2016.08.04
POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠(後編)
- BLOGトップ
- POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠(後編)
前の記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」では、PCI Point-to-Point Encryption(P2PE)とその導入効果について解説した。本シリーズ最後となる後編では、PCI P2PE基準の評価基準と、普及における課題について解説したい。
■PCI P2PE基準の評価基準
次に、PCI P2PEの認定評価基準(PCI Point-to-Point Encryption Ver2.0 Rev1.1)についての概略を説明したい。
PCI P2PEでは1つの基準を使用して3つの業態を評価認定するスキームとなっている。ユーザである加盟店にサービスを提供されるPCI P2PEソリューションは、P2PE QSAまたはP2PE PA-QSAから評価をうけ、PCI SSCへの上申により認定を受ける。認定を受けたP2PEソリューションはPCI SSCのWebページでリスト化される。POS加盟店は、認定されたソリューションを選択して利用すればよい。
またPCI P2PEソリューションを構成する要素として、認定されたP2PEコンポーネント(カードリーダ端末など)と、P2PEアプリケーション(端末上のアプリケーションなど)があり、それらも独立して認定を受けることが可能である。認定済みのカードリーダ端末やアプリケーションを組み合わせることにより、プロセッサや加盟店が P2PE ソリューションプロバイダとして認定を受けるのが容易になる。それぞれの評価を実施するQSAは図5のとおりだが、P2PEアプリケーションに限っては認定評価するのはP2PE PA-QSAのみとなるので注意が必要だ。
■PCI P2PEの普及における課題
さてここまででPCI P2PE が POS 加盟店にとって、有益なソリューションであることは間違いない一方で、日本におけるPCI P2PEの普及における課題は多い。
一つ目は、国内メーカーのカードリーダ端末の選択肢がないこと。現在(2016年7月)P2PEソリューションとして採用された国内メーカーのデバイスはない。POS加盟店では、レジ周りの面積の制約から電子マネーとクレジットカードの端末一体化の要望が多く、国産メーカーを希望することが多い。そのため早期のP2PEコンポーネント認定の国産カードリーダ端末の登場が待望されているという。なお仏Ingenico社や米Verifoneなどはすでに多数の機種でPCI P2PEソリューションに採用されているため、それらを選択するという方法もある。
二つ目は、現在(2016年7月)国内で提供可能なP2PEソリューションがないこと。加盟店契約ではクロスボーダー取引は好まれないことから、海外からサービス提供を受けるのは現実的でない。そのため国内の POS 加盟店が今すぐ利用することができない状況である。
三つ目は国内で活動するP2PE QSA(P2PEソリューションプロバイダの認定評価機関)がいないこと(2016年7月)。国内のプロセッサや決済代行事業者がPCI P2PEソリューションの認定を取ろうとすると、現状では海外のP2PE QSAを利用するしかない。図3に示した通り、それらの事業者のP2PEソリューション評価は、復号化ポイントのPCI DSSの準拠が前提となる。よって現在PCI DSSのオンサイト監査を受けている国内QSAからP2PEソリューションの評価も受けたいというのが自然だろう。
国内のプロセッサや決済代行事業者、大規模加盟店がP2PE ソリューションの認定を取得するためにも国内 QSA 各社が P2PE QSA として1日も早く参入することを期待したい。
(著:fjコンサルティング 代表取締役CEO 瀬田 陽介)
関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」
関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」では、PCI Point-to-Point Encryption(P2PE)とその導入効果について解説した。本シリーズ最後となる後編では、PCI P2PE基準の評価基準と、普及における課題について解説したい。
■PCI P2PE基準の評価基準
次に、PCI P2PEの認定評価基準(PCI Point-to-Point Encryption Ver2.0 Rev1.1)についての概略を説明したい。
PCI P2PEでは1つの基準を使用して3つの業態を評価認定するスキームとなっている。ユーザである加盟店にサービスを提供されるPCI P2PEソリューションは、P2PE QSAまたはP2PE PA-QSAから評価をうけ、PCI SSCへの上申により認定を受ける。認定を受けたP2PEソリューションはPCI SSCのWebページでリスト化される。POS加盟店は、認定されたソリューションを選択して利用すればよい。
またPCI P2PEソリューションを構成する要素として、認定されたP2PEコンポーネント(カードリーダ端末など)と、P2PEアプリケーション(端末上のアプリケーションなど)があり、それらも独立して認定を受けることが可能である。認定済みのカードリーダ端末やアプリケーションを組み合わせることにより、プロセッサや加盟店が P2PE ソリューションプロバイダとして認定を受けるのが容易になる。それぞれの評価を実施するQSAは図5のとおりだが、P2PEアプリケーションに限っては認定評価するのはP2PE PA-QSAのみとなるので注意が必要だ。
P2PE の評価対象と評価するQSA(図5)
なおPCI P2PE基準は、ドメインが6つに分かれており、P2PEソリューション/P2PEコンポーネント/P2PEアプリケーションにおいて各々必要ドメインが定義されている。
例えば、P2PEソリューションプロバイダが、すでに認定されたP2PEアプリケーションを使用して認定を受ける場合、ドメイン2:アプリケーションセキュリティ(カードリーダ端末にインストールされている平文のカード会員データにアクセスするペイメントアプリケーションのセキュアな開発)の対応が不要ということになる。(図6参照)
PCI P2PE基準の構成(図6)
■PCI P2PEの普及における課題
さてここまででPCI P2PE が POS 加盟店にとって、有益なソリューションであることは間違いない一方で、日本におけるPCI P2PEの普及における課題は多い。
一つ目は、国内メーカーのカードリーダ端末の選択肢がないこと。現在(2016年7月)P2PEソリューションとして採用された国内メーカーのデバイスはない。POS加盟店では、レジ周りの面積の制約から電子マネーとクレジットカードの端末一体化の要望が多く、国産メーカーを希望することが多い。そのため早期のP2PEコンポーネント認定の国産カードリーダ端末の登場が待望されているという。なお仏Ingenico社や米Verifoneなどはすでに多数の機種でPCI P2PEソリューションに採用されているため、それらを選択するという方法もある。
二つ目は、現在(2016年7月)国内で提供可能なP2PEソリューションがないこと。加盟店契約ではクロスボーダー取引は好まれないことから、海外からサービス提供を受けるのは現実的でない。そのため国内の POS 加盟店が今すぐ利用することができない状況である。
三つ目は国内で活動するP2PE QSA(P2PEソリューションプロバイダの認定評価機関)がいないこと(2016年7月)。国内のプロセッサや決済代行事業者がPCI P2PEソリューションの認定を取ろうとすると、現状では海外のP2PE QSAを利用するしかない。図3に示した通り、それらの事業者のP2PEソリューション評価は、復号化ポイントのPCI DSSの準拠が前提となる。よって現在PCI DSSのオンサイト監査を受けている国内QSAからP2PEソリューションの評価も受けたいというのが自然だろう。
国内のプロセッサや決済代行事業者、大規模加盟店がP2PE ソリューションの認定を取得するためにも国内 QSA 各社が P2PE QSA として1日も早く参入することを期待したい。
(著:fjコンサルティング 代表取締役CEO 瀬田 陽介)
関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」
関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.