2011年1月12日8:00

決済代行事業者のリーディングカンパニーとしてPCI DSSに取り組む
ISMSとの合同審査で審査日数の削減と作業の効率化を図る

GMOペイメントゲートウェイは2万6,000店舗以上が利用する国内最大級の決済代行事業者である。同社ではPCI DSSが策定される前からVisaのAISを取得し、国内の上場決済代行事業者でもっとも早くISMSの認証を取得するなど、セキュリティ確保に力を入れている。

ISMSの認証を上場決済代行事業者で一番に取得

1.1から1.2へのバージョンアップで審査項目が増加

GMOペイメントゲートウェイでは2008年にPCI DSS Version1.1の認証を取得。2009年にVersion1.2への対応を行い、2010年12月に更新審査を行った。

取締役 システム本部 本部長 市田員史氏

同社ではISMSの認証を上場決済代行事業者としてもっとも早く取得している。2009年からはISMSとPCI DSSの審査を同一のQSA(認定セキュリティ評価機関)に依頼し、合同審査を実施。両審査を合わせて実施することにより、審査日数の削減と作業の効率化を図った。

2009年の審査においてはバージョンが1.1から1.2へ変更となったが、「審査が難しくなったというよりは実施する項目が増えたという印象でした」とGMOペイメントゲートウェイ システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏は説明する。例えば、ぺネトレーションテストは外部だけではなく、内部も要求されるようになった。また、要件11では無許可な無線アクセスポイントが存在していないことを確認しなければならない。

「弊社では無線LANを使用していませんが、アクセスポイントが存在していないことを証明する証跡は確保していませんでした。そのため、ツールを使って対応を図りました」(田中氏)

システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏

PCI SSCのQSAに対する品質保証プログラムの実施により、ネットワークやサーバの設定など、サンプリングの項目数が増えたという。

ツールとしては、要件6.6項の対応はWAF(Web Application Firewall)を導入、要件10のログの集約や要件11のファイル整合性監視ソフトに関してもソリューションの導入で乗り切った。代替コントロールに関しては要件3の部分など、複数の項目で適用している。

Version 1.2の継続となる2010年の審査でも同様の項目で代替コントロールを適用したが、新規のシステム投資などは特になく、準拠を果たしている。

「弊社は国内の決済代行事業者の中ではトップクラスの決済処理を行っているため、サーバの台数が多く、審査を担当したQSAからも大変でしたねと、ねぎらいのお言葉をいただきました」(田中氏)

Version 2.0の基準変更はプラスに?

次期システムでは仮想化を意識

2011年からはVersion2.0が適用されたが、「要件がより明確化されたため、格段に審査が厳しくなるという印象はない」と同社 取締役 システム本部 本部長 市田員史氏は話す。

システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏

「Vesion2.0では仮想化が明示的に認められましたが、次期システム構築の際はその辺りも考慮して検討を行う方針です」(市田氏)

トークナイゼーションなどの新技術の動向に関しても「既存システムに組み込み込んでどの程度効果があるかなど、費用対効果も含めて見極めが必要だと思います」と同社 システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏は説明する。

「PGマルチペイメントサービス」で

加盟店が安心して決済できる環境を

GMOペイメントゲートウェイではISMS、プライバシーマーク、PCI DSSを三本柱にして加盟店のカード情報を漏えいさせないために全社一丸となって取り組んできた。「PGマルチペイメントサービス」に加盟店がカード情報を保持しなくても決済処理が行える「カード情報非保持サービス」を標準装備する等に加えて、情報漏えいに関する社内の教育や啓蒙を積極的に実施している。

「弊社ではカード情報を加盟店様が保管しない『非保持』の提案を積極的に行っています。もし、加盟店様が自社でカード会員情報を処理する場合は、その際の注意点などもアドバイスさせていただいています」(市田氏)

最近では新規加盟店だけでなく、既存の取引先からも非保持への切り替えに関する問い合わせが増えているという。また、加盟店自身がPCI DSSの取得を検討するケースも出てきているそうだ。

同社では今後も決済代行事業者のリーディングカンパニーとしてPCI DSSを始めとするセキュリティ対策に取り組む方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP