日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得

2011年9月26日8:00

日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得
NTTデータのPastelPortと連携しより安全な通信を実現

日本NCRとNTTデータは、2011年9月9日、両社が開発した決済アプリケーション・ソフトウェアが、PCIDSSやPCI PTSなど、ペイメントカードの国際セキュリティ基準を管理する団体であるPCI SSC(Payment Card Industry Security Standards Council)から、国内初のPA-DSS(Payment Application Data Security Standard)Version 2.0認定を取得した。

国内で初めて2008年にPA-DSSに準拠

POSからセンターまで包括的にセキュリティを確保

PA-DSSは、クレジットカードなどの決済アプリケーションを開発・販売するPOSベンダーなどが準拠対象となる。日本NCRでは国内向けの製品としてははじめて、2008年にPA-DSS Version1.1に準拠している。

「もともと弊社の決済アプリは、2008年にPA-DSS Version 1.1を取得しましたが、PCI SSCの定めるガイドラインでは、2つバージョンが上がると更新が求められていたため、今回準拠を決意しました」(日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏)

日本NCRとNTTデータの決済アプリケーション・ソフトウェアのイメージ

今回の認定を取得したのは、日本NCRの決済アプリケーション・ソフトウェア「NCR Retail Enterprise Solution – ePayment(リテイル・エンタープライズ・ソリューション – イー・ペイメント)」とNTTデータが提供するクレジットカードの決済サービス、「PastelPort(パステルポート)」である。NCR Retail Enterprise Solution – ePaymentには、PastelPortと接続するためのソフトウェアが標準で組み込まれているため、POSからPastelPortセンターまで包括的にセキュリティを確保できるという。

「NTTデータでは、PastelPortで通信するためのクライアント・ソフトウェアを提供されていますが、通信ソフトだけでは、PA-DSSに準拠できませんでしたので、弊社のような決済アプリケーション・ソフトウェアを提供する企業との組み合わせが必要になりました」(野沢氏)

また、NCRにとっても通信する相手が曖昧だと決済アプリケーションとして不完全なものになる。その点、「PastelPortはPCI DSSの審査も受けていたため、安全な相手に通信できるという意味で、パートナーとしては最適でした」と野沢氏は連携の経緯を口にする。

前回の審査よりもPA-QSAの要求が高まる

文書はもちろん、その内容まで細かいチェックを受ける

2.0の審査に向けては、「1.1に比べ、審査の基準が厳しくなった分、準拠への道のりは険しいものとなりました」と野沢氏は打ち明ける。

具体的には暗号化の部分の難易度が上がった点、そして、PA-DSSの審査を担当するPA-QSAの品質をPCI SSCが審査することになったため、審査のハードルが上がった点だ。

日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏

これは、米国においてPCI DSSの認定セキュリティ評価機関である「QSA」やPA-QSAが、審査時に公正を欠くなどの問題が過去にあったため、PCI SSCが審査機関を審査する「品質保証プログラム」制度ができたためだ。同制度により、実際の審査ではこれまで口頭で済んでいた部分がドキュメントとして証跡を残さなければならなくなり、QSAも審査過程において明確なエビデンスを示さなければならなくなった。

「今回の審査では、文書だけではなく、内容面まで細かくチェックされました。また、製品自体がセキュリティを保持していることはもちろん、開発プロセス時のセキュリティ品質も問われるようになりました」(野沢氏)

具体的には、セキュリティホールができないようなレビュー体制を敷いているか、鍵の漏えいを防止するような管理体制をとっているかなど、組織自体の運営を見直さなければならなくなった。

NTTデータのPastelPortについては、PA-DSS Version 1.1にも準拠していなかったため、「セキュリティ上の問題も含め、2.0に準拠するためにパッケージの更新を行っていただきました」と野沢氏は話す。

なお、審査に関しては前回同様にNTTデータ先端技術(旧NTTデータ・セキュリティ)に依頼した。対応コストについては、1.1で蓄積したベースがあるため、その半分程度の金額で準拠が達成できたという。

最近は顧客企業からも

PA-DSS準拠のリクエストが増える

そもそも、同社が国内でいち早くPA-DSSに準拠したのは、POSシステムへのセキュリティ面の不安を考えたからである。米国ではPCI DSSの準拠が証明されたPOSアプリケーションの使用が義務化されており、NCRだけでなく、ほかの会社もPA-DSSに準拠したパッケージを販売している。日本では、POSからのカード番号の情報漏えいなどは顕在化していないが、「国内のPOS加盟店などもカード番号漏えいのリスクは大きい」と野沢氏は考えている。

同社が、2008年7月にリリースしたPA-DSS準拠の「NCR RealGate Payment(NCRリアルゲイト決済)」に関しては、「当時は、加盟店の認知度も低く、PA-DSSのパッケージとしての引き合いはそれほどありませんでしたが、最近では『Request for Proposal』をもらう際に『PA-DSS準拠』の文字が散見されるようになりました」と野沢氏は話す。

NCR Retail Enterprise Solution – ePaymentは、カード決済に関する部分を独立してパッケージ化しているため日本NCR製のPOSはもとより、NTTデータのPastelPortと接続して他社製のPOSをはじめとする各種カード決済端末にも導入が可能な点が特徴となっている。また、さまざまな電子マネーの規格にも対応した。すでに電子マネーの部分では大手家電量販店での採用が決定しているそうだ。

なお、PastelPort以外の別の決済サービスに接続する場合は、「決済サービスが変わった時点で通信時のセキュリティが変わるため、追加の審査が必要になる」と野沢氏は説明する。

価格に関してはパッケージの導入規模によって変動する。野沢氏は、「少なくても弊社のPOS加盟店からカード番号の漏えいがあっては困りますので、既存顧客のPOSの入れ替え時にはNCR Retail Enterprise Solution – ePaymentの導入を進めていく方針です」と話す。また、同パッケージによる新規顧客の開拓にもつなげていきたいとしている。

⇒⇒特集トップへ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

PayBやWeChatPay/Alipay/ PayPay等のスマートフォン決済、ミニプログラム、 越境EC、リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

最強レベルのホワイトハッカーによるペネトレーション試験をお引き受けします。(決済ネットワーク、Webアプリ、決済ターミナル向け)(FIME JAPAN)
【8/26(水)開催】CREPiCO「ペイジー口座振替受付サービス」フィットネス・スポーツ業界向けWebセミナー(セイコーソリューションズ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP