2012年2月27日8:00

ブリッジ審査でPCI DSSとISMSの両認証を取得
「安心・安全」な決済代行サービスに力を入れる

長野県で2001年から決済代行サービスを提供するルミーズは、2011年12月31日付けで、同社のクレジットカードをはじめとするEC決済サービスおよびシステムが、ペイメントカード業界の国際的なセキュリティ基準である「PCI DSS Version2.0」に完全準拠した。また、同時に情報セキュリティマネジメントシステム「ISMS(ISO/IEC27001:2005 / JIS Q 27001:2006)」の審査も受審し認証取得を認められた。同社では「安心・安全」な決済サービスに力を入れている。

3~4年前から準拠に向け準備を進める

4月のキックオフから12月の審査までスムーズに対応

2,500サイト以上で実績があるルミーズは、12年の実績があり、中小企業を中心に「安心・安全」な決済サービスを、競合に比べ安価に提供している。セキュリティの強化にも力を入れており、同社の決済サーバに脆弱性がないかという診断を国内で初めて受診し、定期的なチェックを行っている。

ルミーズ 取締役 村澤直芳氏

PCI DSSの準拠を決意について、ルミーズ 取締役 村澤直芳氏は、「カード会社からの要請があったこともありますが、決済サービスを提供する上で、3~4年前からシステム投資を含めて準備をしてきました。『安心・安全』を提供する目的で2011年にISMSも含めて、取り組むことになりました」と説明する。

同社が研究を開始した当時、PCI DSSの基準はVersion1.2であり、「弊社のシステムでは、若干対応負荷が重かった」(村澤氏)というが、システム開発の準備を進め、Version2.0が適用になり、ベースもつかめてきたため、正式に準拠に取り掛かったそうだ。

同社では、PCI DSSとISMSの合同審査に向け、外部企業にコンサルティングを依頼。2011年4月に両規格の取得を目指してシステムのブラッシュアップ、社内業務手順の見直しに着手し、2011年12月までに、PCI DSSのQSA(認定セキュリティ評価機関)ならびにISMSの審査機関のブリッジ審査を受け、両認証の取得に至った。

「PCI DSSは、セキュリティ基準が明確に決められており、リプレイスの時期も含めて対応しやすかった部分はありましたが、4月のキックオフから12月の審査までスムーズに進めることができました」(村澤氏)

ログの収集方法の選定や設定に苦労

準拠後は担当者の管理意識が向上

技術的なハードルとしては、アプリケーションのOSのバージョンが異なるため、ログの収集方法の選定や設定に苦労したという。代替コントロールは、3カ所で適用している。PCI DSSの準拠に向け、かかったコストはコンサルティングやQSAの審査費用などだが、データセンタの移設やネットワーク機器などの導入を3~4年前から設備投資を段階的に行っていたため、「PCI DSS準拠のために新たに投資したシステムはなかった」(村澤氏)そうだ。

QSAの審査に関しては、まずISMSを実施。そのあとにPCI DSSの審査を行った。予備審査を受けずに本審査を実施したが、「審査を担当したQSAからの改善事項も特にありませんでした」と村澤氏は成果を語る。

準拠後の日々の運用面については、「社内のワークフローを徹底しており、特に負担になることはありませんでした。準拠したことで担当者レベルの管理意識は上がったと考えています」と村澤氏は笑顔を見せる。

PCI DSSへの準拠を加盟店にPRへ

セキュリティ関連サービスの提供も視野に

同社では、2012年以降もPCI DSSとISMS、以前から取得しているプライバシーマークの認証を継続していきたいと考えている。今後は、新技術の導入も検討しているが、「システム投資や社内の開発工数を考えながら研究を進めていきたい」としている。

PCI DSSについては、カード業界外での認知がまだまだ低いため、現状、加盟店からの問い合わせはないという。ただ、PCI DSSの基準をクリアしている決済代行事業者としてPRを行う方針だ。また、同社ではペネトレーションテストの実施など、コンサルティングも含めた展開を行う予定となっている。村澤氏も、「単純なカード決済代行の提供だけではなく、セキュリティも含めた周辺までサービスとして提供していきたい」と意気込みを語った。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級のクレジットカード情報データベース(アイティーナビ)

現金とキャッシュレスの売上をリアルタイムに確認可能なIoTプラットフォーム「IoT Cube」/Pay BOX(飛天ジャパン)

BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)
電子マネー、クレジット、QRコード、共通ポイント、ハウスプリペイドなど、43サービスをご提供(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP