大日本印刷株式会社(2009年更新審査)

2010年5月13日  11:49
 
カード決済における本人認証サービス「SIGN3D」でPCI DSSに完全遵守
 Visaの「3-Dセキュア」の基準と並行して対応を進める

大日本印刷ではICカードの即時発行や暗証番号変更などを支援する、ネットワーク型ICカード関連サービス「CDMS(カードデータマネジメントサービス)事業」を展開している。同事業ではカード会社を対象にインターネット上でのカード決済における本人認証サービス「SIGN3D(サインド)」を提供している。大日本印刷では2008年に同サービスにおいてPCI DSSの認定を取得した。

3-Dセキュアと基準が異なる場合は

厳しい基準に合わせて対応

大日本印刷がPCI DSSの認定を最初に取得したのは2008年6月。ビザ・ワールドワイドの本人認証技術「3-Dセキュア」の本人認証サービス「SIGN3D」の環境でPCI DSS Ver.1.1に完全遵守した。バリデーションはVisa「AIS」のレベル1。

IPS事業部 デジタルセキュリティ本部 金融ソリューション開発部 リーダー 吾郷浩司氏

3-Dセキュアのサービスを行うためにはVisaの厳しいセキュリティ要件に対応しなければならず、その基準はPCI DSS以上にシビアと言われている。PCI DSSとVisaの3-Dセキュアの認定は要件的な重複も多く、同社では並行して対応を行った。物理セキュリティやアカウントの管理は、両基準でハードルの高さが異なる部分もあったが、同様のレギュレーションの場合はレベルの高いほうに合わせている。

「国内には3-Dセキュアを提供する会社がいくつかありますが、ACS(Access Contorol Server)のサービス開始当初からPCI DSSの認定を取得していたのは弊社だけでした。システムを立ち上げる段階から3-DセキュアとPCI DSSの両基準に合わせて構築することができました」(IPS事業部 デジタルセキュリティ本部 金融ソリューション開発部 リーダー 吾郷浩司氏)

大日本印刷ではもともとカード会社などからICカードの発行用データの生成や即時発行などを受託する「CDMS」を運用しているためセキュリティ面には十分に配慮している。PCI DSSの要件で期間が定められている部分は、基準に合わせて再構築した。「パッチだと通常3カ月、重要なものは1カ月と決められていますので、サービス開始の段階から要件通りにシステムを作り込んでいます」(大日本印刷 IPS事業部 ICカードソフト開発本部 CDMS開発部 リーダー 山下修一氏)

QSAの品質保証プログラム実施により

ドキュメントとして証跡が必要に

2009年6月には更新審査を行いVer.1.2に完全遵守した。Ver.1.2対応として、要件6.6はWAF(Web Application Firewall)を導入せず、外部の脆弱性監査を実施している。要件11 の内部、外部のぺネトレーションテストの実施に関しては、審査を担当したQSA(認定審査機関)によるOWASP(Open Web Application Security Project)のテストを行った。結果的に1.2対応のために機器などのシステム投資はほとんど発生しなかった。

IPS事業部 ICカードソフト開発本部 CDMS開発部 リーダー 山下修一氏

昨年の審査に関しては基準への対応よりもQSAの審査基準が厳しくなったことが大変だったという。

「弊社では米国の監査法人に審査を依頼しています。Ver.1.2の審査前に米国ではQSAの審査で公正を欠くものがあったなどの問題があり、PCI SSCが審査機関を監査する品質保証プログラムという制度ができました。これにより、審査直前になって審査会社がオンサイトレビューの方法を見直したため、その影響を大きく受け、対応に苦労しました」(山下氏)

結果的に品質保証プログラムによる審査の変更点が同社に伝えられたのは直前になってからだった。実際の審査ではこれまで口頭で済んだ部分がドキュメントとして証跡を残さなければならなくなった。また、QSAも審査過程の明確なエビデンスを残さなければならないため、前回時点では指摘されなかった項目を問われることも多かったという。

2010年の課題は暗号キーのローテーション

準拠を目指す企業のデータ受託も検討

2010年の審査は品質保証プログラム、Ver.1.2対応が2年目のため、2009年よりはスムーズに対応できると考えている。ただ、昨年はサービス開始から1年が経過していなかったため、審査から除外されたものもあり、これらについては2010年の重点課題として準備を進めている。

「CDMSの運用管理はPCI DSSの認定取得により、格段に向上しています。弊社では、この経験、ノウハウを生かし、地域通貨管理やPCI DSS準拠支援など新たなサービスの検討を進めています」(吾郷氏)

同社のCDMSでは3-Dセキュア以外にも数多くの個人情報を管理している。今後は自らのPCI DSS認証取得の経験を生かし、準拠を目指す加盟店やサービスプロバイダのカード会員情報を預かるサービスも検討している。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP