2018年8月20日8:00

クレジット会員向けMyページや個別クレジットWeb申込をセキュアに

エクサは、 日本アイ・ビー・エムとJFEスチールを親会社に持つIT企業だ。同社では、クレジット事業者向けに提供している会員向けMyページや個別クレジットWeb申し込みを実現するWebクラウドサービス「BLUEBIRD(ブルーバード)」において、2014年にPCI DSS Version2.0に準拠し、その後も準拠を継続している。同社のPCI DSS準拠に向けた取り組みについて、話を聞いた。

PCI DSSを意識してBLUEBIRDを構築
複数の部署が連携して準拠に取り組む

「BLUEBIRD」は、クレジット基幹業務に精通したエクサが独自に企画・構築したクラウド型Webサービスとなり、クレジットカード会社の会員に対し、明細照会サービスを提供している。クレジットカード会社にとっては、紙の利用明細に比べてコスト削減、業務効率化、販促活用によるクレジット利用促進などが図れるという。また、BLUEBIRDにおいて、取引の明細や会員の属性情報は、クレジットカード会社の基幹システムから提供してもらい、表示される。クレジットカード会社からは、暗号化もしくはマスキングされた情報のみを提供してもらうため、エクサ自身でPIN(暗証番号)やPAN(カード番号)を保持していない。

右からエクサ 金融開発本部 決済ソリューション部 第一ソリューション室長 田中秀和氏、同部 森崇雅氏

「2011年からBLUEBIRDの準備を開始しましたが、サービス開始後にPCI DSSの基準に合わせるのは大変でしたので、意識した形で検討を行いました。たとえば、ログイン認証やパスワードの管理はPCI DSSの基準に合わせた形で構築した経緯があります」(エクサ 金融開発本部 決済ソリューション部 第一ソリューション室長 田中秀和氏)

エクサでは、BLUEBIRDがクレジットカード会社に接続するシステムであるため、PCI DSS対応は必須だと考え、2011年から準備を開始した。決済ビジネスに携わるエンジニアを中心とした「PCI DSS準備チーム」を設置し、まずは約300項目あるPCI DSS要件(当時は2.0)のギャップ分析を実施している。
PCI DSSでは、要件の数が膨大かつ、幅広い技術領域が求められる。また、PCI DSSの要件をBLUEBIRDのシステムに当てはめたときの解釈が難しい部分もあった。PCI DSS の要求事項に対する現状の対策実施率はギャップ分析を行った当初、6割程度と比較的高かった。BLUEBIRDでは、標準機能ではPANを生で保存しない仕様としていたため要件3(保存データの暗号化)の多くが対象外となり、結果として対策実施率が6割を超えたという。

PCI DSS準拠に向けては、他部署を巻き込む必要もあった。今回のプロジェクトでもインフラ担当、ネットワーク担当、アプリ担当、セキュリティ担当などと連携しながら進めている。また、審査会社には、コンサルティングも依頼した。同部 森崇雅氏は、「コンサルティングの方に相談することで、他社での対応方法などについてアドバイスいただきました」と説明する。

事前調査を受け、複数の機器を導入/文書の作成が労力に
代替コントロールは複数箇所で提供/4度の審査を行い、今後も準拠を継続へ

(書籍「カード決済セキュリティ PCI DSSガイドブック」よりエクサの記事の一部を紹介)

 

関連記事

ペイメントニュース最新情報

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP