2011年12月9日8:00

社内のメンバーを中心にコストを抑えてPCI DSSに完全準拠
セキュリティレベルの向上により、準拠後は営業面でもプラスに

決済代行事業者やコンサルティングサービスを展開するビリングシステムは、2010年11月にPCI DSS Version1.2に完全準拠した。同社では2011年11月にVersion2.0による更新審査を行い、2年連続で準拠を果たしている。

ペイメントカード情報は従来から集約

カード会員情報と関係ない部分のシステム対応に苦慮

ビリングシステムは、インターネットを利用した個人投資家の株式の売買、為替・金融先物取引に付随する銀行口座、証券口座間の資金移動を、リアルタイムでサポートする「クイック入金サービス」をはじめ、決済のASPサービスを提供している。決済手段としてもクレジットカードをはじめ、銀行、コンビニ決済など、幅広い方式をサポートしている。

ビリングシステム システム部のメンバー。左から尼子 宏氏、マネジャー 七條純一氏、取締役CTO兼システム本部長 高松広明氏、小川 陽氏、マネジャー 赤谷志朗氏

「最近では、大手企業からPCI DSS準拠など、セキュリティに関するお問い合わせをいただくことが多くなってきました。また、弊社にとっても自社のセキュリティレベルを客観的に見極めるために準拠を決意しました」(ビリングシステム 取締役CTO兼システム本部長 高松広明氏)

同社では2009年からシステム部門を中心に準備を開始し、2010年11月にPCI DSS Version1.2に準拠した。準拠にかかった期間は約1年。既存のシステムをベースに、「コストをかけずに準拠することを意識して取り組んだため、コンサルティングは特に依頼せずに、自社のスタッフで対応を行いました」とシステム部 マネジャー 赤谷志朗氏は説明する。また、審査にかかるコストなどもなるべく抑えるように意識した。

同社ではPCI DSSの「要件とセキュリティ評価手順」に記載されている項目で、自社が対応できていないところをチェックしながら、システム対応を行った。システム部 マネジャー 七條純一氏は、「従来から一カ所のサーバにカード会員情報を集約していたため、比較的対応は行いやすかった」と説明する。また、一昨年からカード会員情報の保持が必要なサービスを提供しているが、基本的にはカード会員情報はデータベース上に残らないように設計していた。

「もともとカード会員情報については厳格な管理を行っていたため、準拠が大変だった部分は、カード会員情報と関係のない部分でした」(高松氏)

ログ管理を行うサーバを構築

代替コントロールは5箇所で適用

既存のシステムで準拠が難しい部分については、代替コントロールでの適用を踏まえ、対応に当たった。準拠に向けては、ログ管理を行うサーバを構築。また、要件3の暗号化部分など、代替コントロールを5箇所で適用している。

「弊社独自のシステムとして、内部セグメント(Trust)のネットワークから直接インターネットに接続している部分があります。一回通信が終わった後で返答を返す仕組みは基本的に、HTTP、HTTPSで行いますが、弊社では直接Trustからお客様に返しています。それをPCI DSSの要件に合わせるためにはDMZにプロキシ・サーバを導入する必要がありましたが、コストの問題もあり難しかったため、代替コントロールを適用しています」(高松氏)

Version2.0への変更により苦慮した点はそれほどない

仮想化への対応は今後の検討課題

2011年11月には、PCI DSS Version2.0の更新審査を行ったが、「1.2に比べ、要件自体にそれほど変化はありませんでした」とシステム部 尼子宏氏は説明する。審査時に指摘を受けた箇所もほとんどなく、代替コントロールも同じ箇所で適用している。むしろ、「セキュリティパッチの適用など、常日頃の運用面のほうが大変でした」と高松氏は打ち明ける。

PCI DSSの準拠により、営業の担当者もセキュリティに関するアピールを行いやすくなるなど、プラスに働く点も出てきているそうだ。

Version2.0からは、仮想環境下での利用も具体的に記載されているが、「仮想化は本番の環境では使っていませんので、今後の課題だと思います」と高松氏は話す。また、同社では、ISMSの認証も取得しており、同一の認証機関に審査を依頼しているという。

■PCI DSS準拠企業の事例一覧へ

 

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

「Alipay」「WeChat Pay」中国最大規模のオンライン決済サービス(トリニティ)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

SaAT ポケレジ スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

国内ICカードシェアNo.1(大日本印刷)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通FIP)

設立20年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

決済情報コラムを好評連載中!「コンビニ収納ペーパーレス決済(番号方式)のわずかな、でも大事な違い」(NTTインターネット)

PayBWeChatPayのスマートフォン決済、信頼性の高い収納代行、送金など、様々な決済ソリューションを提供(ビリングシステム)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

クレジット・デビットカード、銀聯カード、ギフトカード、リアルタイム口座振替、ペイジーなどの様々なサービスに関するソリューションをご提供(富士通)

シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現(セイコーソリューションズ)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

全国180社以上の導入実績を誇る「CARD CREW PLUS」(ジィ・シィ企画)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP