2010年11月18日8:20
MasterCardのSDPプログラムと加盟店の遵守状況(1)
全世界で「SDPプログラム」を推進
MasterCard加盟店の遵守状況は?
カードホルダーの情報保護は、常にMasterCard Worldwide(MasterCard)の事業の中核にある。MasterCard はペイメントカード業界の世界的なデータ・セキュリティ基準であるPCI DSS(Payment Card Industry Data Security Standard)を業界主要企業と共同して策定してきた。MasterCard はこのデータ・セキュリティの世界基準を実施してもらうために「SDP 」という仕組み・制度を制定し、数々の取り組みを通じてその普及に努めている。加盟店向けには、教育プログラムや、コンプライアンス遵守の支援、また遵守を継続している加盟店を表彰するインセンティブ制度の提供を行っている。またMasterCard はPCI DSS に準拠している加盟店やサービスプロバイダ向けの免責事項を設けているほか、認定されたセキュリティー・ベンダーと協力し、無料のネットワーク診断を提供するなどといった複数のプログラムをグローバルに展開している。
①マスターカードのSDPプログラム
「PCI DSS とSDP」
SDP(Site Data Protection)はPCI DSS を全世界的に実施・展開していくためのMasterCard のプログラムである。各ブランドはそれぞれ独自にPCI DSS実施のプログラムを展開しているが、ペイメントカードのデータ・セキュリティの基準が各ブランドで違うわけではない。
MasterCard のSDP プログラムでは、加盟店規模別に及びサービスプロバイダ種別に検証要件を定めている。ここで、誤解を避けるためにレベル4 加盟店は任意と記されている点について追記したい。これは、レベル4 加盟店はPCI DSS に準拠しなくても良いという意味ではない。レベル4 加盟店も当然PCI DSSに準拠していなければならないが、その検証作業(自己問診/脆弱性セキュリティースキャン/訪問審査)は要求されていないという意味である。したがって、レベル4加盟店でペイメントカードのデータが流出してしまった場合、当該加盟店と契約を結んでいるアクワイアラはMasterCard に対してデータ流出についての責任を問われることになる。
SDPにおけるアクワイアラのMasterCardに対する報告要件については、MasterCardはアクワイアラが積極的に加盟店に働きかけてPCI DSS実施を推し進め、SDPコンプライアンスに準拠することを期待している。PCI DSSコンプライアンスとは、当該加盟店がPCI DSSの3検証要件である自己問診、訪問審査、脆弱性スキャニングを完了したという意味である。SDP コンプライアンスとは、加盟店規模に応じた3 検証要件(最大で3 検証要件)が実施され、かつMasterCardへ当該加盟店の登録を実施したことを意味する。言い換えれば、PCI DSS準拠加盟店をMasterCardへ登録しないとSDP コンプライアントではない。当該加盟店がSDPコンプライアンスになって初めてアクワイアラはペイメントカードデータの流出について免責になる可能性があるが、その重要な要件として当該加盟店をMasterCardに登録しておかなければならない。
PCI DSS 実施は複数の関係者の
緊密な協力によって達成できる
PCI DSSを実施していくためには関係者の協力が欠かせない。PCISSCとカードブランドだけの力ではその実施はおぼつかない。カードブランドとしてMasterCardはPCI DSSコンプライアンス状況モニタリング/推進、PCI DSS準拠済みのサービスプロバイダの承認/公開、データ流出事件発生時の影響を受けたイシュアへの連絡などの責任を負っている。
一方、アクワイアラは次の責任を負っている。すなわち、
• アクワイアラは加盟店と協働しながらそれぞれの加盟店がどのレベル(規模)なのかを把握してレベルに応じた検証要件を実施するように加盟店に対して教育/啓蒙活動を実施する
• アクワイアラはどの加盟店がPCI DSS検証要件のどの部分について完了/未完了なのかを検証しMasterCardに報告することが求められている
• 加盟店でペイメントカードデータが流出してしまった場合、アクワイアラはフォレンジック調査の調整を加盟店/フォレンジック会社の間で行わなければならない
• アクワイアラは加盟店から取得したサービスプロバイダ情報をMasterCardに提供しなければならない
加盟店の役割は何か?
• 加盟店はPCI DSS の検証要件を認定セキュリティ評価機関(QSA)や脆弱性スキャニングベンダー(ASV)の審査を受けて、その結果をアクワイアラに報告することが必要である
• 加盟店はカードデータをサービスプロバイダと共有する場合にはしかるべき契約を結ばなければならない
サービスプロバイダの役割は?
• サービスプロバイダは、加盟店に対して当該サービスプロバイダがPCI DSS 準拠であることを示さなければならない。一方、MasterCardはサービスプロバイダの規模に応じてPCI DSS要件検証を直接サービスプロバイダとの間で行っている
ペイメントカードのデータ流出事件が発生した場合の対応
ここでは、ペイメントカードのデータ流出事件が発生してしまった場合のMasterCardのルールを説明したい。MasterCardはペイメントカードのデータが流出してしまった場合にはアクワアラに次の対応をするようにお願いしている。
• 調査を開始すること
• 流出カード番号をMasterCardに提供すること
• 流出元でさらなるペイメントカードのデータ流出が起こらないように緊急安全対策を実施すること
• 流出事件認知から24 時間以内に初期報告をMasterCard に行うこと。
• 流出事件認知から72 時間以内にMasterCard 認定のフォレンジック調査会社が関わること
• その後1週間ごとにMasterCardに進捗状況を報告すること
• データ流失事件の調査完了後即座に流出元加盟店はPCI DSS準拠プロセスを開始すること
• 流出元加盟店は自動的にSDPのレベル1加盟店に認定されるので、レベル1加盟店の検証要件を実施すること
② 加盟店の遵守状況
加盟店の準拠状況は期待しているより遅いと見ているが、その理由の1つには、PCI DSS への準拠に伴うコストがあるとみている。例えば、デパートやディスカウントストアのように、すでに統合されたPOS 端末を導入している加盟店の場合、端末を替えなくてはいけないことに二の足を踏んでしまうだろう。また、オンサイトレビューやPCI DSSに準拠するために必要な事項にかかるコストが加盟店の準拠をためらわせることになっていると思われる。
MasterCardでは、加盟店とサービスプロバイダに、そもそもペイメントカードデータを保有しないようにすることで、PCI DSSのスコープ(検証範囲)を最小限にすることを推進している。というのは、データ流出を経験したほとんどの団体が、自分たちがどのようなデータを保有しているのかすら認識していなかったのだ。
最近は、PCI DSS とその要件についての認知度が上がってきており、データ保護策を熟知しているQSAが、プロセシングのシステムを構造的にアップグレードすることで発生する巨額のコストを避けることを可能にするようなデータ保護策を顧客に対し教育するといったサービスを、PCISSCが積極的に宣伝している。
※本記事はMasterCard Worldwideの寄稿になります。
