2017年9月7日8:30

オンプレミスとクラウドサービスのハイブリッド環境でシステムを構築

ベスカは、会員カードの発行や管理、運用サポート、リアル(店舗)とオンラインの顧客情報の一元化、クレジットカードやポイントカードなど支払い情報と顧客情報の連携など、ペイメントとマーケティングに特化したソリューションを提供している。同社では、世界有数の決済端末ベンダーであるVerifone社の決済端末を使用したスイッチングゲートウェイ「Verifone Ark(アーク)」の提供に向け、PCI DSSに準拠した。

PCI DSS準拠で加盟店への導入もスムーズに
「内部脆弱性スキャン」や「ペネトレーションテスト」は自社構築

ベスカでは、クレジットのスイッチングゲートウェイである「Verifone Ark」のサービス開始に向け、アクワイアラからの要求があり、PCI DSSに準拠することとなった。また、同サービスを行う中で、HSM(Hardware Security Module)や端末の暗号化の処理は検討していたため、PCI DSSに準拠したサービスであれば、加盟店への導入もスムーズに進むと考えた。

左からベスカ オペレーション部 部長 松澤新氏、オペレーション部 システムエンジニア 石田純也氏

同社では、2016年2月に社内のプラットフォームを確定。3月から開発環境を構築し、4月から決済アプリケーション、5月からPCI DSS準拠用システムの本番環境構築をスタートした。8月からサービスの運用を開始後、8月にPCI DSSの予備審査を受けて、10月には指摘事項を回答して11月31日に準拠している。

準拠に向けては、コンサルティング会社と契約。システム構成を含めて、ドキュメントやテンプレートを提供してもらい、システム構築は社内で検討して構築した。

「社内で新規にシステムを構築したため、制約が少ない分、当初は比較的容易にPCI DSSに準拠できると考えていました。システムはオンプレミスとクラウドサービスのハイブリッド環境で構築しましたが、クラウドでの仕組み作りが一番苦労しました」(ベスカ オペレーション部 部長 松澤新氏)

ベスカでは、マーケティングプラットフォーム「Vesca Seeds(ベスカ・シーズ)」において、数年前からクラウドサービス「Amazon Web Services」を利用しており、今回は同様のサービスによりシステムを構築した。松澤氏は、「オンプレミスの環境であれば、自社の範疇で検討できますが、クラウドサービスがPCI DSSの要件を満たしているのか、責任分界点はどこなのかを、クラウドの仕様や構築するシステムとの要件を照らし合わせながら、またAmazonの営業の方と話しながら仕様の検討を進めました」と説明する。

実際、Amazon Web ServicesはPCI DSSに準拠しており、Amazonの営業にアドバイスを得て、責任分界点を出してもらい、対応を進めた。ただ、新規のシステムのため、PCI DSSの要件に合わせた形でサービスを作りこめたのはプラスだったという。

代替コントロールは2カ所に適用
PCI DSSの準拠は運用面の意識付けでもプラスに

実際の要件対応として、Amazon Web Servicesを採用したことで、多くの企業が対応に苦労する要件1~4はスムーズに対応できた。ただ、「クレジットカードシステムを扱うのは社として初めてだったため、ログの監視ツールなど、運用を見据えて構築することは苦労した点となりました」と松澤氏は打ち明ける。さらに、要件11.2の「内部脆弱性スキャン」や要件11.3の「ペネトレーションテスト」は外部の専門サービスも検討したが、予算と期間的な部分があり、オープンソースを組み合わせて自社で内部構築した。実際はQSAに事前の予備審査で質問しながら、形作ったそうだ。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりベスカ準拠事例の一部を紹介)

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP