2012年2月27日8:00

ブリッジ審査でPCI DSSとISMSの両認証を取得
「安心・安全」な決済代行サービスに力を入れる

長野県で2001年から決済代行サービスを提供するルミーズは、2011年12月31日付けで、同社のクレジットカードをはじめとするEC決済サービスおよびシステムが、ペイメントカード業界の国際的なセキュリティ基準である「PCI DSS Version2.0」に完全準拠した。また、同時に情報セキュリティマネジメントシステム「ISMS(ISO/IEC27001:2005 / JIS Q 27001:2006)」の審査も受審し認証取得を認められた。同社では「安心・安全」な決済サービスに力を入れている。

3~4年前から準拠に向け準備を進める

4月のキックオフから12月の審査までスムーズに対応

2,500サイト以上で実績があるルミーズは、12年の実績があり、中小企業を中心に「安心・安全」な決済サービスを、競合に比べ安価に提供している。セキュリティの強化にも力を入れており、同社の決済サーバに脆弱性がないかという診断を国内で初めて受診し、定期的なチェックを行っている。

ルミーズ 取締役 村澤直芳氏

PCI DSSの準拠を決意について、ルミーズ 取締役 村澤直芳氏は、「カード会社からの要請があったこともありますが、決済サービスを提供する上で、3~4年前からシステム投資を含めて準備をしてきました。『安心・安全』を提供する目的で2011年にISMSも含めて、取り組むことになりました」と説明する。

同社が研究を開始した当時、PCI DSSの基準はVersion1.2であり、「弊社のシステムでは、若干対応負荷が重かった」(村澤氏)というが、システム開発の準備を進め、Version2.0が適用になり、ベースもつかめてきたため、正式に準拠に取り掛かったそうだ。

同社では、PCI DSSとISMSの合同審査に向け、外部企業にコンサルティングを依頼。2011年4月に両規格の取得を目指してシステムのブラッシュアップ、社内業務手順の見直しに着手し、2011年12月までに、PCI DSSのQSA(認定セキュリティ評価機関)ならびにISMSの審査機関のブリッジ審査を受け、両認証の取得に至った。

「PCI DSSは、セキュリティ基準が明確に決められており、リプレイスの時期も含めて対応しやすかった部分はありましたが、4月のキックオフから12月の審査までスムーズに進めることができました」(村澤氏)

ログの収集方法の選定や設定に苦労

準拠後は担当者の管理意識が向上

技術的なハードルとしては、アプリケーションのOSのバージョンが異なるため、ログの収集方法の選定や設定に苦労したという。代替コントロールは、3カ所で適用している。PCI DSSの準拠に向け、かかったコストはコンサルティングやQSAの審査費用などだが、データセンタの移設やネットワーク機器などの導入を3~4年前から設備投資を段階的に行っていたため、「PCI DSS準拠のために新たに投資したシステムはなかった」(村澤氏)そうだ。

QSAの審査に関しては、まずISMSを実施。そのあとにPCI DSSの審査を行った。予備審査を受けずに本審査を実施したが、「審査を担当したQSAからの改善事項も特にありませんでした」と村澤氏は成果を語る。

準拠後の日々の運用面については、「社内のワークフローを徹底しており、特に負担になることはありませんでした。準拠したことで担当者レベルの管理意識は上がったと考えています」と村澤氏は笑顔を見せる。

PCI DSSへの準拠を加盟店にPRへ

セキュリティ関連サービスの提供も視野に

同社では、2012年以降もPCI DSSとISMS、以前から取得しているプライバシーマークの認証を継続していきたいと考えている。今後は、新技術の導入も検討しているが、「システム投資や社内の開発工数を考えながら研究を進めていきたい」としている。

PCI DSSについては、カード業界外での認知がまだまだ低いため、現状、加盟店からの問い合わせはないという。ただ、PCI DSSの基準をクリアしている決済代行事業者としてPRを行う方針だ。また、同社ではペネトレーションテストの実施など、コンサルティングも含めた展開を行う予定となっている。村澤氏も、「単純なカード決済代行の提供だけではなく、セキュリティも含めた周辺までサービスとして提供していきたい」と意気込みを語った。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

モバイル決済端末(mPOS/SmartPOS)やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

ネットビジネスを始めた方が選ぶ「おすすめしたい」決済代行サービス部門No.1。クレジットカード決済が初めての方も切り替えの方も、事業者様のニーズに合わせて最適な決済方法をご提案します。(ゼウス)

Global Payment Technology Solutions(インコム・ジャパン)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

PCI P2PE 認定国内実績 No.1!多様なチャネルに対応し決済の新たな未来を創 造します(ルミーズ)
QRコードを活用したパスワードレスの認証方式で不正アクセスを未然に防止 セキュリティ課題を解決する認証サービス「認証BANK QR Auth」(セイコーソリューションズ)
「法人カード調査部」法人カードのおすすめはこれだ!年会費無料・ポイント還元率・マイルなどタイプ別で厳選紹介(LITE)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

国内ICカードシェアNo.1(大日本印刷)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP