POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠(後編) | PCI DSS Ready Cloud

2016.08.04

POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠(後編)

  • このエントリーをはてなブックマークに追加
前の記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編

「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」では、PCI Point-to-Point Encryption(P2PE)とその導入効果について解説した。本シリーズ最後となる後編では、PCI P2PE基準の評価基準と、普及における課題について解説したい。
■PCI P2PE基準の評価基準
次に、PCI P2PEの認定評価基準(PCI Point-to-Point Encryption Ver2.0 Rev1.1)についての概略を説明したい。

PCI P2PEでは1つの基準を使用して3つの業態を評価認定するスキームとなっている。ユーザである加盟店にサービスを提供されるPCI P2PEソリューションは、P2PE QSAまたはP2PE PA-QSAから評価をうけ、PCI SSCへの上申により認定を受ける。認定を受けたP2PEソリューションはPCI SSCのWebページでリスト化される。POS加盟店は、認定されたソリューションを選択して利用すればよい。

またPCI P2PEソリューションを構成する要素として、認定されたP2PEコンポーネント(カードリーダ端末など)と、P2PEアプリケーション(端末上のアプリケーションなど)があり、それらも独立して認定を受けることが可能である。認定済みのカードリーダ端末やアプリケーションを組み合わせることにより、プロセッサや加盟店が P2PE ソリューションプロバイダとして認定を受けるのが容易になる。それぞれの評価を実施するQSAは図5のとおりだが、P2PEアプリケーションに限っては認定評価するのはP2PE PA-QSAのみとなるので注意が必要だ。

 

図5
P2PE の評価対象と評価するQSA(図5)

なおPCI P2PE基準は、ドメインが6つに分かれており、P2PEソリューション/P2PEコンポーネント/P2PEアプリケーションにおいて各々必要ドメインが定義されている。

例えば、P2PEソリューションプロバイダが、すでに認定されたP2PEアプリケーションを使用して認定を受ける場合、ドメイン2:アプリケーションセキュリティ(カードリーダ端末にインストールされている平文のカード会員データにアクセスするペイメントアプリケーションのセキュアな開発)の対応が不要ということになる。(図6参照)

 

図6
PCI P2PE基準の構成(図6)

すでに米国では、全米14の州に37拠点のカジノを展開する企業など、店舗あたりの取引件数が大量なケースでも導入が進んでおり、本格的な普及フェーズに入っている。

■PCI P2PEの普及における課題
さてここまででPCI P2PE が POS 加盟店にとって、有益なソリューションであることは間違いない一方で、日本におけるPCI P2PEの普及における課題は多い。

一つ目は、国内メーカーのカードリーダ端末の選択肢がないこと。現在(2016年7月)P2PEソリューションとして採用された国内メーカーのデバイスはない。POS加盟店では、レジ周りの面積の制約から電子マネーとクレジットカードの端末一体化の要望が多く、国産メーカーを希望することが多い。そのため早期のP2PEコンポーネント認定の国産カードリーダ端末の登場が待望されているという。なお仏Ingenico社や米Verifoneなどはすでに多数の機種でPCI P2PEソリューションに採用されているため、それらを選択するという方法もある。

二つ目は、現在(2016年7月)国内で提供可能なP2PEソリューションがないこと。加盟店契約ではクロスボーダー取引は好まれないことから、海外からサービス提供を受けるのは現実的でない。そのため国内の POS 加盟店が今すぐ利用することができない状況である。

三つ目は国内で活動するP2PE QSA(P2PEソリューションプロバイダの認定評価機関)がいないこと(2016年7月)。国内のプロセッサや決済代行事業者がPCI P2PEソリューションの認定を取ろうとすると、現状では海外のP2PE QSAを利用するしかない。図3に示した通り、それらの事業者のP2PEソリューション評価は、復号化ポイントのPCI DSSの準拠が前提となる。よって現在PCI DSSのオンサイト監査を受けている国内QSAからP2PEソリューションの評価も受けたいというのが自然だろう。

国内のプロセッサや決済代行事業者、大規模加盟店がP2PE ソリューションの認定を取得するためにも国内 QSA 各社が P2PE QSA として1日も早く参入することを期待したい。

(著:fjコンサルティング 代表取締役CEO 瀬田 陽介)

関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 前編」
関連記事 : 「POS加盟店におけるPCI P2PEソリューションを用いたPCI DSS準拠 中編」

PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud

■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
PCI DSS Ready Cloud マネージドモデルはこちら
 
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
PCI DSS Ready Cloud AWSモデルはこちら
 
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
PCI DSS準拠支援コンサルティングはこちら
 
【関連記事】
PCI DSSとは?準拠が必要な企業とセキュリティ対策をガイダンス
【動画付き】PCI DSS バージョン4.0の特徴や変更点を解説

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加