2019年9月11日8:06
大手外食チェーンなど加盟店のカード情報非保持化をサポート
PCI DSSに準拠した「CREPiCO決済情報処理センター」を運営し、決済ソリューションを提供しているセイコーソリューションズでは、加盟店のカード情報非保持化をサポートするP2PEソリューションプロバイダの認定取得を目指し、2016年にいち早くプロジェクトを立ち上げた。要件仕様の確認、フィット&ギャップ、予備審査等の段階を踏んで、ほぼ当初の予定通り2018年6月に認定を取得。大手外食チェーンを皮切りに、サービスの提供を開始している。
いち早くP2PEソリューションプロバイダの認定を取得
事前の想定通りに対応が進む
事業の大きな柱の1つとして、決済ソリューションの提供を行うセイコーソリューションズでは、「CREPiCO決済情報処理センター」を運営している。クレジットカード加盟店にPCI DSS準拠、またはカード情報の非保持化を求める改正割賦販売法が公布された2016 年12月以前の、同年4月、「CREPiCO決済情報処理センター」は PCI DSS認証を取得。カード情報を、POS端末を通過させず、決済 端末から直接「CREPiCO決済情報処理センター」に送る外回り接 続方式で加盟店の情報非保持化をサポートしてきた。
これと並行して同社では、内回り接続方式での情報非保持化対策にも着手。「CREPiCO決済情報処理センター」がPCI DSS認証を取得する前の2016年2月に、いち早く、P2PEソリューションプ ロバイダの認定を取得するためのプロジェクトを立ち上げた。当初 2018年春の認定取得を見込んでいたが、2018年6月にほぼ予定通りP2PEソリューションプロバイダとしての認定を取得。サービス提供を開始した。
プロジェクトの活動は、まず1年2カ月をかけて、英語版の要件 仕様書を読み解くところからスタートした。セイコーソリューショ ンズ データサービス本部 CREPiCO統括部長 渡邊圭一氏は、「当時は国内にはまだQSA(Qualifi ed Security Assessors:認定セキュリ ティ評価機関)が存在しておらず、質問があればコンサルタントを 介して、海外のQSAやコンサルタントに問い合わせて回答を得る というプロセスを経ていました」と話す。
そうして蓄積された知識をもとに企画起案を行い、社内の承諾 を獲得。2017年4月からは国内に誕生したQSAと契約を結び、8 カ月間、フィット&ギャップおよび予備審査を実施。2017年12 月にQSAの本審査を受け、QSAからPCI SSCに認定の取得を申請。数カ月の審査期間を経て、認定取得に至った。
大手外食チェーンから打診を受ける
当初からある程度コストの回収を見込む
P2PEソリューションは、暗号化端末アプリ管理、暗号化アプリ セキュリティ、P2PEソリューション管理、加盟店管理ソリューショ ン、復号化環境、鍵管理運用全般の6 つのドメインからなっている。今回は、「CREPiCO決済情報処理センター」とパ ナソニック製の決済端末を紐づける形 で対応している。
そもそも同社が認 定取得を目指したきっかけは、同社の決済ソリューションのクライアントから「P2PEに対応できないか」と打診されたことだった。認定取得には時間も労力もコストもかかることは承知の上だったが、そこに躊躇なく踏み込めたのは、一度認定を取得すれば、新規クライアントの獲得な どを含め、長期的な視点から見ても十分なコスト回収が見込めてい たからだ。クライアントの顔が見えていたからこそ、具体的な運用 シーンを想定したサービス設計ができたことも、現在の同社のアドバンテージとなっている。
決済端末とセンター間で暗号化した情報をやり取り
内回り、外回りの両輪でビジネスを進める
※書籍「PCI DSS・カードセキュリティ・実行計画対策ガイド」より
