PCI DSSとは
PCI DSS(Payment Card Industry Data Security Standard)とは、クレジットカード会員の情報を保護することを目的に定められた、クレジットカード業界の情報セキュリティ基準です。2004年に国際カードブランドのAmerican Express、Discover、JCB、MasterCard、VISAの5社によって策定されました。カード会社はもちろん、カード情報を「保存、処理、伝送」する事業者であるカード加盟店や銀行、決済代行サービス企業などが、年間のカード取引量に応じたレベルに従ってPCI DSSに準拠する必要があります。具体的には百貨店やスーパー、量販店、ECサイトなどの流通業や保険会社などの金融業、また携帯電話会社や通信会社なども準拠の対象になります。
PCI DSSで求められる要件
PCI DSSでは6つの目標とそれに対応する12の要件が定められています。●安全なネットワークとシステムの構築と維持
1.カード会員データを保護するために、ファイアウォールをインストールして維持する2.システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
●カード会員データの保護
3.保存されるカード会員データを保護する4.オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
●脆弱性管理プログラムの整備
5.マルウェアにしてすべてのシステムを保護し、ウィルス対策ソフトウェアを定期的に更新する6.安全性の高いシステムとアプリケーションを開発し、保守する
●強力なアクセス制御手法の導入
7.カード会員データへのアクセスを、業務上必要な範囲内に制限する8.システムコンポーネントへのアクセスを識別・認証する
9.カード会員データへの物理アクセスを制限する
●ネットワークの定期的な監視およびテスト
10.ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する11.セキュリティシステムおよびプロセスを定期的にテストする
●情報セキュリティポリシーの整備
12.すべての担当者の情報セキュリティに対応するポリシーを整備するPCI PTSとは
PCI SSCが策定しているセキュリティ基準には、決済端末(mPOS)を開発する「ベンダー」に求められるセキュリティ規格として「PCI PTS」があります。「PCI PTS」はPIN入力を行う決済端末で確保されるべきセキュリティ要件です。PCI PTSに対応した端末を用いたPCI P2PEソリューションの導入により、POS加盟店は、POS端末内にカード情報が残らず、情報漏洩のリスクを低減でき、PCI DSS準拠に必要な審査項目が大幅に削減されることで、監査に関する負担も軽減されます。
飛天ジャパンはPCI-PTS準拠の決済端末(mPOS)においては日本有数の導入実績がありますので、導入事例や製品についてご紹介させていただきます。
導入事例「モバイル決済サービスベンチャー企業向けmPOS端末の提供」
・磁気カードリーダー・バーコードリーダー・接触ICカード・非接触NFCカードリーダーが一体化したmPOS端末のODM設計・関連SDKの提供
・各種認定の取得代行
・量産品の提供
経験豊富なセキュリティ専門技術者とデザインナーとの共同作業でODM設計したことにより、PCI-PTS、EMVの高難易度認定を一発クリアし期間短縮&コスト削減が実現
飛天ジャパンの強み
1.セキュリティメーカーならではの技術活用2.日本での豊富なカスタマイズ開発実績(OEM/ODM)/日本独自仕様の経験(FeliCa、JIS2、TELECなど)
3.専門技術者によるスピーディな製品開発
4.大量・高品質の成熟した生産体制
5.日本国内での日本語による要件定義~運用(技術サポートや品質対応)
