PCI PIN Security
PCI PIN Securityとは、カードブランドのVisa、MasterCard、JCB、American Express、Discoverが、PIN取引(PIN Transaction)に関わる事業者向けに策定したセキュリティ基準で、現在のバージョンはPCI PIN Security 3.1です
PCI PIN Securityとは?
PCI PIN Securityとは、カードブランドのVisa、MasterCard、JCB、American Express、Discoverが、PIN取引(PIN Transaction)に関わる事業者向けに策定したセキュリティ基準で、現在のバージョンはPCI PIN Security 3.1です。ATMやPOS端末を提供するアクワイアラ、イシュア、中間の取引ネットワーク(Switch、Network)、カードブランドのネットワーク、PIN取引を行うATMやPOS端末を提供する事業者やそれを支援する事業者は、基本的にPCI PIN Securityに準拠しなければなりません。
このほか、キーインジェクション(暗号鍵の注入)を行うKIFや認証機関(Certification Authority)も対象です。事業者は各カードブランドの規定に従い、自己問診(Self-assessment Questionnaire)、もしくはPCI SSCが認定したQPA(Qualified PIN Security Assessor)による審査を受けます。
PIN Security準拠の流れ
PCI PIN Securityへの準拠のために必要な作業には、大きく分けて以下のものがあります。
- 管理手順の確立
PCI PIN Securityには7つのコントロール目標(Control Objectives)があり、それぞれの目標が、ATM、POSなど各種POI(Point of Interaction)の管理手順やHSMの管理手順といったセキュリティ管理のためのポリシーや手順を要求しています。しかし、より重要なのは鍵管理(Key Management)関連の手順です。これには鍵の生成、配布、更新、失効、破棄、他の事業者との様々なやりとりの管理手順、PINブロックおよびキーブロックの使用、機器の物理的セキュリティなどが含まれます。
- 取り扱い機器、鍵、交換事業者の棚卸
PCI PIN Securityでは、POI(ATM、POS)機器、HSMキー、暗号化装置、鍵ロードデバイス(Key Loading Device)、ホストとそのホストソフトウェアなど、PIN Securityに関係する全機器の棚卸と管理を求めています。通常、POIは数が多く、鍵ロードデバイスも厳格かつ正確な管理手順が要求されています。事業者内部で使用する鍵、HSM、取引に関わる事業者、交換事業者等、さらには外部委託するサービスプロバイダの棚卸と管理にも注意しなければなりません。
- 運用の監視および管理
各種設備のPOI(ATM、POS)、HSM、ホスト、鍵ロードデバイスの使用、記録、検査の管理は、定められた手順に従って実施し、適切な記録を残さなければなりません。鍵の交換、ロード(Key Loading)、生成等においては、すべて規定のデュアルコントロール、知識分散(Split Knowledge)、監視(Monitoring)が必要です。また、その記録には対応する監視と審査が求められています。
PIN Security認定審査の流れ
初めにギャップ分析(Gap analysis)をして、現在の環境や機器、運用管理の状況と、PCI PIN Securityの要件との間にどのようなギャップがあるかを知り、必要となる作業を確定します。
2. コンサルティング
専門のコンサルタントがPCI PIN Securityの要件に基づき、技術上、管理上のアドバイスを提供するとともに実施を支援することで、準拠を実現します。
3. 訪問審査
PCI QPAがPCI PIN Securityの規定に沿って、かつカードブランドが定める頻度で、事業者の実施状況を審査し、レポートを作成します。
4. 改善
審査の結果、非準拠事項(Non-compliance)が見つかった場合、事業者は改善、是正、技術的な補強、手順の修正等を行わなければなりません。改善が完了し、適切な実施記録を作成した後、PCI QPAが再度チェックまたはエビデンスのレビューを実施し、準拠を確認します。
5. 審査完了
すべての非準拠事項が改善されたら、PCI QPAがROC(準拠報告書)やAOC(準拠証明書)を作成します。審査を受けた事業者がAOCに署名すれば、審査は完了となります。
PCI PINセキュリティ認証が必要ですか?
できるだけ早くご連絡ください!
