2011年1月12日8:00

決済代行事業者のリーディングカンパニーとしてPCI DSSに取り組む
ISMSとの合同審査で審査日数の削減と作業の効率化を図る

GMOペイメントゲートウェイは2万6,000店舗以上が利用する国内最大級の決済代行事業者である。同社ではPCI DSSが策定される前からVisaのAISを取得し、国内の上場決済代行事業者でもっとも早くISMSの認証を取得するなど、セキュリティ確保に力を入れている。

ISMSの認証を上場決済代行事業者で一番に取得

1.1から1.2へのバージョンアップで審査項目が増加

GMOペイメントゲートウェイでは2008年にPCI DSS Version1.1の認証を取得。2009年にVersion1.2への対応を行い、2010年12月に更新審査を行った。

取締役 システム本部 本部長 市田員史氏

同社ではISMSの認証を上場決済代行事業者としてもっとも早く取得している。2009年からはISMSとPCI DSSの審査を同一のQSA(認定セキュリティ評価機関)に依頼し、合同審査を実施。両審査を合わせて実施することにより、審査日数の削減と作業の効率化を図った。

2009年の審査においてはバージョンが1.1から1.2へ変更となったが、「審査が難しくなったというよりは実施する項目が増えたという印象でした」とGMOペイメントゲートウェイ システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏は説明する。例えば、ぺネトレーションテストは外部だけではなく、内部も要求されるようになった。また、要件11では無許可な無線アクセスポイントが存在していないことを確認しなければならない。

「弊社では無線LANを使用していませんが、アクセスポイントが存在していないことを証明する証跡は確保していませんでした。そのため、ツールを使って対応を図りました」(田中氏)

システム本部 システム運用部 情報セキュリティーグループ 課長 田中良正氏

PCI SSCのQSAに対する品質保証プログラムの実施により、ネットワークやサーバの設定など、サンプリングの項目数が増えたという。

ツールとしては、要件6.6項の対応はWAF(Web Application Firewall)を導入、要件10のログの集約や要件11のファイル整合性監視ソフトに関してもソリューションの導入で乗り切った。代替コントロールに関しては要件3の部分など、複数の項目で適用している。

Version 1.2の継続となる2010年の審査でも同様の項目で代替コントロールを適用したが、新規のシステム投資などは特になく、準拠を果たしている。

「弊社は国内の決済代行事業者の中ではトップクラスの決済処理を行っているため、サーバの台数が多く、審査を担当したQSAからも大変でしたねと、ねぎらいのお言葉をいただきました」(田中氏)

Version 2.0の基準変更はプラスに?

次期システムでは仮想化を意識

2011年からはVersion2.0が適用されたが、「要件がより明確化されたため、格段に審査が厳しくなるという印象はない」と同社 取締役 システム本部 本部長 市田員史氏は話す。

システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏

「Vesion2.0では仮想化が明示的に認められましたが、次期システム構築の際はその辺りも考慮して検討を行う方針です」(市田氏)

トークナイゼーションなどの新技術の動向に関しても「既存システムに組み込み込んでどの程度効果があるかなど、費用対効果も含めて見極めが必要だと思います」と同社 システム本部 システム運用部 情報セキュリティーグループ 情報セキュリティーマネージャー 齊藤元彦氏は説明する。

「PGマルチペイメントサービス」で

加盟店が安心して決済できる環境を

GMOペイメントゲートウェイではISMS、プライバシーマーク、PCI DSSを三本柱にして加盟店のカード情報を漏えいさせないために全社一丸となって取り組んできた。「PGマルチペイメントサービス」に加盟店がカード情報を保持しなくても決済処理が行える「カード情報非保持サービス」を標準装備する等に加えて、情報漏えいに関する社内の教育や啓蒙を積極的に実施している。

「弊社ではカード情報を加盟店様が保管しない『非保持』の提案を積極的に行っています。もし、加盟店様が自社でカード会員情報を処理する場合は、その際の注意点などもアドバイスさせていただいています」(市田氏)

最近では新規加盟店だけでなく、既存の取引先からも非保持への切り替えに関する問い合わせが増えているという。また、加盟店自身がPCI DSSの取得を検討するケースも出てきているそうだ。

同社では今後も決済代行事業者のリーディングカンパニーとしてPCI DSSを始めとするセキュリティ対策に取り組む方針だ。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP