2018年7月26日8:00
「SREDKey」を用いたクレジットカード情報非保持化ソリューションを安価に提供
決済処理事業者のルミーズは、アイディテックジャパン(IDTech)と連携し、電話・FAX・ハガキ等で受注を行っている事業者向けにIDTechが取り扱う、クレジットカード情報の入力に特化したテンキーパッド「SREDKey」を用いたクレジットカード情報非保持化ソリューションの提供を2018年4月に開始した。サービス提供に向けては、PCI P2PEソリューションの認定を取得している。
SREDKeyは「SRED」を満たした製品
クレジットカード情報はSREDKey内で暗号化
クレジット取引セキュリティ対策協議会の実行計画では、MO・TO(メールオーダー・テレフォンオーダー)事業者に向けて、外回りの非保持化に加え、内回りの場合、非保持化同等相当として「P2PEソリューション」の認定が求められている。
ルミーズは、5,500店舗が使用する決済処理事業者であり、主に中堅のEC加盟店を中心にサービスを展開している。同社では、IDTechと連携し、クレジットカード情報の入力を行うテンキーパッド「SREDKey」を数年前から展開していた。SREDKeyは、PCにウィルスが感染し、キーロガーを仕込まれる被害などを防ぐため、電話で受注を行う一部の加盟店向けにWindowsアプリケーションとセットで3年前から提供していた。
2017年11月にMO・TO事業者向けに非保持化もしくは非保持化同等相当の定義が出されたが、P2PEソリューションに準拠したサービスであれば、実行計画の要件を満たせるようになった。
SREDKeyは、PCI PTSのセキュリティ要件である「SRED」を満たした製品だ。オペレーターは、電話でクレジットカード、有効期限などを聞き、SEDKeyに入力。そのクレジットカード情報はSREDKey内で強力に暗号化され、アプリケーション、伝送経路上で一切復号化されることなく、セキュアにルミーズ決済センターまで送信されるのが特徴だ。ルミーズでは、MO・TO加盟店におけるSRED端末を利用したカード情報非保持化において、特許を出願している。準拠に向けては、2017年12月に意思を固め、審査会社と協力して対応を進めた。
ドメイン1,3,5,6が対象
店頭向け決済サービス提供がP2PE取得に役立つ
(書籍「カード決済セキュリティ PCI DSSガイドブック」よりルミーズの記事の一部を紹介)
