メールマガジン登録
Rss Twitter Facebook-f

商取引におけるデジタル・トランスフォーメーション ~事例から学ぶセキュリティとタレスのソリューション~(下)

2019年5月17日8:00

タレスジャパン株式会社

「payShield」は業界をリードする決済HSM

こういう環境の中でThalesがお手伝いできることがあります。モバイルPOS(mPOS)とP2PEでは、従来は端末がシリアルで管理されていましたが、現在はモバイルデバイスを活用すると事前に信頼されていないデバイス、アプリケーション、ネットワークから支払いを受け付けなければいけません。ここでキーになるのがP2PE(Point-to-Point Encryption)です。カードを受け付けた環境からすべてを暗号化することで、mPOSでも安全に取引を管理できます。この中でのタレスの役割は、アクワイアラ側のDUKPT(Delivered Unique Key Per Transaction)のプロトコルでやり取りするときの暗号化、復号のやり取りをHSM(ハードウェア・セキュリティ・モジュール)で実行しています。HSMはPINを保護するときに使うとともに、P2PEにおいての決済データの暗号化、復号で用いられます。また、カード番号を保護するときにトークナイゼーションを提供しています。

カードの決済環境として、HSMをどこに導入しているかというと、販売店、アクワイアラ、プロセッサー、カードブランドのすべてで、PINのデータ、モバイルのプロビジョニング、カードデータの暗号化、復号を安全に行うためにお使いいただいています。特にmPOSでは、決済代行会社とカードリーダとの間で、暗号化をDUKPTで行う際、弊社のHSMである payShield(ペイシールド)で実行いただいています。

すでに国内では、以前からP2PEの仕組みを実装するため、モバイル決済サービスを提供するロイヤルゲート様にご利用いただいています。ロイヤルーゲート様では、読み取りの端末からセンターまでDUKPTで暗号化されています。

タレスがHSMを最初に提供したのは、1985年となりますが、当時はビザ(Visa)からの要請で流れてくるPINを保護する後ろ盾としてHSMを作り、決済関係の保護を実現しました。トランザクションの処理、カード発行、モバイルのカード決済、モバイルのプロビジョニングなどでセキュリティ確保の課題が起きた時はpayShieldを思い出していただければ幸いです。

VormetricでP2PEとトークナイゼーションを実現

トークナイゼーションはPCI DSSの準拠、決済代行会社などで使われている技術であり、複数の種類があります。単純にトークン化する、オリジナルのデータをトークンに置き換える、トークンからオリジナルのデータに戻すといったことが可能です。トークンデータベースに元データを暗号化して保存する場合、環境を分離することで、マッピングシステムだけ保護が必要となります。また、システムはトークンだけを取り扱うためPCI DSSのスコープ外となります。

トークナイゼーションには、ペイメントトークナイゼーションとセキュリティトークナイゼーションに分けられます。ペイメントトークナイゼーションは、カード会員番号(PAN)と同じフォーマットで、決済処理に利用することができます。EMVCoに登録されたトークン・サービス・プロバイダー(TSP)が認定されたトークンを発行し、販売店またはアクワイアラが決済処理の中で受け取ることができ、販売店/アクワイアラが決済処理でPANの代わりに直接利用できます。Apple Payでは登録したカード番号とは違う番号のトークンがあり、そのトークンを使って支払処理が行われています。

一方、セキュリティトークナイゼーションは、販売店やアクワイアラの内部だけで保護や決済処理に利用できる、PANに置き換わるトークンを発行します。PANの代わりに顧客の特定やサービスの提供のために使用できます。どこにでもPANを保存していると、セキュリティ的に問題がありますので、内部システムにはトークンとして保存しておき、アプリケーションからはトークンを利用するようにすれば、安全性を確保できます。タレスでは、セキュリティトークナイゼーションの製品として、Vormetric(ヴォーメトリック)を提供しています。トークナイゼーションは、P2PEと相性が良く、POSにカードのデータが残りませんので、誰がどういった決済を行ったのかがわかりません。決済手続きには暗号化されたデータで処理し、後の集計処理はPANではなくトークンを用いることで、決済データがいくらあり、どういうポイント情報を持っているかといった処理も問題なく行うことができます。これまでカード番号で行っていたことがトークンに置き換えることで、PCI DSSのスコープから外れます。タレスでは、P2PEとトークナイゼーションを一緒に提供できます。

 

このように、弊社ではHSMのpayShield、 トークナイゼーションのVormetricを中心に決済やカード情報の保護はもちろん、個人情報や機密情報を保護するサービスを提供しています。すでに決済関係の皆様にはタレスを知っていただいていますが、グローバルでは、航空宇宙、宇宙、交通システム、防衛、セキュリティなど、さまざまな事業を展開しています。

▶▶前編へ戻る

※本記事は2019年3月13日に開催された「ペイメントカード・セキュリティフォーラム2019」のタレスジャパン株式会社 eセキュリティ事業部 シニア テクニカル スペシャリスト 畑瀬宏一氏の講演をベースに加筆を加え、紹介しています。

お問い合わせ先
タレスジャパン株式会社
eセキュリティ事業部
〒107-0052・東京都港区赤坂2-17-7thales
赤坂溜池タワー8F
TEL03-6234-8180
URL:www.thalesesecurity.co.jp
Email:jpnsales@thalesesecurity.com

カード決済&リテールサービスの強化書

関連記事

You may also like
  1. 商取引におけるデジタル・トランスフォーメーション ~事例から学ぶセキュリティとタレスのソリューション~(上)
  2. EMV、HCE等のモバイルペイメント、mPOSを保護するタレスのHSM(上)
  3. NFCモバイル決済のHCEやmPOSのセキュリティ保護でThalesのHSM採用が加速
  4. NFCのモバイル決済で注目を集めるHCEの運用にHSMは有効 最新の決済トレンドにも対応できる強固なセキュリティを実装(タレスジャパン株式会社)
  5. 決済環境の多様化とセキュリティ ~オープンAPI・モバイル・クラウド・ブロックチェーンを支援~(下)
  6. 決済環境の多様化とセキュリティ ~オープンAPI・モバイル・クラウド・ブロックチェーンを支援~(上)

ペイメントニュース最新情報

20231220_nttada
fawtokyo
PAX Japan_Paynavi_banner

MAILMAGAZINE

無料メルマガ登録

PAYMENTNAVI LOVE

無料会員登録

remise
決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
itnavi

国内最大級のクレジットカード情報データベース(アイティーナビ)

tmn
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
infcurion3
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
scudetto_logo
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
netstarslogo
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)
feitian
現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

zeus2
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
toppan
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
dgft
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
exa
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
gmopg

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

akuru
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
rogo3

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

3inc
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)
netmove1_logo

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

dnp

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

TAG
3-Dセキュア BtoB CLO EMV FeliCa HSM IC乗車券 ID決済 NCB NFC P2PE PCI DSS PCI DSS準拠事例 Pro2021 Pro2022 Pro2023 Pro2024 インバウンド キャッシュカード キャリア決済 ギフトカード クレジットカード クレジットカード会社 デビットカード トークナイゼーション プリペイドカード ポイントカード マイナンバー マーケティング モバイル モバイルペイメント 不正検知(フラウド) 個品割賦 公金決済 共通ポイント 地域通貨 外貨決済 後払い 決済端末 法人カード 海外情報 無料会員コンテンツ 越境EC 送金 電子マネー
paymentnavi-shiro

© Copyright payment navi. All Rights Reserved.

本サイトの掲載記事、写真・画像の無断転載・複製を固く禁じます。記載されているロゴや製品・システム名は各社および商標権者の登録商標・商標です。

PAGE TOP