2018年8月9日8:00
カード情報を加盟店のシステムに残さない「外回り」方式で非保持化実現へ
流通POSベンダー大手の寺岡精工では、自社の決済センターを利用したクラウド型マルチ決済サービス「Payoss」を提供しているが、同サービス開始に向けて設立した「TERAOKA決済ゲートウェイセンター」において「PCI DSS」に準拠している。「Payoss」では、クレジットカード情報を加盟店のシステムに残さない「外回り」方式となっており、加盟店側はカード情報非保持化を実現可能だ。
改正割賦販売法を意識した「Payoss」
PCI DSSに準拠したクラウドサービスで負担軽減
クラウド型マルチ決済サービス「Payoss」は、クレジットカードや電子マネーへの対応に加え、2018年6月に施行された改正割賦販売法を意識したものとなる。「Payoss」では、同社のクラウドセンターである「TERAOKA決済ゲートウェイセンター」と加盟店とをインターネット回線で接続し、加盟店の決済データを同センターに集約、処理、集計している。また、POSと決済端末分離の外回りソリューションにより、加盟店はカード情報非保持化が実現可能だ。
寺岡精工では、2016年1月にペイメントポータル事業部を立ち上げたが、「Payoss」提供に向け、PCI DSSの取得を2015年から検討した。従来、同社のPOSサービスをクラウド上で管理するソリューションを飲食店などに提供していたが、同様に決済サービスについてもクラウド上で構築できないかと考えた。準拠に向けては、コンサルティング会社に調査を依頼。また、PCI DSSに準拠したクラウドサービスを使用することで、準拠に向けての負担を軽くしている。PCI DSS準拠のクラウドサービスを利用することで、同社で1から要件に対応する手間がなくなり、早期のリリースが可能となった。他のクラウドサービスを利用した場合、ログイン時の二要素認定の仕組みを自社で導入しなければならなかったが、そういった負担もなくなったそうだ。
寺岡精工では、2016年3月からからセンターの構築に取りかかり、同4月に構築して5月にサービスとしてリリースした。寺岡精工 ペイメントポータル事業部 システム開発グループ 次長 佐々木和行氏は、「サービス自体は4月に構築できましたが、運用後に審査を行う必要があったため、2016年12月に審査を受け、2017年1月に証明書をいただくことができました」と話す。
「Payoss」は、「J-Mups」端末に加え、2017年秋から、グループ企業との協業により、米国の決済端末メーカーVerifone(ベリフォン)との共同開発による、POS連動型のクラウド型マルチ決済端末「P400」を提供している。実際の決済処理はPCI DSSに準拠したグループ企業が担っており、寺岡精工では決済データを加盟店に閲覧してもらう管理サイトを提供している。また、同社が包括して加盟店との決済の契約を行っており、振り込み案内部分を担っている。
寺岡精工自身は管理サイトを提供/カード情報非保持だがPCI DSSに準拠を決意
要件の解釈は審査員によって若干異なる?/クレジットカード以外の統一基準策定に期待
(書籍「カード決済セキュリティ PCI DSSガイドブック」より寺岡精工の記事の一部を紹介)
