日本NCR

NCR RES-ePaymentがPA-DSS Version 3.0の認定を取得

日本NCRは、決済アプリケーション・ソフトウェア「NCR RES-ePayment(アールイーエス イーペイメント:NCR Retail Enterprise Solution ePayment Application)」がペイメントカードの国際セキュリティ基準を管理する団体PCI SSC(Payment Card Industry Security Standards Council)より、国内初のPA-DSS(Payment Application Data Security Standard)Version 3.0の認定を取得した。PA-DSSへの認定のメリットについて日本NCRに話を聞いた。

流通企業からPA-DSS対応が求められる
POSからセンターまでセキュリティを確保

 

「PA-DSS」は、PCI DSSやPCI PTSの運営団体であるPCI SSCが定めたペイメントカードの情報セキュリティ基準で、クレジットカード決済アプリケーションを開発・販売する事業者が対象となっている。もともとVisaのPA-BP(Payment Application Best Practice)を基盤としており、2008年の第2四半期から、PA-QSA(認定審査機関)による審査がスタートした。

 

日本NCRでは、国内向けの製品としては初めて、2008年にPA-DSS Version1.1に完全準拠し、2011年9月9日にはVersion 2.0を取得。そして、2014年に国内で初となるVersion 3.0に準拠を果たした。

 

日本NCRの「NCR RES-ePayment」は、クレジットカード、デビットカード、非接触ICカードなど、POSでの決済手段に対応するパッケージアプリケーションで、消費者のクレジットカード情報をPOS上に残さず、通信データの暗号化等、多くのセキュリティ要件を満たしているそうだ。

 

決済の画面イメージ

決済の画面イメージ

日本NCR 流通システム ソフトウェア製品開発部 マネジャー 仲間絹子氏は、「2008年にPA-BPに準拠した頃は、流通企業の意識はそれほど高くありませんでしたが、現在は流通企業の対応要件(Request for Proposal)として盛り込まれていますので、かなり機運は高まっていると感じています」と話す。また、ターゲット(Target)など、米国の大手企業からの情報漏洩の影響を受け、数多くの問い合わせが寄せられたそうだ。

 

同社のPA-DSSに対応した決済パッケージは、アパレル大手のBEAMSなどで採用されている。グローバルに展開している企業からは引き合いも多いが、「国内で従来、自由なアプリケーションを作り込んで運用されていたお客様ですと、その機能を残したいという要望も多く、セキュリティ要件との兼ね合いが難しいところです」と製品・マーケティング本部 製品開発部 シニア・ソフトウェア・エンジニア 藤田宏明氏は悩みを口にする。

 

「お客様のサーバにNCRが提供する決済サーバを設置する場合、お客様からの要件によっては、セキュリティ面で要件が満たせないこともあり、NTTデータの『PastelPort(パステルポート)』や三菱UFJニコスの『J-Mups』といったインフラを交えてセキュリティを高める戦略をとっています。いずれもセンターと接続するためのソフトウェアが標準で組み込まれているため、POSからセンターまで包括的にセキュリティを確保できます」(仲間氏)

 

Version3.0では対象範囲が拡大
審査コストの低減が準拠企業の拡大に必要

 

Version2.0の審査の際は、暗号化の部分の難易度が上がった点、そして、PA-DSSの審査を担当するPA-QSAの品質をPCI SSCが審査することになったため、審査のハードルが上がったが、「2.0から3.0のバージョンアップでは、曖昧な表記がより厳格化された印象を受けました」と藤田氏は話す。個々の対策については、それほど大きく変わっていないが、要件ごとの対応策が明確化したそうだ。実際の受審については、2.0との差分から、新しく追加した要件を埋めていく必要があったが、過去2回の審査よりはスムーズに対応できたそうだ。

 

日本NCR 流通システムソフトウェア製品開発部 マネジャー 仲間絹子氏

日本NCR 流通システムソフトウェア製品開発部 マネジャー 仲間絹子氏

また、3.0の審査からは、セキュリティに関する分析を行うプロセスが整っているかという要件が加わった。例えば、セキュリティトレーニングを受けているかという証明を求められ、「お客様に実装ガイドを提供して、導入に当たって考慮する部分の説明について英語でドキュメント化して提出する必要があり、大変でした」と仲間氏は振り返る。

 

なお、PA-DSSの審査は、NTTデータ先端技術に依頼した。対応コストについては、1.1で蓄積したベースがあり、2.0ではコストを抑えて準拠することができたが、3.0では『J-Mups』も含めて対象範囲を拡大したため、前回とほぼ同様の料金で準拠できたそうだ。日本におけるPA-DSSの準拠は、日本NCRなど数社に限られるが、「さらなる普及に向けては、米国と同様の審査コストになることが必要です」と仲間氏は語気を強める。

 

日本NCR 製品・マーケティング本部 製品開発部   シニア・ソフトウェア・エンジニア 藤田 宏明氏

日本NCR 製品・マーケティング本部 製品開発部
 シニア・ソフトウェア・エンジニア 藤田 宏明氏

同社が国内でいち早くPA-DSSに準拠した理由は、POSシステムへのセキュリティ面の不安を考えたからである。例えば、米国ではPCI DSSの準拠が証明されたPOSアプリケーションの使用が義務化されており、NCRだけでなく、ほかの会社もPA-DSSに準拠したパッケージを販売している。今後は国内でもPA-DSSに対応した決済アプリケーションの広がりが期待される。近年は大手流通業の団体なども関心が高まっており、同社のPOS加盟店からカード番号の漏洩を防ぐため、積極的に同パッケージの販売を行っていきたいとしている。

注目サービス

GOLD

MasterCard

世界、そして日本をキャッシュレスな社会へ
海外におけるMasterCard最新決済テクノロジーの事例

株式会社富士通ミッションクリティカルシステムズ

クレジット決済業務に特化したパッケージ製品を提供
CAFISとCARDNETに対応し、短期間・低コストでの導入を支援

マクニカネットワークス株式会社

世界中の決済を保護するHSMで高セキュリティな暗号鍵管理を実現
金融ビジネスを支援する万全のサポート体制も強みに

タレスジャパン株式会社

EMV、HCE等のモバイルペイメント、mPOSを保護するタレスのHSM
最新の決済トレンドにも対応できる強固なセキュリティを実装

株式会社富士通ミッションクリティカルシステムズ

導入事例
インコムのPOSAカード導入を短期間・低コスト・高品質にサポート
9割の導入企業が選んだパッケージ/クラウドサービス「やごやさん」とは

大日本印刷株式会社

決済連動マーケティング「マルチペイメントサービス」を開発
複数の決済手段にワンストップで対応し、購買情報を活用した販促を実現

SILVER

凸版印刷株式会社/富士通エフ・アイ・ピー株式会社

スーパーマーケットや飲食で導入が加速する「ポイント一体型電子マネー」
優れたノウハウ・機能と高いセキュリティで流通企業の導入を支援

GMOペイメントゲートウェイ株式会社

ネットショップの決済を支える会社 GMOペイメントゲートウェイ

株式会社バリューデザイン

国内最多の導入企業数を誇るクラウド型電子マネー(プリペイド)発行システム
販促ノウハウとサポート力を武器にアジア№1のプロセッサーを目指す

株式会社スマートリンクネットワーク

カード情報お預かり自動更新サービス

ソニー株式会社

1枚のFeliCaカードに独自電子マネー・ポイント・クーポンなどを集約
スマートでセキュアなサービスを安価に実現可能な「FeliCaポケット」

株式会社NTTデータ

なりすましによる不正使用を検知する「CAFIS Brain®」をEC加盟店に提供
デバイス情報や取引情報を高精度に分析し、不正取引による被害を抑制

株式会社ゼウス

設立20周年を迎えた総合決済サービスプロバイダ、ゼウスの強みとは?
ネットとリアル双方で便利なサービスを提供

株式会社日本カードネットワーク

あらゆるカード決済を総合サポート

株式会社NTTデータ

リアルタイムなアプローチを実現する「CAFIS Presh®」は店舗の販促を支援
「CAFIS®」のクレジットカード決済情報や位置情報を活用

セイコーソリューションズ株式会社

ICクレジットのEMV処理や電子マネー決済のシンクライアント化で
セキュリティや拡張性、コストの課題を解決

日本セーフネット株式会社

トークン化やDUKPT、PCI DSSなどカード会員情報保護のグローバルリーダー
一気通貫でペイメントカードのセキュリティサービスを提供