BLOG

クレジットカード業界やPCI DSSに関する最新動向をお届けします

2019.03.27

クラウドサービスとPCI DSS

  • このエントリーをはてなブックマークに追加
加盟店やサービスプロバイダーの委託先となるクラウドサービスは、カード情報のセキュリティに大きく影響することから、PCI DSSへの準拠が求められる。

クラウドサービスがPCI DSS要件のどれに責任を負うかはサービスモデルによって異なる。PCI SSCでは、クラウド・サービス・プロバイダーが提供するサービスのモデルをIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)の3種類に分けて、利用者との間の責任分担を定めている。

▼IaaS/PaaS/SaaSのPCI DSS要件の責任区分の例



出所:PCI SSC『Information Supplement : PCI DSS Cloud Computing Guidelines』(2013年2月)を基に作成

加盟店の非保持化を支援できるSaaSはまだまだ少ないが、一方でPCI DSSに準拠したIaaSやPaaSは国内でも数多く提供されている。

PCI DSSに準拠したIaaSとしては、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud Platform(GCP)」などがある。AWSやAzureでは、プロバイダー側がどの要件を担当し、加盟店などの利用者がどの要件について責任を持つ必要があるかを記述した文書が開示されている。利用者がPCI DSSに準拠する際に必須となる情報を整理してある。GCPでは、PCI DSS準拠の環境を構築する手順を公表している。
PCI DSS準拠のPaaSの例としては、リンクが提供する「PCI DSS Ready Cloud」が挙げられる。PCI DSSへの準拠を支援するという視点で、クラウドサービス上に立ち上げた仮想サーバー群に対して不要なサービスを削除し、準拠に必要なセキュリティ管理サービスを利用できるように設定した上で顧客に引き渡している。

このサービスの主な利用者はサービスプロバイダーであり、自社のサービスをPCI DSSに準拠させるために利用するケースが多い。リンク自身も、PCI DSS Ready Cloud上で、トークナイゼーションサービス「Cloud Token for PaymentCard」やクラウドPBXサービス「BIZTEL for PCI DSS」、通販加盟店非保持化サービス「Pay TG」を提供している。

また、CRM(顧客関係管理)のSaaSでは、世界的に市場シェアの高い「Salesforce.com」もPCI DSSに準拠している。


(共著:fjコンサルティング代表取締役CEO 瀬田陽介
    PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)


※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載

    ■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる

この記事が気に入ったら
いいね!しよう

PCI DSS 関連の最新記事をお届けします

  • このエントリーをはてなブックマークに追加