自分に適したPCI DSS SAQ(自己問診)はどれ?

/in ,

自分に適したPCI DSS SAQ(自己問診)はどれ?

PCI DSS Self-Assessment Questionnaire(以下「SAQ」)は決済システムの準拠状態をチェックするための自己問診票で、レベル2~4の加盟店およびレベル2のサービスプロバイダに適用されます。

SAQは、事業者がPCI DSSの各要件を満たしているかどうかを評価するためのチェックシートです。たとえば、VISAなら取引件数が年間600万件未満の加盟店と取引件数が年間30万件未満のサービスプロバイダに適用されます。

Table of Contents

SAQを実施する前に、次の5つを行いましょう。

  1. 自社に適用されるSAQのタイプを選ぶ
  2. PCI DSSの対象範囲が正しいことを確認する
  3. 自社に適用されるPCI DSSの要求事項を満たしているかどうか自己評価する
  4. SAQの各セクション(評価情報、自己問診、検証と認証の詳細)に記入する
  5. アクワイアラなどから求められた際は、SAQ結果、AOC(準拠証明書)、関係資料を提出する
このうち最も重要なのが、自社に適用されるSAQのタイプを選ぶことです。
 
たとえば電子商取引の場合は、次のいずれかのタイプになるでしょう。

サービスプロバイダ

に適用されるのは「SAQ D–サービスプロバイダ用」のみです。これは、「SAQ D–加盟店用」の項目に加え、文書の有無および顧客への提供、ポリシーおよび手順の調査、システム構成設定の調査、警告の有無、ペネトレーションテスト(侵入テスト)の記録などに関する項目が追加され、計259項目もの質問で構成されています。

加盟店

  1. SAQ A

    決済システムをサービスプロバイダに完全に外部委託している(決済ページでURL RedirectやiFrameを使用している)事業者に適用されます。SAQ Aでチェックされる内容は文書、システム構成設定の調査、ポリシーおよび手順の調査、データの保管と削除、外部脆弱性スキャンのレポート等です。SAQ Aは全タイプのうち最も短く、質問は29項目しかありません。

  1. SAQ A-EP

    決済システムをサービスプロバイダに外部委託しているが、決済ページは自社で設置している加盟店に適用されます。SAQ A-EPのチェック内容には、上述したSAQ Aの項目に加え、ネットワーク管理、サーバ管理、情報セキュリティ、脆弱性管理、アクセス制御、ネットワークの定期的な監視とテストなどがあります。加盟店がペイメントサービスの一部に関与していることから、要件が大幅に増加しています。

  1. SAQ D for Merchant

    決済システムを自社で設置しているか、または取引の過程でカード会員データを電子的に保存している加盟店に適用されます。チェック内容は上述のSAQ A-EPよりもさらに広範になり、PCI DSSの加盟店向けの要件がすべて含まれています。

PCI DSS SAQは10種類あり、提供するペイメントサービスによって異なるSAQが適用されます。どれが適用されるかは一般にアクワイアラから通知されるか、もしくはQSAがCDE(カード会員データ環境)やカード会員データ(カード番号など)に関わる手順、データフローなどを確認し、適用されるタイプを正確に判断します。また、こちらのPCI DSS SAQのタイプ説明を参考にすれば、大まかな判断が可能です。

PCI DSS SAQは毎年定期的に実施、更新する必要があります。PCI DSSのことがまだよくわからない、SAQのタイプの違いについてもっと詳しく知りたいという方は、QSAやQSACに専門的なアドバイスを求めることで、効率的かつ適切なPCI DSS準拠を実現できるでしょう。

キーワード:PCI DSS SAQ、自己問診票

PCI DSS認証早わかり:情報セキュリティ初心者でも簡単に準拠達成

/in ,

PCI DSS認証早わかり情報セキュリティ初心者でも簡単に準拠達成

EC取引、リモートワーク、フードデリバリープラットフォームでの取引などが引き続き成長を見せた2024年。越境取引やオンライン決済が急速に伸びるなか、カード会員データのセキュリティがとりわけ重要になっています。消費者の個人情報の盗用や悪用を防ぐため、ペイメントカード業界セキュリティ基準審議会(PCI SSC)は、カード会員データを保存、処理または伝送するすべての事業者に対し、PCI DSSの要件に準拠するよう求めています。簡単に言うと、PCI DSSでは12の要件とそのサブ要件で様々なセキュリティ対策を定め、カード会員データの保護を図っているのです。

アクワイアラや管理機関からPCI DSS準拠を求められ、どうしたらいいかわからないときに最も大事な5つの質問(2W3H)

目次

What - PCI DSSって何?

PCI DSSは、Payment Card Industry Data Security Standardsの略で、国際組織Payment Card Industry Security Standard Council(以下「PCI SSC」)が策定・管理するクレジットカードの情報に関する一連のセキュリティ基準です。その目的はカード会員データへの未承認のアクセスや不正利用を防ぐことにあります。

PCI SSCは主要国際カードブランドのAmerican Express、Discover Financial Services、JCB、MasterCard、Visa、UnionPay(銀聯)によって組織されています。PCI DSSは、これらのブランドのカード会員データを取り扱う際のセキュリティについて定めた業界共通の基準で、カード会員データを保存、処理、または伝送するすべての事業者が対象となります。これらの国際ブランドのカードを取り扱う加盟店(Merchant)やサービスプロバイダ(Service Provider)はいずれも、規模や取引量にかかわらず、PCI DSSに則ってカード会員データを保護する必要があります。

Who – 対象は?誰が支援してくれる?

PCI DSSへの準拠が必要な事業者は?

カード会員データを保存、処理、または伝送するすべての事業者は、PCI DSSの要件に準拠しなければなりません。

事業者は、どのようにカード会員データを保存、処理、伝送するかによって、タイプ分けとレベル分けがされます。まずは自社が加盟店(Merchant)なのか、それともサービスプロバイダ(Service Provider)なのかを判断しましょう。

加盟店とは、製品の販売やサービスの提供により、カードで代金を受け取る事業者を指します。したがって、カード払いを受け付ける実店舗やオンラインショップは、バーチャル製品またはサービスのダウンロード販売・提供、大型デパートを含め、すべて加盟店ということになります。

サービスプロバイダとは、カード会員データを伝送、処理、保存(Transmit、Process、Store)する、またはカード会員データのセキュリティを制御する、もしくは当該セキュリティに影響を与えるサービスを提供する事業者を指します。たとえば、第三者決済処理業者、決済サービスや電子ウォレットなどのサービスを提供する決済代行会社、ネットモールのほか、バーチャルホストサービスを提供するデータセンターやクラウドサービスを提供する事業者等もサービスプロバイダとなります。

自社が加盟店かサービスプロバイダかが分かったら、次にPCI DSSのレベルを判定しましょう。

 

レベル1:加盟店およびサービスプロバイダ

PCI DSSのQSA(Qualified Security Assessor、認定セキュリティ評価者)の訪問審査を受け、報告書を受け取ります。

レベル24:加盟店およびレベル2のサービスプロバイダ

PCI DSS自己問診票(Self-Assessment Questionnaire、以下「SAQ」)を使用して自己評価します。QSAの支援を受ければ、より早く正確に評価を完了できるでしょう。

誰がPCI DSSの認証取得を支援してくれる??

特に、レベル1の加盟店やサービスプロバイダが初めてPCI DSS認証取得を目指す場合は、プロの支援を受けることをおすすめします。

QSA (Qualified Security Assessor)

QSAは、PCI SSCの認定を受けた訓練と認定を受け、PCI DSSの審査を行い、準拠報告書(ROC)と準拠証明書(AOC)を提出する権限を与えられた専門の評価者です。QSAは、最新のPCI DSSに関して定期的に講習を受けて試験に合格し、その都度資格を更新する必要があります。QSAの訪問審査は、レベル1の加盟店およびサービスプロバイダの必須要件となっています。

QSAC (Qualified Security Assessor Company)

QSACは、QSAを雇用して専門の審査および支援サービスを行う企業です。PCI DSSの具体的な要求事項を解説し、いかにして安全な決済環境を構築するかについて指導します。

QSAQSACはどう選ぶ?

  1. [PCI SSCの公式サイト]で認定を受けたQSAやQSACを検索できます。
  2. 同業者やパートナーに聞く:PCI DSSの審査を受けたことのある企業に話を聞き、優良なQSAやQSACを紹介してもらうのもよいでしょう。
  3. 評価・事例の分析:隠れたQSA・QSACの口コミや事例を分析し、経験や専門知識の有無を確認しましょう。
  4. 直接問い合わせ:複数のQSAやQSACから、サービスの範囲、費用の基準、作業の流れなどについて話を聞いてみましょう。このようにして自社に合ったQSAやQSACを見つけ、PCI DSS認証取得までしっかりサポートを受けることで、決済環境のセキュリティを守り、準拠を実現しましょう。
サービスプロバイダー
コントラクト・ショップ

How - どうやって?

PCI DSSの認証取得は通常、4つのフェーズに分けられます。

1.  環境準備フェーズ:審査対象環境の確認、およびコンサルティングの段階

**審査対象環境の確認**

– 基礎評価:まず現行のセキュリティ対策を評価し、ギャップおよび改善すべき点を特定します。

– スコーピング:PCI DSS準拠対応が必要なシステム、ネットワーク、アプリケーションの範囲を確定します。

**コンサルティング**

– コンサルタントやQSAに依頼:自社に合ったQSAやQSACを選び、審査対象環境の確認、今後の改善プロセスの指導、審査の段取りといった支援を受けます。

– セキュリティ訓練:従業員に関連するセキュリティ訓練を行い、全体的なセキュリティ意識を高めます。

2. 資料準備フェーズ:必要な制御措置を準備・実施

**資料準備**

– ポリシーと手順:PCI DSSの要件に準拠するようセキュリティポリシーおよび運用手順を策定・変更します。

– 文書収集:準拠を証明するために必要な書類やエビデンスを揃えます。

3. 審査フェーズ:QSAによる訪問審査

**審査の実施**

– 内部評価:正式審査の前に内部で自己評価を実施し、すべての問題が解決されていることを確認します。

– 訪問審査:QSAが訪問審査を実施します。実際に基準に準拠した運用がなされているかどうか検証します。

4. 報告フェーズ:QSAが準拠報告書と準拠証明書を発行

**報告と認証**

– 報告書の作成:QSAがROC(準拠報告書)とAOC(準拠証明書)を作成します。

– 報告書の提出:AOCにはPCI DSSの認証に必須の情報が記載されます。ROCには詳細な機密情報が記載されますが、AOCには機密性の高い情報は記載されませんので、カードブランド、アクワイアラ、提携企業などの関係機関から求められた場合は、AOCを提出することをおすすめします。

– 証明書の発行:準拠証明書を受け取った事業者は、PCI DSSの基準に準拠していることになります。

How long – 時間はどれくらいかかる?

初めの審査対象環境の確認から最後の報告書の提出まで、PCI DSSの認証取得には通常3~5か月かかります。認証取得までの主なフェーズおよび各フェーズは次の通りです。

  1. 準備フェーズ(1~2か月):審査対象環境の確認、およびコンサルティングの段階
  2. 資料準備フェーズ(1か月):必要な制御措置を準備・実施
  3. 審査フェーズ(5~7日):QSAによる訪問審査
  4. 報告フェーズ(半月~1か月):QSAが準拠報告書と準拠証明書を発行

実際にかかる時間は、以下の要因によって異なる場合があります。

– 準備状況:事業者の事前の準備が十分であるか、比較的良好であり、セキュリティ対応の土台がしっかりしている場合は、より早く準拠が実現できます。

– システムや運用プロセスの複雑さ:IT環境、ネットワーク構成、運用プロセスの複雑さも認証取得までのスピードに影響します。

– 投入するリソース:事業者が投入するリソース(人手、時間、予算)およびプロジェクト管理の効率。

スムーズに認証を取得するためには、以下の点が重要です。

– 事前準備:できるだけ早く準備を始めましょう。特に文書やポリシーの整理には早めに取りかかるようにしましょう。

– 効果的なコミュニケーション:準拠作業全体を通じてPCI DSSのQSAとこまめに連絡を取り、問題に気が付いたら、すぐに解決しましょう。

– 維持と改善:認証取得後も引き続きセキュリティ対策の維持と改善に努め、長期的にPCI DSSへの準拠状態を維持しましょう。

How much - 費用はいくらかかる?

初回の認定では、PCI DSSの要件を満たすために、ハードウェアやソフトウェアの新規導入が必要となる可能性があります。以下に費用項目をリストアップしました。

1. システム関連費用:

Webサーバ、アプリケーションサーバ、DBサーバなどの機能ごとにサーバを分割しなければならないため、機器増設または仮想サーバ設置が必要となる可能性があります。また、NTPサーバ、FIMサーバ、ログサーバなどのセキュリティコンポーネントの実装も必要です。

2. セキュリティ機器の費用:

ファイアウォール、ルーター等のネットワークセキュリティシステム(NSCs)、不正侵入防御/検知システム(IPS/IDS)、WAF(Webアプリケーションファイアーウォール)等の増設が必要となります。

3. データ暗号化機器の費用:

カード番号(PAN)の暗号化には、セキュリティ確保のため、HSM(ハードウェアセキュリティモジュール)の導入が必要となる可能性があります。

4. 従業員の訓練費用:

PCI DSSでは、セキュリティ意識向上トレーニング、セキュアな開発に関するトレーニング、インシデント対応計画の訓練などを実施するよう求めています。従業員はセキュリティに関して十分な技術的トレーニングを受ける必要があります。

5. テクニカルテスト費用:

定期的に内部・外部の脆弱性スキャン、ペネトレーションテスト(侵入テスト)、ワイヤレススキャン、カード会員データのスキャン、コードレビュー等を行う必要があります。

6. その他の費用:

サービスプロバイダは、VISAやMasterCardなど、カードブランドにサービスプロバイダ登録する必要があります。

これらの費用のほか、PCI DSSの審査・認証費用があります。これは、PCI DSSのQSAによる審査および報告書作成にかかる時間によって決まります。

 

PCI DSS 認証取得のプロセスおよび費用
自分に適したPCI DSS SAQはどれ?

越境EC事業者、サードパーティのキャッシュレス決済会社、サービスプロバイダ等は、PCI DSSへの準拠が非常に重要となります。準拠要件の実施によって得られるのは、アクワイアラや管理機関に提出する準拠証明書だけではありません。データの漏洩や盗用のリスクから企業を守るとともに、取引に関する消費者からの信頼向上にもつながります。

PCI DSSの要求事項は、認識から理解、エビデンスの提供、認証取得、認証取得後の準拠状態の維持まで、合わせて400項目を超えます。

QSACの支援を受ければ、短期間で効率的に準拠を実現できます。さらに、認証取得後も準拠管理システムの自動監視機能、アラート機能、定期的なデータ提出機能、リアルタイムの状態監視機能などを利用することで、常に準拠状態を維持し、セキュリティを守ることができます。

 
 
*私たちのサービスについてもっとお知りになりたい方は、お気軽にお問い合わせください
 

シンガポール・フィンテック・イノベーションセミナー

/in ,

シンガポール・フィンテック・イノベーションセミナー

Security and Compliance Automation

世界のデジタルファイナンスは、今まさに多角的な発展、新興技術、イノベーションビジネスの進化を経験しつつあり、市場や市場への新規参入者の急速な成長を牽引し続けています。これに伴って生じている情報セキュリティの脆弱性、ハッキング、詐欺の手法は、デジタルファイナンスに関わるすべての事業者にとって大きな課題となっています。 これらの相次ぐ課題に対応するため、監督官庁、カードブランド、業界団体等は常に法令、基準、準拠要件をアップデートしています。事業者の規模にかかわらず、要件に確実に準拠することは、並大抵ではない挑戦です。しかし、セキュリティとコンプライアンスはこれ以上先延ばしにはできません。要件を一つでも軽視したり、要件について手を抜いたりすれば、業界から取り残されるばかりか、規定違反で巨額の罰金を科されることにもなりかねません。 2023フィンテック・イノベーションセミナーでは、金融決済業のトレンド、最新の準拠要件、セキュリティ基準の変化をいち早く解説するほか、万全の情報セキュリティとコンプライアンスの自動化を実現するための新しい概念とソリューションを詳しくご紹介します。ぜひご参加ください。 日時:2023年11月14日 14:00~17:00 場所:サンズ エキスポ & コンベンションセンター3階(3011)Begonia Junior Ballroom 住所:10 Bayfront Ave., Singapore 018953

Topic 1:Innovation of New Payments and Compliace Automation 

Speaker:Vincent Huang – PCI DSS QSA, Secure Vectors Information Technology Inc.

Topic 2:Mitigate open source security with DevSecOps

Speaker:Ding Sun – Head Engineering, Scantist Pte. Ltd.

Topic 3:PIN Security – New Standard TR-31 (Key Blocks) 

Speaker:Lai Seow Yong – APAC Technical Pre-sales Manager,
             Utimaco Management GmbH

Fintech Singapore – Media Report

Breaching the New Frontier in Payments Security and Compliance Automation – Fintech Singapore

備考:

  • イベントでは記録のため写真および動画の撮影を行います。撮影した写真および動画は、後日イベント専用ページに掲載するほか、プロモーションに使用します。
  • 規定のない事項については、主催者が調整、最終的な修正、変更、イベントの解釈、イベントの中止の権利を有します。修正後の内容はイベント専用ページに掲載し、個別の通知はいたしません。あしからずご了承ください。

詳しくはお問い合わせください。

金融業のクラウド移行が大幅緩和!9月に新法施行、今後のチャンスと課題は?

/in ,
Read more

2022年4月からBINコードが上8桁に。システム変更の準備は万全ですか?

/in ,

2022年4月に入ってから、国際カードブランドは決済事業者に対し、新たに導入された8桁のBIN(銀行識別番号、Bank Identification Number)にシステムを対応させるよう、次々と要求しています。カード決済に関わる川上・川下の企業はすでに、システムや取引データの処理、さらにはカード売上票に印刷されるカード番号の形式までを8桁のBINに対応させるよう求める銀行からの通知を受け取ったことでしょう。

BINの形式変更は、クレジットカードを取り扱う業界にどのような影響を与えるのでしょうか?

まず、発行済みの6桁のBINコードは引き続き使用できますが、今月(2022年4月)以降に新たに発行されるカードのBINは基本的に8桁となります。今のところ、カード番号は従来通り16桁(American ExpressとDiscoverは15桁以下)のままなので、イシュアやカード発行システムへの影響はそれほど大きくはないでしょう。しかし、これまでカード番号の7桁目と8桁目をカードのレベル、種類などに使用してきた方式は、8桁のBINに対応して変更する必要があります。

しかしながら、当面は6桁と8桁のBINが取引システムやネットワークに併存することになります。そのため、ATMシステム、取引システム、決済システムといったBINを利用して取引のルーティング(Routing、BINでイシュアを識別)を行うシステムや、決済事業者が現在自社カード取引のルーティング(Routing、BINに基づいて自社カードの決済システムに送信)に使用している機能は、6桁と8桁の併存段階で起きるエラーを防ぐため、8桁のBINに対応しなければなりません。

次に、カード会員データを保存する際に、データ保護措置としてトランケーション(Truncation)技術を採用している場合ですが、今年1月、PCI SSC(ペイメントカード業界セキュリティ基準委員会、Payment Card Industry Security Standards Council)から、各カードブランドで許容可能な新しいトランケーション形式が正式に発表されました。これも、皆さんが関心を持たれている話題でしょう。

新しいBINコードに対応して、保存形式も変更する必要があります。6桁と8桁が併存することを考慮すると、画面への表示やトランケーション処理後のカード番号の保存にどう対応したらよいのでしょうか?

2021年2月、PCI SSCは「8桁のBINの使用を開始する場合、PAN(プライマリアカウント番号)のマスキングとトランケーションに関するPCI DSSの要件にどう対応するかについてのFAQ」を発表しました(https://www.pcisecuritystandards.org/faqs FAQ #1492を参照ください)。以下はその概要です。

1. マスキング:PCI DSS要件3.3では、一般的な状況においては、PANの先頭6桁と末尾4桁のみ表示するとされています。

先頭6桁と末尾4桁より多く(たとえば先頭8桁と末尾4桁)を表示するためには、正当なビジネスニーズがあり、かつ取扱者(または役割)、理由が記載された文書を作成し、会社の上級管理者の許可を得る必要があります。

2.トランケーション:PCI DSS要件3.4では、カード番号を保存する際に読み取り不可能(Rendered Unreadable)な形にしなければならないとされています。その方法の一つがトランケーション(Truncation)です。PCI DSSのガイダンスでは一般的なトランケーション形式を先頭6桁と末尾4桁としていますが、カードブランドによってトランケーション形式に関する規定が異なるため、この文章(FAQ #1492)内に別途補足説明としてFAQ番号1091「許容可能なカード番号トランケーション形式」が附されています(2022年1月更新)。

今年1月以降の許容可能なトランケーション形式は、次の通りです。

カード番号/BINの長さ カードブランド 許容可能なトランケーション形式
16桁のカード番号

6桁または8桁

 Discover

JCB

Mastercard

UnionPay

Visa

 少なくとも4桁を削除すること

保存可能な最大桁数:先頭8桁+他の4桁
15桁のカード番号 American Express 少なくとも5桁を削除すること

保存可能な最大桁数:先頭6桁 + 末尾4桁
15桁未満のカード番号 Discover 保持可能な最大桁数:先頭6桁+他の4桁

出典:https://www.pcisecuritystandards.org/faqsFAQ番号1091

今回の更新により、6桁のBIN8桁のBINとの間におけるトランケーション形式の区別がなくなったことに注意が必要です。まとめると、

  1. VISA、Mastercard、JCB、Discover、UnionPay(銀聯)は、16桁のカード番号の先頭8桁 + 他の4桁の形式を許容
  2. American Expressは先頭6桁 + 末尾4桁の形式のみを許容
  3. 15桁未満のDiscoverは、削除する桁数にかかわらず、すべて先頭6桁 + 他の4桁の形式を許容

同時に、カードブランドでは、これらのトランケーション形式は「許容可能」ではあるが、「必要最小限のデータのみ保持する」という観点から、形式の変更に合わせて直ちに自社のシステムを変更する必要はないとしています。

なお、トランケーション関連のセキュリティ保護については、以下の事項にも注意してください。

  1. PCI DSSでは、SHAハッシュ方式を同時に使用するシステムでは、先頭6桁 + 末尾4桁を保存する場合、先頭8桁 + 末尾4桁を保存する場合のいずれにおいても注意が必要だとしている。トランケーション形式とSHA形式のデータを同時に保存した時、特に先頭8桁 + 末尾4桁の形式の場合、4桁しか削除されないことになるため、SHA形式で同時に保存すると、正確なカード番号を割り出せてしまう確率がより高くなる。
  2. 先頭8桁 + 他の4桁のトランケーション形式を使用する場合、MOD-10の公式に適合するのは残り1000件のデータだけである。つまり、この1000件のうち少なくとも1件は真のカード番号ということになる。したがって、カード番号を再現されたり、算出されたりするリスクを下げるため、データベースへのアクセス制御に関しては、より厳しい制御や内容のチェックが必要となる。

参考資料:https://www.pcisecuritystandards.org/faqs

  • FAQ No. 1492: How can an entity meet PCI DSS requirements for PAN masking and truncation if it has migrated to 8-digit BINs? (by Feb. 2021)
  • FAQ No. 1091: What are acceptable formats for truncation of primary account numbers? (by Jan. 2022)

Bryan Cheng

SecureVectors PCI認定コンプライアンスQSAおよびコンサルタント - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

PCI 3DS準拠への3ステップ

/in ,

3Dセキュア認証(3-D Secure

加盟店(Merchant)のECプラットフォームにおいて、支払いにクレジットカードを使用する際、消費者(Consumer)がワンタイムパスワードを入力して3Dセキュア認証(3-D Secure)を完了しなければ取引は完了しません。これは、クレジットカード取引のセキュリティをより向上させる技術です。3Dセキュア認証サービスのプロセスは、3DSサーバ(3DSS)、3DSディレクトリサーバ(DS)、3DSアクセスコントロールサーバ(ACS)の3つのシステムコンポーネントで構成されています。

3Dセキュア認証サービスの提供者

3Dセキュア認証サービスのシステムコンポーネントには3DSS、DS、ACSがあり、それぞれ次の事業者が使用します。

  • 3DSSを使用するのは銀行(Bank)やアクワイアラ(Acquirer)であり、自社で3DSSを設置、管理しても、3DSソリューションを提供するサービスプロバイダ(ホスティングサービスプロバイダ)のサービスを利用してもかまいません。3DSSは加盟店に接続し、DS(カードブランド)との間で3Dセキュア認証メッセージのやりとりを行います。
  • DSはカードブランド(VISA、MasterCard、JCB、Discover、American Express)が所有し、3DSSとACS間における3Dセキュア認証データのやりとりの要となる場所です。
  • ACSを使用するのはイシュア(Issuer)です。3DSソリューションを提供するサービスプロバイダ(ホスティングサービスプロバイダ)のホスティングを受けることもできます。

これらのシステムコンポーネントは、EMVCoが策定した製品と機能の規格(EMV®3-D Secure-Protocol and Core Functions Specification v2.0)に合格しなければなりません。また、サービスプロバイダも、PCIセキュリティ基準審議会(PCI SSC)が策定したPCI 3DSコアセキュリティ基準(Security Requirements and Assessment Procedures for EMV®3-D Secure Core Components: ACS, DS and 3DS Server)に準拠し、3DSシステムの運用環境およびデータのセキュリティを確保しなければなりません。

PCI 3DS審査の準備

すべての3Dセキュアプロダクト(ACS、DS、3DSS)はEMVCoの製品テストに合格した上で、各カードブランド(VISA、MasterCard、JCB、Discover、American Express)の運用テストに合格してはじめて相互運用性(Interoperability)が保証されます。また、3Dセキュア製品の運用環境のセキュリティは、PCI SSCが策定したPCI 3DSコアセキュリティ基準の認定を取得する必要があります。

PCI 3DSの審査は、PCI SSCから認定を受けたQSAによって行われます。通常は、3Dセキュア製品がカードブランドの運用テストに合格し、アクワイアラや加盟店(Acquirers、Merchants)がPCI 3DSの審査に合格してはじめて、正式にオンラインで3Dセキュアサービスを運用することが許可されます。

PCI 3DSコアセキュリティ基準はPart1とPart2に分かれています。

  • Part1:3DSシステムの運用環境のセキュリティ要件(3DS Baseline Security Requirements)を定める
  • Part2:3DSシステムの運用そのもののシステムのセキュリティやデータのセキュリティ要件(3DS Security Requirements)を定める

なお、決済事業者やサービスプロバイダの使用する環境、または3Dセキュアシステムが運用される環境が、すでにPCI DSSの認証を受けており、PCI 3DSの運用に必要な対象範囲がPCI DSS認定審査の対象範囲と同一である(排除項目が存在しない)場合、PCI 3DSではPart2の要件にのみ対応すればよいとされています。

PCI 3DSの審査を受ける前に、次の3つの段階で準備を進めましょう

PCI 3DS 驗證 3 步驟_Max

(1)   3Dセキュアデータの保存と保護に関する要件

処理される3Dセキュア取引データは、いずれもPCI 3DSの要件に準拠していなければなりません。したがって、決済事業者やサービスプロバイダは、既存の、または運用を計画している3Dセキュアシステムのデータフローやデータの保存方法がPCI 3DS Data Matrixのデータの保存と保護に関する各要件に準拠しているかどうか、チェックする必要があります。これには認証データ、鍵データ、暗号鍵(ACS、DSに適用)の保護と保存の規定が含まれます。準拠要件において保存が禁止されているデータは、システムの取引処理プロセスにおいて非保持が徹底される必要があります。ベンダが提供または設置に協力したシステムであっても、ベンダに3Dセキュアデータの取り扱い方法を確認しなければなりません。

(2)   手順および管理の準備と実施

PCI 3DSは、決済事業者やサービスプロバイダに対し、アクセス制御ポリシーやソフトウェア開発手順等の管理ポリシーおよび管理手順を定め、3Dセキュアサービスのセキュリティ管理をPCI 3DSに準拠させるよう求めています。また、PCI 3DSでは、運用上のリスクの存在を前提として、対応するセキュリティ対策と実施レベルを定めており、リスク評価結果、ハードウェア・ソフトウェア目録、ネットワーク構成図およびデータフロー図(Network Diagrams、Data Flow Diagrams)、各テストおよび実施記録など、管理に必須の文書や記録を作成し、保存するよう求めています。

(3)   準拠に必要なテクニカルテストの実施

PCI 3DSでは以下のテクニカルテストが求められています。

  • ソフトウェア・セキュリティテスト(Software Security Tests)
  • 四半期に1回の内部・外部脆弱性スキャン(Vulnerability Scans)
  • 毎年1回のペネトレーションテスト(侵入テスト)

これらのテストは、専門のテストプロバイダに委託しても、社内の専門技術者が行ってもかまいません。ただし、外部脆弱性スキャンは、PCI SSCから認定されたASVが行う必要があります。

PCI 3DS審査の実施

PCI 3DSの認定サービスプロバイダがPCI 3DS QSAです。リストはPCI SSCのウェブサイトで検索できます。セキュアベクターズは、現在アジア太平洋地域においてPCI 3DS審査サービスを提供している数少ないQSA企業の一つです。

審査作業は組織の規模や3Dセキュアシステムの実装方法によって異なります。一般に、審査前または審査開始段階でスコープ(対象範囲)を確認します。審査期間中は3~5日間かけてオンサイト評価(訪問審査)を実施し、さらにオフサイトで評価担当者のレポートとエビデンスをチェックします。審査完了後、QSA企業が準拠報告書(Report On Compliance、ROC)に署名し、審査を受けた事業者が準拠証明書(Attestation of Compliance、AOC)に署名すれば、認定となります。

PCI 3DSコアセキュリティ基準では毎年1回審査を受けるよう定めています。決済事業者やサービスプロバイダは、カードブランドやアクワイアラの求めに応じてAOCまたはROCを提出しなければならず、これにより、その年の審査が完了となります。

Max Tsai

PCI QSA and Senior Consultant

• Payment Card Industry Security, IT Security Management, Cloud Service Management
• 專業認證: PCI DSS QSA, CISSP, ISMS LA

「銀聯国際(UPI)主催UPI 3DS 2.0ワークショップ(シンガポール)にセキュアベクターズが参加」

/in ,
Read more