BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2016.08.04

POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠(後編)

  • このエントリーをはてなブックマークに追加

前の記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編

「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」では、PCI Point-to-Point Encryption(P2PE)とその導入効果について解説した。本シリーズ最後となる後編では、PCI P2PE基準の評価基準と、普及における課題について解説したい。

■PCI P2PE基準の評価基準

次に、PCI P2PEの認定評価基準(PCI Point-to-Point Encryption Ver2.0 Rev1.1)についての概略を説明したい。

PCI P2PEでは1つの基準を使用して3つの業態を評価認定するスキームとなっている。ユーザである加盟店にサービスを提供されるPCI P2PEソリューションは、P2PE QSAまたはP2PE PA-QSAから評価をうけ、PCI SSCへの上申により認定を受ける。認定を受けたP2PEソリューションはPCI SSCのWebページでリスト化される。POS加盟店は、認定されたソリューションを選択して利用すればよい。

またPCI P2PEソリューションを構成する要素として、認定されたP2PEコンポーネント(カードリーダ端末など)と、P2PEアプリケーション(端末上のアプリケーションなど)があり、それらも独立して認定を受けることが可能である。認定済みのカードリーダ端末やアプリケーションを組み合わせることにより、プロセッサや加盟店が P2PE ソリューションプロバイダとして認定を受けるのが容易になる。それぞれの評価を実施するQSAは図5のとおりだが、P2PEアプリケーションに限っては認定評価するのはP2PE PA-QSAのみとなるので注意が必要だ。

 

図5
P2PE の評価対象と評価するQSA(図5)

なおPCI P2PE基準は、ドメインが6つに分かれており、P2PEソリューション/P2PEコンポーネント/P2PEアプリケーションにおいて各々必要ドメインが定義されている。

例えば、P2PEソリューションプロバイダが、すでに認定されたP2PEアプリケーションを使用して認定を受ける場合、ドメイン2:アプリケーションセキュリティ(カードリーダ端末にインストールされている平文のカード会員データにアクセスするペイメントアプリケーションのセキュアな開発)の対応が不要ということになる。(図6参照)

 

図6
PCI P2PE基準の構成(図6)

すでに米国では、全米14の州に37拠点のカジノを展開する企業など、店舗あたりの取引件数が大量なケースでも導入が進んでおり、本格的な普及フェーズに入っている。

■PCI P2PEの普及における課題

さてここまででPCI P2PE が POS 加盟店にとって、有益なソリューションであることは間違いない一方で、日本におけるPCI P2PEの普及における課題は多い。

一つ目は、国内メーカーのカードリーダ端末の選択肢がないこと。現在(2016年7月)P2PEソリューションとして採用された国内メーカーのデバイスはない。POS加盟店では、レジ周りの面積の制約から電子マネーとクレジットカードの端末一体化の要望が多く、国産メーカーを希望することが多い。そのため早期のP2PEコンポーネント認定の国産カードリーダ端末の登場が待望されているという。なお仏Ingenico社や米Verifoneなどはすでに多数の機種でPCI P2PEソリューションに採用されているため、それらを選択するという方法もある。

二つ目は、現在(2016年7月)国内で提供可能なP2PEソリューションがないこと。加盟店契約ではクロスボーダー取引は好まれないことから、海外からサービス提供を受けるのは現実的でない。そのため国内の POS 加盟店が今すぐ利用することができない状況である。

三つ目は国内で活動するP2PE QSA(P2PEソリューションプロバイダの認定評価機関)がいないこと(2016年7月)。国内のプロセッサや決済代行事業者がPCI P2PEソリューションの認定を取ろうとすると、現状では海外のP2PE QSAを利用するしかない。図3に示した通り、それらの事業者のP2PEソリューション評価は、復号化ポイントのPCI DSSの準拠が前提となる。よって現在PCI DSSのオンサイト監査を受けている国内QSAからP2PEソリューションの評価も受けたいというのが自然だろう。

国内のプロセッサや決済代行事業者、大規模加盟店がP2PE ソリューションの認定を取得するためにも国内 QSA 各社が P2PE QSA として1日も早く参入することを期待したい。

(著:fjコンサルティング 代表取締役CEO 瀬田 陽介)


関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」
関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加