2017年9月7日8:30

オンプレミスとクラウドサービスのハイブリッド環境でシステムを構築

ベスカは、会員カードの発行や管理、運用サポート、リアル(店舗)とオンラインの顧客情報の一元化、クレジットカードやポイントカードなど支払い情報と顧客情報の連携など、ペイメントとマーケティングに特化したソリューションを提供している。同社では、世界有数の決済端末ベンダーであるVerifone社の決済端末を使用したスイッチングゲートウェイ「Verifone Ark(アーク)」の提供に向け、PCI DSSに準拠した。

PCI DSS準拠で加盟店への導入もスムーズに
「内部脆弱性スキャン」や「ペネトレーションテスト」は自社構築

ベスカでは、クレジットのスイッチングゲートウェイである「Verifone Ark」のサービス開始に向け、アクワイアラからの要求があり、PCI DSSに準拠することとなった。また、同サービスを行う中で、HSM(Hardware Security Module)や端末の暗号化の処理は検討していたため、PCI DSSに準拠したサービスであれば、加盟店への導入もスムーズに進むと考えた。

左からベスカ オペレーション部 部長 松澤新氏、オペレーション部 システムエンジニア 石田純也氏

同社では、2016年2月に社内のプラットフォームを確定。3月から開発環境を構築し、4月から決済アプリケーション、5月からPCI DSS準拠用システムの本番環境構築をスタートした。8月からサービスの運用を開始後、8月にPCI DSSの予備審査を受けて、10月には指摘事項を回答して11月31日に準拠している。

準拠に向けては、コンサルティング会社と契約。システム構成を含めて、ドキュメントやテンプレートを提供してもらい、システム構築は社内で検討して構築した。

「社内で新規にシステムを構築したため、制約が少ない分、当初は比較的容易にPCI DSSに準拠できると考えていました。システムはオンプレミスとクラウドサービスのハイブリッド環境で構築しましたが、クラウドでの仕組み作りが一番苦労しました」(ベスカ オペレーション部 部長 松澤新氏)

ベスカでは、マーケティングプラットフォーム「Vesca Seeds(ベスカ・シーズ)」において、数年前からクラウドサービス「Amazon Web Services」を利用しており、今回は同様のサービスによりシステムを構築した。松澤氏は、「オンプレミスの環境であれば、自社の範疇で検討できますが、クラウドサービスがPCI DSSの要件を満たしているのか、責任分界点はどこなのかを、クラウドの仕様や構築するシステムとの要件を照らし合わせながら、またAmazonの営業の方と話しながら仕様の検討を進めました」と説明する。

実際、Amazon Web ServicesはPCI DSSに準拠しており、Amazonの営業にアドバイスを得て、責任分界点を出してもらい、対応を進めた。ただ、新規のシステムのため、PCI DSSの要件に合わせた形でサービスを作りこめたのはプラスだったという。

代替コントロールは2カ所に適用
PCI DSSの準拠は運用面の意識付けでもプラスに

実際の要件対応として、Amazon Web Servicesを採用したことで、多くの企業が対応に苦労する要件1~4はスムーズに対応できた。ただ、「クレジットカードシステムを扱うのは社として初めてだったため、ログの監視ツールなど、運用を見据えて構築することは苦労した点となりました」と松澤氏は打ち明ける。さらに、要件11.2の「内部脆弱性スキャン」や要件11.3の「ペネトレーションテスト」は外部の専門サービスも検討したが、予算と期間的な部分があり、オープンソースを組み合わせて自社で内部構築した。実際はQSAに事前の予備審査で質問しながら、形作ったそうだ。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりベスカ準拠事例の一部を紹介)

関連記事

ペイメントニュース最新情報

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP