2017年9月7日8:30

オンプレミスとクラウドサービスのハイブリッド環境でシステムを構築

ベスカは、会員カードの発行や管理、運用サポート、リアル(店舗)とオンラインの顧客情報の一元化、クレジットカードやポイントカードなど支払い情報と顧客情報の連携など、ペイメントとマーケティングに特化したソリューションを提供している。同社では、世界有数の決済端末ベンダーであるVerifone社の決済端末を使用したスイッチングゲートウェイ「Verifone Ark(アーク)」の提供に向け、PCI DSSに準拠した。

PCI DSS準拠で加盟店への導入もスムーズに
「内部脆弱性スキャン」や「ペネトレーションテスト」は自社構築

ベスカでは、クレジットのスイッチングゲートウェイである「Verifone Ark」のサービス開始に向け、アクワイアラからの要求があり、PCI DSSに準拠することとなった。また、同サービスを行う中で、HSM(Hardware Security Module)や端末の暗号化の処理は検討していたため、PCI DSSに準拠したサービスであれば、加盟店への導入もスムーズに進むと考えた。

左からベスカ オペレーション部 部長 松澤新氏、オペレーション部 システムエンジニア 石田純也氏

同社では、2016年2月に社内のプラットフォームを確定。3月から開発環境を構築し、4月から決済アプリケーション、5月からPCI DSS準拠用システムの本番環境構築をスタートした。8月からサービスの運用を開始後、8月にPCI DSSの予備審査を受けて、10月には指摘事項を回答して11月31日に準拠している。

準拠に向けては、コンサルティング会社と契約。システム構成を含めて、ドキュメントやテンプレートを提供してもらい、システム構築は社内で検討して構築した。

「社内で新規にシステムを構築したため、制約が少ない分、当初は比較的容易にPCI DSSに準拠できると考えていました。システムはオンプレミスとクラウドサービスのハイブリッド環境で構築しましたが、クラウドでの仕組み作りが一番苦労しました」(ベスカ オペレーション部 部長 松澤新氏)

ベスカでは、マーケティングプラットフォーム「Vesca Seeds(ベスカ・シーズ)」において、数年前からクラウドサービス「Amazon Web Services」を利用しており、今回は同様のサービスによりシステムを構築した。松澤氏は、「オンプレミスの環境であれば、自社の範疇で検討できますが、クラウドサービスがPCI DSSの要件を満たしているのか、責任分界点はどこなのかを、クラウドの仕様や構築するシステムとの要件を照らし合わせながら、またAmazonの営業の方と話しながら仕様の検討を進めました」と説明する。

実際、Amazon Web ServicesはPCI DSSに準拠しており、Amazonの営業にアドバイスを得て、責任分界点を出してもらい、対応を進めた。ただ、新規のシステムのため、PCI DSSの要件に合わせた形でサービスを作りこめたのはプラスだったという。

代替コントロールは2カ所に適用
PCI DSSの準拠は運用面の意識付けでもプラスに

実際の要件対応として、Amazon Web Servicesを採用したことで、多くの企業が対応に苦労する要件1~4はスムーズに対応できた。ただ、「クレジットカードシステムを扱うのは社として初めてだったため、ログの監視ツールなど、運用を見据えて構築することは苦労した点となりました」と松澤氏は打ち明ける。さらに、要件11.2の「内部脆弱性スキャン」や要件11.3の「ペネトレーションテスト」は外部の専門サービスも検討したが、予算と期間的な部分があり、オープンソースを組み合わせて自社で内部構築した。実際はQSAに事前の予備審査で質問しながら、形作ったそうだ。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりベスカ準拠事例の一部を紹介)

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP