PCI DSS準拠の盲点『Excel』『音声』『紙の申込書』への対応  「SBC型業務環境サービス(PCI DSS準拠)」「IVR決済サービス」を提供(下)

2017年5月25日8:30

■株式会社エクシード

電子ファイルに対応するSBC型業務環境サービス(PCI DSS準拠)

PCI DSSは約400の要件をクリアする必要があります。すべて自力で頑張る選択肢もなくはありませんが、かなり大変なので、解決策を考える上ではPCI DSSに準拠している第三者のサービスをうまく活用して、自社で対応しなければいけない要件を極力減らすことを考えるというのが1つのポイントです。

その流れの中で2つのサービスを紹介します。1つめは電子ファイルに対応するSBC型業務環境サービス(PCI DSS準拠)です。2つめが弊社と提携しているHOYAサービス株式会社が提供する音声データに対応したIVR決済サービスです。なお、紙媒体については対応するサービスをご紹介しておりませんが、基本的な対応としては、原本は極力触らない、鍵管理をして取り出さないというかたちにして、業務上はPDF化したファイルを用いるようにして、当該PDFについては弊社のSBC型業務環境サービス(PCI DSS準拠)をご活用いただければと思います。

SBC型業務環境サービス(PCI DSS準拠)

SBC型業務環境サービスは、ファイル等の安全な取り扱いと共有を可能にするシステム環境とリモートデスクトップ環境を提供するクラウド型サービスです。大きくは業務を行うシステム環境とリモートデスクトップ環境、この2つを提供するサービスになります。ターゲットとしては、二次発行会社を考えていますが、その他、個人情報やカード情報に準じるような機密情報を扱っている企業でも活用できるサービスです。具体的なサービスイメージですが、利用者は、弊社がクラウド上で用意する業務環境、業務スペースへリモートデスクトップからアクセスし、その中でカード情報の取り扱い業務を行います。弊社は業務環境の提供、サポートデスクのサービス提供を行います。

機能として大きく3つ挙げられます。1つはファイル管理・共有機能です。カードデータが記録されたファイルを暗号化した上で安全に管理・共有できる環境を提供しており、先ほどの求められる対策のところで挙げたファイルと通信の暗号化、ファイルへのアクセス認証、管理機能を実装しています。2つめがリモートデスクトップ機能です。PCI DSSに準拠したリモートデスクトップ環境、具体的にはMicrosoft Officeが利用可能な環境を提供しており、サービスの利用により社員PCのPCI DSS準拠対策が不要になります。3つめはシステム運用で、PCI DSSで求められる要件の中でも運用が大きなポイントになっており、例えば、1日1回セキュリティ関連のログを全部チェックするなど、かなり細かくて大変な要件が定められていますが、その運用部分をすべて弊社が担うサービスになっています。

このサービスのメリットは2つあります。1つは認証を取得するまでの期間を短縮できること。2つめが認証取得・維持コストを抑えることができることです。アプリ要件、Microsoft Azureなどのシステム基盤要件、システム運用要件を、弊社がPCI DSSに準拠したサービスとして提供しますので、お客様は委託先の管理、社内の文書化と教育の部分だけを実施するだけで済みます。これにより、PCI DSSの約400の要件を最大90%ほどカットすることが可能です。PCI DSS準拠にかかるコストは企業によって異なりますが、クラウドサービスを使うということにより、弊社の試算では最大で40%くらい削減できると算定しています。

なお、このサービスは現在開発中であり、仕様等変更になる可能性がありますので、その点はご留意いただければと思います。

クレジットカード情報の保持・通過を回避するIVR決済サービス

次にHOYAサービス提供のIVR決済サービスの概要ですが、主なターゲットはコールセンター、加盟店で、IVR、自動音声応答システムを使った非保持化のソリューションになります。流れとして、お客様から電話による注文があると、オペレータがその注文に基づいて決済金額などを自社の受注システムに入力します。その後、受注システムに入力された情報が、HOYAサービスが用意しているPCI DSSに準拠した環境にあるIVRに転送され、オペレータも同時に電話をIVRに転送します。すると、音声ガイダンスが流れてお客様はそのガイダンスに従ってカード番号を入力します。そうするとIVRでカード番号が入力されて決済に進む、といったサービスになります。

IVR決済サービスの概要

サービスの特徴として、IVRを検討する時に問題になる、「カゴ落ち」という、音声に切り替わったところで電話を切られてしまう問題について、人に近い自然な音声等による防止機能を備えていることが挙げられます。さらに、オペレータがカード番号に触れないので、コールセンターのPCI DSSの準拠が不要となります。そのほか、オプションになりますが、API連携の機能を有していますので、受注システムに一度入力した決済用データをそのまま使用することができ、都度入力に伴う手間を省き、ミスを軽減することができます。また、オペレータへの通話戻し機能を備えている、日本語だけではなくて外国語にも対応する多言語対応、という特徴も備えています。

なお、弊社では、WEBアプリケーションの実行基盤のPCI DSS準拠サービス「PCI DSS準拠セキュアマネージドサービス」も提供しています。そちらもぜひご活用いただければ幸いです。

【参考】PCI DSS準拠セキュアマネージドサービス

▶▶前編へ戻る

※本記事は2017年3月22日に開催された「ペイメントカード・セキュリティフォーラム2017」のエクシード ビジネス推進本部 セキュリティグループ PCI DSSコンサルタント 松原 史典氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
■株式会社エクシード
ビジネス推進本部 セキュリティグループ
〒141-0022
東京都品川区東五反田3-20-14 高輪パークタワー7F
TEL :03-6422-0021(代表)
URL:http://www.xseed.co.jp/
Email : info@xseed.co.jp

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP