決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)

2010年12月1日9:05

決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(1/3)

第4回 PA-DSS要件8~12の解説

決済アプリケーションセキュリティ基準「PA-DSS」入門 第4

はじめに

10月28日、PCI SSCよりPCI DSSのバージョン2.0が公開された。これに合わせて、PA-DSSのバージョン2.0も公開されている。PCI DSSバージョン2.0における変更点については、ひとことで表すと”大きな変更点はなく、多くの要件で明確化が図られている”といえるだろう。PA-DSSはもともと、PCI DSSから派生してアプリケーション実装向けに再構成されているものであるため、PCI DSSと同じく、要件が大幅に変更された、もしくは判断基準が大きく増減した、といった点はないと考えて良いだろう。

しかし、PA-DSSでは文書構成が大きく変わった点がある。PA-DSSは前回まででも言及していた通り、多くの要件でPCI DSSの要件が参照されていたが、これがPA-DSSの要件、テスト手順の中に取り込まれた。つまりPA-DSSの要件を読み解いていくには、都度PCI DSSも参照していく必要があったが、今回のバージョンアップで参照先の内容はPA-DSSのテスト手順自体に取り込まれたため、基本的にはPCI DSSを参照することなく、PA-DSSの要件、テスト手順で完結する作りとなっている(図1)。これは対応するベンダにとっても、アプリケーション審査を行うPA-QSAにとっても、作業を進める上では大変便利になったと言えるだろう。

図1

なお、本連載は要件1~14の順に解説を行っていたが、バージョン2.0のアップデートにおける再構成で、要件番号がひとつ減り、1~13となった(図2)。幸い、ここまで解説した部分については要件番号(大項目)の変更はなかったため、このまま要件8から解説する。ベースはバージョン2.0として、バージョンアップで変更があった部分についてはその都度触れていくこととする。

図2

要件8. 安全なネットワーク実装の促進

決済アプリケーションは、導入先環境のPCI DSS準拠を阻害してはならない

要件8は、要件、テスト手順は1項目のみであり、バージョン2.0においても特に変更点はない。PCI DSS準拠環境で動作し、当該決済アプリケーションがPCI DSS準拠状況を阻害してはならない、という意図の要件である。例えば、PCI DSSで求められている対策として、アンチウィルスソフトウェアの導入があるが、この決済アプリケーションが動作するためにアンチウィルスソフトウェアをインストールしてはならない、といったソフトウェア仕様だと、本要件に抵触するおそれがある。関連するPCI DSS要件として、1、3、4、5、6が挙げられているので、各要件で何が求められているかをおさらいしてみよう。

●要件1…ファイアウォール、ルータの安全な構成

●要件3…保存するカード会員データの判読不能化

●要件4…公共ネットワークを伝送するカード会員データの暗号化

●要件5…アンチウィルスソフトウェアの導入と管理

●要件6…開発プロセスにおけるセキュリティと、パッチの適用

例えば、決済アプリケーションが下記のような特徴を持ってしまっていると、上記PCI DSS要件に対応できなくなり、PCI DSS準拠を阻害することになるため、本要件を満たす事ができなくなってしまう。

●決済アプリケーションが動作するために、ゲートウェイにおけるアウトバウンドの通信を遮断できない

●決済アプリケーションが、カード会員データをハードディスクに平文で保存する

●決済アプリケーションが、インターネットを通じて、FTPを使用してサーバにカード会員データを送信する

●決済アプリケーションがうまく動かなくなるためアンチウィルスソフトウェアを導入できない

●決済アプリケーションをインストールしている端末で、OSのパッチを適用できない

要件は1項目であるものの、要求事項の内容は幅が広く、対応する具体的なイメージが湧きにくい要件ではあるが、加盟店環境のPCI DSS準拠を促進する、というPA-DSSの本来の目的をあらわしている要件といえる。決済アプリケーションの開発におけるテスト環境では、PCI DSSに準拠する事を意識し、上記要件に抵触しないようにするアプローチを明文化するのが良いだろう。

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(2/3)へ

⇒⇒決済アプリケーションセキュリティ基準「PA-DSS」入門 第4回(3/3)へ

⇒⇒連載目次へ

関連記事

ペイメントニュース最新情報

国内最大級のクレジットカード情報データベース(アイティーナビ)

PayBやWeChatPay/Alipay/ PayPay等のスマートフォン決済、ミニプログラム、 越境EC、リアルタイム口座振替、信頼性の高い収納代行、送金など、 様々な決済ソリューションを提供(ビリングシステム)

「ハウス電子マネー/ギフトカードサービス」のニュース、導入事例のご紹介(富士通Japan)

最強レベルのホワイトハッカーによるペネトレーション試験をお引き受けします。(決済ネットワーク、Webアプリ、決済ターミナル向け)(FIME JAPAN)
【8/26(水)開催】CREPiCO「ペイジー口座振替受付サービス」フィットネス・スポーツ業界向けWebセミナー(セイコーソリューションズ)

Spayd スマートフォン、タブレットがクレジット決済端末に!(ネットムーブ)

設立25年以上の実績を誇る決済サービスプロバイダ。クレジットカード決済をはじめ、対面・非対面問わず豊富な決済手段を取り揃え、ニーズに合わせて最適な決済方法をご提案します。(ゼウス)

オリジナルデザインで作れる、Amazonギフト券(トリニティ)

モバイル決済端末 (mPOS/SmartPOS) やQRコードリーダーをOEM/ODMでご提供します。お客様に代わってセキュリティ認定も取得可能です。(飛天ジャパン)

国内最大級の導入実績を誇る決済代行事業者(GMOペイメントゲートウェイ)

チャージバック保証、不正検知・認証システムなどクレジットカード不正対策ソリューションを提供(アクル)

ブランドプリペイド/デビット、クレジットの基幹プラットフォームを中心にご紹介、決済事業者様のデジタルトランスフォーメーションやFintechへの取り組みを強力にご支援します。(エクサ)

国内ICカードシェアNo.1(大日本印刷)

シンクライアント型電子決済サービス(トランザクション・メディア・ネットワークス)

非対面業界唯一!!カード会社とダイレクト接続により、安心・安全・スピーディーで質の高い決済インフラサービスを提供。Eコマースの健全な発展に貢献する決済代行事業者(ソニーペイメントサービス)

不正決済対策の本質と弊社のサービス提供スタンス(スクデット)

世界最大のギフト・プリペイドサービス事業者(インコム・ジャパン)

カードシステムシェア70%の実績「NET+1」、不正検知システム国内導入実績NO,1「ACEPlus」(インテリジェントウェイブ)

PAGE TOP