2011年1月12日8:00

決済代行事業者のリーディングカンパニーとしてPCI DSSに取り組む
ISMSとの合同審査で審査日数の削減と作業の効率化を図る

GMOペイメントゲートウェイは2万6,000店舗以上が利用する国内最大級の決済代行事業者である。同社ではPCI DSSが策定される前からVisaのAISを取得し、国内の上場決済代行事業者でもっとも早くISMSの認証を取得するなど、セキュリティ確保に力を入れている。

ISMSの認証を上場決済代行事業者で一番に取得

1.1から1.2へのバージョンアップで審査項目が増加

GMOペイメントゲートウェイでは2008年にPCI DSS Version1.1の認証を取得。2009年にVersion1.2への対応を行い、2010年12月に更新審査を行った。

取締役 システム本部 本部長 市田員史氏

同社ではISMSの認証を上場決済代行事業者としてもっとも早く取得している。2009年からはISMSとPCI DSSの審査を同一のQSA(認定セキュリティ評価機関)に依頼し、合同審査を実施。両審査を合わせて実施することにより、審査日数の削減と作業の効率化を図った。

2009年の審査においてはバージョンが1.1から1.2へ変更となったが、「審査が難しくなったというよりは実施する項目が増えたという印象でした」とGMOペイメントゲートウェイ システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏は説明する。例えば、ぺネトレーションテストは外部だけではなく、内部も要求されるようになった。また、要件11では無許可な無線アクセスポイントが存在していないことを確認しなければならない。

「弊社では無線LANを使用していませんが、アクセスポイントが存在していないことを証明する証跡は確保していませんでした。そのため、ツールを使って対応を図りました」(田中氏)

システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏

PCI SSCのQSAに対する品質保証プログラムの実施により、ネットワークやサーバの設定など、サンプリングの項目数が増えたという。

ツールとしては、要件6.6項の対応はWAF(Web Application Firewall)を導入、要件10のログの集約や要件11のファイル整合性監視ソフトに関してもソリューションの導入で乗り切った。代替コントロールに関しては要件3の部分など、複数の項目で適用している。

Version 1.2の継続となる2010年の審査でも同様の項目で代替コントロールを適用したが、新規のシステム投資などは特になく、準拠を果たしている。

「弊社は国内の決済代行事業者の中ではトップクラスの決済処理を行っているため、サーバの台数が多く、審査を担当したQSAからも大変でしたねと、ねぎらいのお言葉をいただきました」(田中氏)

Version 2.0の基準変更はプラスに?

次期システムでは仮想化を意識

2011年からはVersion2.0が適用されたが、「要件がより明確化されたため、格段に審査が厳しくなるという印象はない」と同社 取締役 システム本部 本部長 市田員史氏は話す。

システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏

「Vesion2.0では仮想化が明示的に認められましたが、次期システム構築の際はその辺りも考慮して検討を行う方針です」(市田氏)

トークナイゼーションなどの新技術の動向に関しても「既存システムに組み込み込んでどの程度効果があるかなど、費用対効果も含めて見極めが必要だと思います」と同社 システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏は説明する。

「PGマルチペイメントサービス」で

加盟店が安心して決済できる環境を

GMOペイメントゲートウェイではISMS、プライバシーマーク、PCI DSSを三本柱にして加盟店のカード情報を漏えいさせないために全社一丸となって取り組んできた。「PGマルチペイメントサービス」に加盟店がカード情報を保持しなくても決済処理が行える「カード情報非保持サービス」を標準装備する等に加えて、情報漏えいに関する社内の教育や啓蒙を積極的に実施している。

「弊社ではカード情報を加盟店様が保管しない『非保持』の提案を積極的に行っています。もし、加盟店様が自社でカード会員情報を処理する場合は、その際の注意点などもアドバイスさせていただいています」(市田氏)

最近では新規加盟店だけでなく、既存の取引先からも非保持への切り替えに関する問い合わせが増えているという。また、加盟店自身がPCI DSSの取得を検討するケースも出てきているそうだ。

同社では今後も決済代行事業者のリーディングカンパニーとしてPCI DSSを始めとするセキュリティ対策に取り組む方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

国内最大級のクレジットカード情報データベース(アイティーナビ)

決済業界において30年以上の歴史を誇るシステムベンダー。ブランドプリペイド/デビット、クレジットの基幹プラットフォームをはじめ、幅広いサービスラインナップを用意。(エクサ)
モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

EMVCoや国際カードブランドから認定を受けた試験機関(テュフズードジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP