazonがグローバルに提供する「Amazon Webサービス(AWS)」上でのシステム構築を選択した。AWSでは、グローバルで「PCI DSS Provider Level1」に準拠しているため、実地検査を行わず全体をカバーできる。また、随時機能をアップデートするなど、サービスとしても魅力的だったそうだ。

なお、初回の審査時には、AWS上での運用実績が豊富な「cloudpack(クラウドパック)」を提供するアイレットの協力を得ている。さらに、Payment Card Forensicsからコンサルティングの支援を受けている。

対象範囲については、AWSと権限が分かれていること、クレジットカード情報を自社で保管していないため、狭めることができた。なお、現在はソニーペイメントサービスにクレジットカード情報を委託しているが、2014年の準拠当時は別の決済事業者がクレジットカード情報を保持していた。

「PAY.JP」のWebサイト
「PAY.JP」のWebサイト

「Amazon S3」で変更ログを「AWS Lambda」で取得
3カ月の短期間で準拠を果たす

準拠に向けては、複数の要件での対応に苦労したという。まず、要件11のログ監視については、どう取り組んだらいいのかという点で迷ったそうだ。同対応では、「Amazon Simple Storage Service(S3)」にログを集約し、そこに情報が更新履歴とあわせて記録されるため、アーカイブファイルが変更されたログを「AWS Lambda」を使って取得している。

また、PCI DSS 要件 11.5 を満たすファイル整合性監視ソフトウェア製品はコストがかさむため投資負担が大きく、他に対応方法がないかを考えた。同部分では、Linux(リナックス)の基礎部分である「kernel(カーネル)」からファイルシステムイベントをリアルタイムで直接取得しファイル属性とSELinuxを駆使して追記以外の操作をできない設定を施したログファイルに書き出していく方法を取っている。

ピュレカでは、2014年にPCI DSSの準拠を達成。ネットワークの設計が決まってからは、3カ月の短期間での準拠を果たした。ただ、PCI DSSの要件通りに準拠できなかった項目もいくつかあり、結果的に代替コントロールは5カ所で適用した。

「不正利用対策・PCI DSSガイドブック」から一部抜粋

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP