2011年7月19日8:00

PCI DSSの基準をベースに決済センターのシステムを構築
カード会社出身者が多くを占める会社として設立当初からセキュリティを意識

クレジットカードなどの決済センターを運営するリンク・プロセシングは、2011年6月、PCI DSS Version 2.0に完全準拠した。同社では、PCI DSS Ver.2.0へ対応し、セキュリティを強化したことで、顧客により一層、「安心・安全・便利」な決済サービスを提供することが可能になったという。

準拠に向け機器の選定に頭を悩ます

多くの企業が苦戦する項目は問題なく対応

2010年4月に設立したリンク・プロセシングは、インフキュリオンと日本カードが設立した決済センター運営会社である。同社では、マルチデバイスをコンセプトに、クレジットカード決済のみならず、プリペイドギフトカードやポイントカードなどに利用できるCAT端末、POSレジシステムなどと接続可能な決済処理接続などを提供している。

カード会社出身のメンバーが中心の同社では、会社を設立した当時からセキュリティを意識しており、PCI DSSの基準をベースに決済センターのシステムを構築したという。現状、PCI DSSにおいてQSA(認定セキュリティ評価機関)の訪問審査が必要となるサービスプロバイダの取引件数には達していないものの、自社のセキュリティのレベルを第三者から客観的に評価してもらうために、会社を設立した時点からPCI DSSの審査を受けることを意識した。また、パートナー企業から、同社決済センターのセキュリティレベルに対しての質問されることもあったという。

リンク・プロセシング 代表取締役 鎌田大輔氏

PCI DSSの準拠に向けては、「要件とセキュリティ評価手順」に記載されている項目のほぼすべてが対象となった。同社では、外部にコンサルティングを依頼し、アドバイスをもらいながら、対応にあたった。

遵守に向けて一番悩んだのは必要な機器の選定だった。同社では、コンサルティング企業と相談し、IDS(侵入検知システム)、ロードバランサー、ファイアウォールなどを導入している。

同社・取締役 神沢 順氏は、「後から機能を追加したわけではなく、スクラッチの段階からPCI DSSの項目を見ながらシステムを構築したため、各要件への対応は容易にできました。悩んだのは機器の選定で、価格や機能面などの要素を踏まえ、どの製品を導入するのがベストなのかを選別するのが難しかったです」と打ち明ける。

逆に、準拠企業の多くが苦戦する要件3や8の暗号化、要件6のセキュリティパッチの適用、要件10のログの集約、要件11の改ざん検知の仕組みなどは、センターの構築時に意識して作り込んだため、対応はそれほど苦にはならなかったという。

1.2から2.0への変更も苦にならず

投資コストは想定の範囲内に抑える

なお、同社では2010年から準備を進めたが、2011年からはPCI DSS Version2.0が適用となった。結果的に2.0では、1.2に比べ要件自体が明確化されたため、「厳格化された部分もありましたが、要件自体がわかりやすくなり、それほどハードルは上がらなかった」(神沢氏)そうだ。

同社では予備審査を3月に実施したが、その時点で大きな問題はほとんどなかった。

コストに関しては、機器の導入や要件6.6の脆弱性診断や要件11.3のペネトレーションテスト、QSAの審査費用が中心となったが、「想定の範囲内で決して高くはなかった」(神沢氏)という。

同社では来年以降も更新審査を受診する方針だ。PCI DSSの完全準拠企業などでは、日々の運用コストや労力がかかる点も課題として挙げられているが、同社の決済センターの運用は、システムに組み込まれているものがほとんどであり、追加のシステム投資や労力などがかからないように設計されている。

マストだからではなく準拠するのが当たり前

カード会社出身者として加盟店が求めるシステムを提供

神沢氏は自らの経験から、「PCI DSS準拠は、必要以上にコストがかかるようなイメージがありますが、規模のある会社であれば自社で対応できる部分も少なくありません。要件に記載されていることは決して無謀なことではなく、カード会社出身の人間からすると当たり前のことが書かれています」と説明したうえで、「今後もマストだからではなく、準拠するのが当たり前であるという意識で取り組んでいきたい」と述べる。

同社・代表取締役の鎌田大輔氏は、「弊社の決済センターで提供するシステムは、ローコストをコンセプトにしているため、ともすればお客様からセキュリティは大丈夫なのかと言われる可能性があります。今後も、安かろう悪かろうではなく、カード会社出身のメンバーが多く在籍する会社として、PCI DSSなどのセキュリティ基準をクリアしながら、加盟店様のニーズを満たすシステムを提供していきたいと考えています」と意気込みを語った。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

PayBやWeChatPay/Alipay等のスマートフォン決済、 リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP