- BLOGトップ
- 改正割賦販売法でカード決済はこう変わる クラウドサービスとPCI DSS
加盟店やサービスプロバイダーの委託先となるクラウドサービスは、カード情報のセキュリティに大きく影響することから、PCI DSSへの準拠が求められる。
クラウドサービスがPCI DSS要件のどれに責任を負うかはサービスモデルによって異なる。PCI SSCでは、クラウド・サービス・プロバイダーが提供するサービスのモデルをIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)の3種類に分けて、利用者との間の責任分担を定めている。
▼IaaS/PaaS/SaaSのPCI DSS要件の責任区分の例
出所:PCI SSC『Information Supplement : PCI DSS Cloud Computing Guidelines』(2013年2月)を基に作成
加盟店の非保持化を支援できるSaaSはまだまだ少ないが、一方でPCI DSSに準拠したIaaSやPaaSは国内でも数多く提供されている。
PCI DSSに準拠したIaaSとしては、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud Platform(GCP)」などがある。AWSやAzureでは、プロバイダー側がどの要件を担当し、加盟店などの利用者がどの要件について責任を持つ必要があるかを記述した文書が開示されている。利用者がPCI DSSに準拠する際に必須となる情報を整理してある。GCPでは、PCI DSS準拠の環境を構築する手順を公表している。
PCI DSS準拠のPaaSの例としては、リンクが提供する「PCI DSS Ready Cloud」が挙げられる。PCI DSSへの準拠を支援するという視点で、クラウドサービス上に立ち上げた仮想サーバー群に対して不要なサービスを削除し、準拠に必要なセキュリティ管理サービスを利用できるように設定した上で顧客に引き渡している。
このサービスの主な利用者はサービスプロバイダーであり、自社のサービスをPCI DSSに準拠させるために利用するケースが多い。リンク自身も、PCI DSS Ready Cloud上で、トークナイゼーションサービス「Cloud Token for PaymentCard」やクラウドPBXサービス「BIZTEL for PCI DSS」、通販加盟店非保持化サービス「Pay TG」を提供している。
また、CRM(顧客関係管理)のSaaSでは、世界的に市場シェアの高い「Salesforce.com」もPCI DSSに準拠している。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
クラウドサービスがPCI DSS要件のどれに責任を負うかはサービスモデルによって異なる。PCI SSCでは、クラウド・サービス・プロバイダーが提供するサービスのモデルをIaaS(Infrastructure as a Service)、PaaS(Platform as a Service)、SaaS(Software as a Service)の3種類に分けて、利用者との間の責任分担を定めている。
▼IaaS/PaaS/SaaSのPCI DSS要件の責任区分の例
出所:PCI SSC『Information Supplement : PCI DSS Cloud Computing Guidelines』(2013年2月)を基に作成加盟店の非保持化を支援できるSaaSはまだまだ少ないが、一方でPCI DSSに準拠したIaaSやPaaSは国内でも数多く提供されている。
PCI DSSに準拠したIaaSとしては、「Amazon Web Services(AWS)」「Microsoft Azure」「Google Cloud Platform(GCP)」などがある。AWSやAzureでは、プロバイダー側がどの要件を担当し、加盟店などの利用者がどの要件について責任を持つ必要があるかを記述した文書が開示されている。利用者がPCI DSSに準拠する際に必須となる情報を整理してある。GCPでは、PCI DSS準拠の環境を構築する手順を公表している。
PCI DSS準拠のPaaSの例としては、リンクが提供する「PCI DSS Ready Cloud」が挙げられる。PCI DSSへの準拠を支援するという視点で、クラウドサービス上に立ち上げた仮想サーバー群に対して不要なサービスを削除し、準拠に必要なセキュリティ管理サービスを利用できるように設定した上で顧客に引き渡している。
このサービスの主な利用者はサービスプロバイダーであり、自社のサービスをPCI DSSに準拠させるために利用するケースが多い。リンク自身も、PCI DSS Ready Cloud上で、トークナイゼーションサービス「Cloud Token for PaymentCard」やクラウドPBXサービス「BIZTEL for PCI DSS」、通販加盟店非保持化サービス「Pay TG」を提供している。
また、CRM(顧客関係管理)のSaaSでは、世界的に市場シェアの高い「Salesforce.com」もPCI DSSに準拠している。
(共著:fjコンサルティング代表取締役CEO 瀬田陽介
PCI Security Standard Council アソシエイト・ダイレクター 日本 井原亮二)
※出所:書籍『改正割賦販売法でカード決済はこう変わる』(日経BP社、2018年4月発行)から著者および出版社の許諾を得て転載
■書籍の詳細はこちら(日経BP社):改正割賦販売法でカード決済はこう変わる
監修者
瀬田 陽介氏
fjコンサルティング株式会社
代表取締役CEO
PCI DSSの認定評価機関(QSA)代表、日本初のPCI SSC認定フォレンジック機関(PFI)ボードメンバーを経て2013年fjコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。直近の著書『改正割賦販売法でカード決済はこう変わる』(日経BP社)。
PCI DSS Ready Cloudでは、PCI DSS v4.0への効率的な移行支援及び準拠を促進するクラウドサービスを提供しています。 瀬田 陽介氏fjコンサルティング株式会社
代表取締役CEO
PCI DSSの認定評価機関(QSA)代表、日本初のPCI SSC認定フォレンジック機関(PFI)ボードメンバーを経て2013年fjコンサルティング株式会社を設立。キャッシュレスやセキュリティのコンサルタントとして、講演・執筆活動を行う。直近の著書『改正割賦販売法でカード決済はこう変わる』(日経BP社)。
是非一度、ご相談ください。
PCI DSS準拠を促進するクラウドサービスならPCI DSS Ready Cloud
■ PCI DSS の構築、維持・運用にかかるコストと工数を削減する
■ AWSでの開発事業者や外部ベンダー/事業者との専用線接続がない場合に最適
■ 国内トップクラスのPCI DSS専門のコンサルタント集団によるPCI DSS準拠支援サービス
この記事が気に入ったら
いいね!しよう
PCI DSS 関連の最新記事をお届けします
Copyright by LINK, INC.