2010年10月21日8:00

IT企業提供の共同利用型サービスとして初の認定取得
ハイセキュリティなカードソリューションでカード会社をサポート

日立情報システムズは「PCI DSS Ver.1.2」の準拠認定を取得した。ITサービス企業が提供するペイメントカードの共同利用型サービスがPCI DSSの認定を取得したのは国内初となった。

カードシステムはVisa Netに直接接続

自主的に2つのシステムで取得を決意

日立情報システムズがPCI DSSを取得したのは、「カード発行企業向け共同利用型対外接続サービス」、「クレジットカード総合管理ソリューション」の2分野。共同対外接続サービスはイシュア(カード発行企業)が「Visa Net」など外部ネットワークと接続する際に必要なシステムを共同化したもの。同サービスの利用により、カード加盟店はリアルタイムな与信照会が可能となる。一方、クレジットカード総合管理ソリューションは10月から発売を開始する、クレジットカードの基幹システム『DEIGO+(デイゴプラス)』を中核とするソリューションサービスである。

金融情報サービス事業部 第二システム本部 本部長 高瀬 啓司氏

「当社は以前からクレジットカードに関連したシステムを提供しており、本当の意味でのサードパーティプロセッサーを目指しています。ビザ・ワールドワイドが推進するAISのバリデーションの遵守期限が9月末までだったこともあり、自主的にPCI DSSの取得を決意しました」(日立情報システムズ 金融情報サービス事業部 第二システム本部 副技師長 礒川昌弘氏)

同社では昨年の2月からPCI DSSについての調査を開始。同7月から本格的な準備を開始した。クレジットカード総合管理ソリューションのシステム自体も09年8月から、PCI DSSの基準に合わせる形で構築している。なお、認定セキュリティ評価機関(QSA)、コンサルティングは同一の会社に依頼した。

パッチの適用の対応に苦慮

自社で対応できていた部分も多かった

遵守に当たり、同社が最も苦労した部分は要件6のセキュリティ・パッチの適用だった。要件6.1では重要なセキュリティ・パッチはリリース後1カ月、それ以外の重要度の低いパッチは3カ月以内に適用しなければならないが、「運用面の負荷が非常に大きく苦労しました」と礒川氏は説明する。また、システムパスワードの定期的な変更ついても、「月に1回のメンテナンスで対応しているが、変更箇所が多く影響範囲も多いことからトラブルになる危険性がありました」と礒川氏は打ち明ける。

金融情報サービス事業部 第二システム本部 副技師長 礒川昌弘氏

逆に、数多くの遵守企業が苦労した暗号化の部分は自社でシステム運用を行っており、大きな問題もなく対応できたそうだ。

「対外データベースはPAN(カード番号)を持たないように新規にシステムをつくりこみました」(礒川氏)

要件6.6項はWAFを採用せず、脆弱性診断を実施。内部・外部のぺネトレーションテストも含めて、外部の業者に依頼している。

要件10ではすべてのシステムコンポーネントへのアクセスを管理することが求められているが、画面操作を動画で保管できるログ収集サーバを導入した。また、変更ができないように、監査証跡をセキュリティで保護する要件に関してもログ収集サーバの運用を別の専任担当が行うことで対処を図った。

最終的にカード発行企業向け共同利用型対外接続サービスは2010年6月に、クレジットカード総合管理ソリューションは8月に認定を取得した。構築コストに関しては、変更管理システムとぺネトレーションテストの実施はそれなりに費用がかさんだが、自社で構築した部分が多かったため、当初の想定よりは安価に抑えることに成功したという。

「要件1や2の安全なネットワーク環境の保護は以前から実施しており、PCI DSSの準備の時点で対応できていた部分も多かったです」(礒川氏)

更新審査はエビデンスの整備が課題に

取得後は決済事業者からの引き合いも

金融情報サービス事業部 第二システム本部 第三設計部 井上 慎一郎氏

次回の審査に向け礒川氏は、「まだまだ取得が精いっぱいの状況で運用的にエビデンスを残すところが遅れているため、来年に向けて日々の運用で整備していく方針です」と課題を挙げる。

PCI DSS取得のリリース後は決済事業者などからの引き合いもあるという。同社 金融情報サービス事業部 第二システム本部 本部長 高瀬 啓司氏は、「カード会社様から独立した環境でイシュアのシステムを提供している企業はそれほど多くはありません。当社のシステムは対外接続サービスと、クレジットカードの基幹システム『DEIGO+(デイゴプラス)』および周辺サブシステムで構成するトータルなソリューションです。自社でPCI DSSを取得したハイセキュリティなシステムを強みにビジネスを展開してきたい」と自信を見せる。

また、同事業部第三設計部 井上 慎一郎氏も「今後はトータルなソリューションとしてカード会社様のサポートや決済システムのアウトソーシングを行っていきたいと考えています」と語ってくれた。

■PCI DSS準拠企業の事例一覧へ

関連記事

ペイメントニュース最新情報

ポータブル決済端末、オールインワン決済端末、スマート決済端末、新しい決済端末3製品をリリースしました(飛天ジャパン)

国内最大級のクレジットカード情報データベース(アイティーナビ)

「お金の流れを、もっと円(まる)く」決済ゲートウェイ事業のパイオニアとして、強固なシステムでキャッシュレス決済を次のステップへと推進します。(ネットスターズ)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

決済シーンにdelight(ワクワク感)を!PCI P2PE 認定国内実績 No.1の「確かな信頼」を提供します(ルミーズ)
電子マネー、クレジット、QR・バーコード、共通ポイントなど、多数のキャッシュレス決済サービスをワンストップで提供(トランザクション・メディア・ネットワークス)
決済領域を起点に多様なビジネスニーズに応える各種ソリューションを提供(インフキュリオン)
ReD ShieldやSift等の不正検知サービスを提供し、お客様の不正対策を支援(スクデット)
BtoCもBtoBも。クレジットカード決済を導入するならSBIグループのゼウスへ。豊富な実績と高セキュリティなシステムで貴社をサポートいたします。(ゼウス)
TOPPANの決済ソリューションをご紹介(TOPPANデジタル)
多様な業界のニーズに対応した、さまざまなキャッシュレス・決済関連サービスを提供する総合決済プロバイダー(DGフィナンシャルテクノロジー)
決済業務の完全自動化を実現する「Appian」とクレジット基幹プラットフォームを合わせてご紹介!(エクサ)
チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

stera terminalでお店のポイントがつけられる「VALUE GATE」(トリニティ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

DNPキャッシュレス 決済プラットフォームをご紹介(大日本印刷)

PAGE TOP