BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2017.07.24

複数の自己問診(SAQ)を使用したPCI DSS準拠

  • このエントリーをはてなブックマークに追加

PCI DSSの対象範囲の考え方には、「準拠する事業体において、カード情報を取り扱う業務や拠点、システム全体を含めなければならない」という原則がある。カード情報を扱う事業体は、ISMSのように任意に適用範囲を決めて準拠することはできず、カード情報を扱う全ての業務、システムおよびネットワークをPCI DSSに準拠する必要がある。従ってカード情報を扱う範囲の一部を対応するだけで、PCI DSSの準拠が完了するということはない。

一方でPCI DSSの対象範囲を狭めることは可能である。その事業体のカード情報を取り扱っている範囲がイコールPCI DSSの対象範囲になるので、業務やシステム、ネットワーク構成などの見直しにより、カードを扱う業務、拠点、システム、ネットワークをなるべく減らせばよい。

ではPCI DSS準拠をより効率化するアプローチは他にどんな方法があるだろうか。事業体が加盟店であった場合は、PCI DSSは、その業態およびシステム・ネットワーク構成に応じて自己問診(SAQ)のタイプを選択することができる。各タイプのSAQの適用条件をクリアできれば、フルセット(SAQ D加盟店版)で331項目のPCI DSSの準拠項目を最大で22項目まで減らすことができる。「電話、ハガキオーダー加盟店のカード情報非保持化の現状」で紹介した通り、加盟店がカード会員データの非保持化を選択できない場合は、PCI DSS準拠の負担を減らすために積極的に検討したいところだ。

SAQの種類

PCI DSSは、加盟店の業態(対面/非対面)およびシステム・ネットワーク構成に応じて、以下の通りSAQの種類を定めている。なお業態やネットワーク構成については各SAQの前文で適用条件として定めており、それらが全て合致しなければ対象のSAQは使用できないため注意が必要だ。

▼PCI DSSにおけるタイプ別SAQ
(「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017【公表版】より引用)
加盟店の業態 カード情報の取扱い形態 求められる PCI DSS SAQ タイプ 準拠項目数
(付録含)
非対面EC/通信販売加盟店
・PSP のリンク(リダイレクト)型の決済サービスを使用するEC 加盟店
・カード情報の全ての処理を外部委託する EC/通信販売加盟店
EC または通信販売の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない SAQ A 22
・PSP の JavaScript 型の決済サービスを使用する EC加盟店 EC の決済を PCI DSS 準拠済みのサービスプロバイダーに部分的に委託している EC の加盟店でカード情報をシステムまたは加盟店内で電子形式で通過、処理、保存しない SAQ A-EP 193
対面/通信販売加盟店 ※EC加盟店には適用されない
CCT などの決済端末をダイアルアップ接続する主に対面加盟店 インプリンタ、スタンドアロン型のダイアルアップの決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。 SAQ B 41
CCT などの決済端末を IP接続する主に対面加盟店 決済ネットワークまたは ASP/クラウド事業者に IP 接続されるスタンドアロン型の PCI PTS 認定の決済端末のみによってカード情報を処理する加盟店であり、カード情報を保存していない。 SAQ B-IP 88
POS をインターネットに接続してカード処理する主に POS 加盟店 POS システムまたはその他のインターネットに接続されているペイメントアプリケーション経由でカード情報を処理するが、カード情報をコンピュータシステムに保存しない加盟店 SAQ C 162
電話やハガキ/FAX でカード処理する主に通信販売加盟店 Web ブラウザなどの仮装端末のみでインターネットを経由して、1 件ずつカード情報を処理し、カード情報をコンピュータシステムに保存し ない。決済に利用する Web アプリケーションは PSP、アクワイアラーなどサードパーティから提供される必要がある。 SAQ C-VT 85
PCI P2PE ソリューションを導入した主に POS 加盟店 PCI P2PE に認定されたソリューションを導入し、それらに含まれる決済端末のみでカード情報を処理する加盟店であり、カード情報を保存していない SAQ P2PE 33
対面/非対面加盟店
・PSP のモジュール(プロトコル)型を使用する EC 加盟店
・カード情報をサーバーや PC で保存する POS や通信販売加盟店
・カード情報を POS システムで通過、処理、保存する加盟店
・カード情報を自社のサーバーで処理する加盟店
・カード情報を電子形式で保存する加盟店
・カード情報を電子形式で保存しないが他の SAQ タイプの基準を満たさない加盟店
・他の SAQ タイプを満たす環境にあるが、自社の環境に他の PCI DSS 要件が適用されるような加盟店
SAQ D
Marchant
331
前述の通り、SAQを選択する際には、自社の業務に適用条件が合致する必要があり、合致しない場合は業務やシステム、ネットワーク構成を変更する必要がある。もし適用条件に合致しない場合はフルセットであるSAQ D加盟店版が適用される。例えば「自社システムにはカード情報が保存されていない」など適用条件に業務を合致させることによってリスクが軽減され、準拠要件の項目数が減るという考え方である。

 

複数の決済チャネルがある場合

一方で加盟店がECによるカード決済とメール、電話オーダーなど複数の決済チャネルを持っている場合はどのように対応すればよいだろうか。加盟店のPCI DSS準拠の評価においては、複数のSAQを併用することが認められている。PCI SSC オフィシャルサイトのFAQで「複数の決済チャネルの場合は、支払チャネルごとに異なるSAQを完了するか、各チャネルのすべての要件を組み合わせた単一のSAQを使用することができる」としている。(PCI SSC オフィシャルサイト FAQ#1082

 

異なる2つのSAQを適用する例

異なる複数のSAQを使用するための条件として、上記FAQでは、「各決済チャネルで用いられるシステムは適切にネットワーク分割されていなくてはならない」としている。言い替えると、各チャネルで伝送、処理されるカード会員データが、別のチャネルからはネットワークとして切り離されている必要がある。

例えば非対面販売加盟店において、ECサイトと電話オーダーを併用している場合を考えてみよう。

ECサイトの場合、適用されるSAQは決済サービスの利用形態により、リンク型決済であればSAQ A(22項目)、JavaScript型決済であれば、SAQ A-EP(193項目)のいずれかとなる。また、電話オーダーについては、電話でカード情報を聞いて1件ずつWebブラウザ上からPSPのシステムに入力する形態であれば、SAQ C-VT(85項目)を適用できる。

同じ加盟店が、2つのSAQを適用する場合は、まずはそれらのシステムがネットワーク構成として分離している、または適切にセグメンテーションされている必要がある。その上で各決済チャネルが、各々のSAQの適用条件に合致する場合に初めて二つのSAQを使用することができるとしている。またもう一つのオプションとして両方のシステムを合わせてSAQ D加盟店版を使用することも可能である。

2つのSAQを使用するメリットは、準拠する項目が少なく負担が軽くなることだ。例えばSAQ Aの22項目とSAQ C-VTの85項目の両方に準拠したとしても、フルセットのSAQ D加盟店版331項目よりも準拠する項目は少ない。

一方で、両方のSAQの適用条件に合致している場合でも、あえて1つのSAQ(D加盟店331項目)を使用するという考え方もある。2つのSAQを適用できるということは、D加盟店331項目のうち、適用除外となる要件も多くなることが想定される。例えばカード情報をその加盟店が保存していない場合、要件3の「カード会員データの保護」については大半の要件が該当業務が存在しないため適用除外(N/A)となるはずだ。「対応する必要がない」項目を含めフルセットの331項目をレビューすることにより、事業体のPCI DSS準拠範囲全体に対して、網羅的にリスク評価できるというメリットがある。

 


関連サービス:PCI DSS準拠支援 コンサルティングサービス

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加