2011年9月26日8:00
日本NCRの決済アプリが国内初、PA-DSS Version 2.0認定を取得
NTTデータのPastelPortと連携しより安全な通信を実現
日本NCRとNTTデータは、2011年9月9日、両社が開発した決済アプリケーション・ソフトウェアが、PCIDSSやPCI PTSなど、ペイメントカードの国際セキュリティ基準を管理する団体であるPCI SSC(Payment Card Industry Security Standards Council)から、国内初のPA-DSS(Payment Application Data Security Standard)Version 2.0認定を取得した。
国内で初めて2008年にPA-DSSに準拠
POSからセンターまで包括的にセキュリティを確保
PA-DSSは、クレジットカードなどの決済アプリケーションを開発・販売するPOSベンダーなどが準拠対象となる。日本NCRでは国内向けの製品としてははじめて、2008年にPA-DSS Version1.1に準拠している。
「もともと弊社の決済アプリは、2008年にPA-DSS Version 1.1を取得しましたが、PCI SSCの定めるガイドラインでは、2つバージョンが上がると更新が求められていたため、今回準拠を決意しました」(日本NCR 製品・マーケティング本部 製品開発部 部長 野沢幸俊氏)
今回の認定を取得したのは、日本NCRの決済アプリケーション・ソフトウェア「NCR Retail Enterprise Solution – ePayment(リテイル・エンタープライズ・ソリューション – イー・ペイメント)」とNTTデータが提供するクレジットカードの決済サービス、「PastelPort(パステルポート)」である。NCR Retail Enterprise Solution – ePaymentには、PastelPortと接続するためのソフトウェアが標準で組み込まれているため、POSからPastelPortセンターまで包括的にセキュリティを確保できるという。
「NTTデータでは、PastelPortで通信するためのクライアント・ソフトウェアを提供されていますが、通信ソフトだけでは、PA-DSSに準拠できませんでしたので、弊社のような決済アプリケーション・ソフトウェアを提供する企業との組み合わせが必要になりました」(野沢氏)
また、NCRにとっても通信する相手が曖昧だと決済アプリケーションとして不完全なものになる。その点、「PastelPortはPCI DSSの審査も受けていたため、安全な相手に通信できるという意味で、パートナーとしては最適でした」と野沢氏は連携の経緯を口にする。
前回の審査よりもPA-QSAの要求が高まる
文書はもちろん、その内容まで細かいチェックを受ける
2.0の審査に向けては、「1.1に比べ、審査の基準が厳しくなった分、準拠への道のりは険しいものとなりました」と野沢氏は打ち明ける。
具体的には暗号化の部分の難易度が上がった点、そして、PA-DSSの審査を担当するPA-QSAの品質をPCI SSCが審査することになったため、審査のハードルが上がった点だ。
これは、米国においてPCI DSSの認定セキュリティ評価機関である「QSA」やPA-QSAが、審査時に公正を欠くなどの問題が過去にあったため、PCI SSCが審査機関を審査する「品質保証プログラム」制度ができたためだ。同制度により、実際の審査ではこれまで口頭で済んでいた部分がドキュメントとして証跡を残さなければならなくなり、QSAも審査過程において明確なエビデンスを示さなければならなくなった。
「今回の審査では、文書だけではなく、内容面まで細かくチェックされました。また、製品自体がセキュリティを保持していることはもちろん、開発プロセス時のセキュリティ品質も問われるようになりました」(野沢氏)
具体的には、セキュリティホールができないようなレビュー体制を敷いているか、鍵の漏えいを防止するような管理体制をとっているかなど、組織自体の運営を見直さなければならなくなった。
NTTデータのPastelPortについては、PA-DSS Version 1.1にも準拠していなかったため、「セキュリティ上の問題も含め、2.0に準拠するためにパッケージの更新を行っていただきました」と野沢氏は話す。
なお、審査に関しては前回同様にNTTデータ先端技術(旧NTTデータ・セキュリティ)に依頼した。対応コストについては、1.1で蓄積したベースがあるため、その半分程度の金額で準拠が達成できたという。
最近は顧客企業からも
PA-DSS準拠のリクエストが増える
そもそも、同社が国内でいち早くPA-DSSに準拠したのは、POSシステムへのセキュリティ面の不安を考えたからである。米国ではPCI DSSの準拠が証明されたPOSアプリケーションの使用が義務化されており、NCRだけでなく、ほかの会社もPA-DSSに準拠したパッケージを販売している。日本では、POSからのカード番号の情報漏えいなどは顕在化していないが、「国内のPOS加盟店などもカード番号漏えいのリスクは大きい」と野沢氏は考えている。
同社が、2008年7月にリリースしたPA-DSS準拠の「NCR RealGate Payment(NCRリアルゲイト決済)」に関しては、「当時は、加盟店の認知度も低く、PA-DSSのパッケージとしての引き合いはそれほどありませんでしたが、最近では『Request for Proposal』をもらう際に『PA-DSS準拠』の文字が散見されるようになりました」と野沢氏は話す。
NCR Retail Enterprise Solution – ePaymentは、カード決済に関する部分を独立してパッケージ化しているため日本NCR製のPOSはもとより、NTTデータのPastelPortと接続して他社製のPOSをはじめとする各種カード決済端末にも導入が可能な点が特徴となっている。また、さまざまな電子マネーの規格にも対応した。すでに電子マネーの部分では大手家電量販店での採用が決定しているそうだ。
なお、PastelPort以外の別の決済サービスに接続する場合は、「決済サービスが変わった時点で通信時のセキュリティが変わるため、追加の審査が必要になる」と野沢氏は説明する。
価格に関してはパッケージの導入規模によって変動する。野沢氏は、「少なくても弊社のPOS加盟店からカード番号の漏えいがあっては困りますので、既存顧客のPOSの入れ替え時にはNCR Retail Enterprise Solution – ePaymentの導入を進めていく方針です」と話す。また、同パッケージによる新規顧客の開拓にもつなげていきたいとしている。
