Bluefin

ID TECH、PCI認定P2PEソリューションでBluefinと提携

2014年3月、 Bluefin Payment Systems は、Point-to-Point Encryption（P2PE）ソリューションについてPayment Card Industry（PCI）認定を取得した、北米初の企業となりました。

Bluefinが認定を取得した時点で、この厳しい認定を達成していた企業は、世界でも他に2社（いずれも欧州）のみでした。

Bluefinは2012年半ばより、待望のP2PE認定の取得に向けて取り組みを開始しました。PCIのSecurity Standards Council（SSC）のParticipating Organization（PO）として、ジョージア州を拠点とする同決済企業は、PCIが新たに導入したP2PE基準を採用することが重要であると考えました。

Miles氏によれば、加盟店や企業はセキュリティに対して、強固なリソースを構築し、より高いファイアウォールを設けてハッカーを排除する「データを守る」アプローチを取ることが多いといいます。しかしRuston氏が付け加えるところによれば、P2PEの本来の目的は、インタラクションの時点で暗号化によってカード会員データを無価値化することにあり、加盟店や企業のシステム内に平文データを存在させないことで、ハッカーにとってデータを無意味なものにするのです。

Bluefinは、決済業界が「データの無価値化」という方向へ進む必要があり、PCI認定P2PEがそれを実現する最善の方法であると確信していました。

ID TECHによる初のP2PE認定デバイス

PCI認定を受けたP2PEソリューションプロバイダーは、 認定を取得する必要があります ソリューションを構成するすべてのPCI P2PEデバイスについて、厳格なPCI基準に従って認定を取得しなければなりません。ソリューション内のすべてのデバイスが「検証済み」とならない限り、完全なソリューションとしてPCI P2PEリストに掲載され続けることはできません。

Bluefinの2014年の検証作業は、ID TECHの SecuRED までメールでお問い合わせいただき、 SREDKey カードリーダーを中心に進められました。最初の数か月以内に、BluefinはThe Hillman Groupとともに初の大規模なP2PE導入を実現し、SRED（Secure Reading and Exchange of Data）対応の磁気ストライプリーダーであるSecuREDを採用しました。

小売環境向けのID TECH製SecuRED

1964年に設立された The Hillman Group は、Lowe's、Home Depot、PetSmart、PETCO、Sears、Ace Hardware、True Value、Walmartなど21,000社を超える企業に対し、商業用および家庭用の幅広い製品を提供しています。Hillmanは、ファスナー、キー、文字、数字、サイン（LNS）、および彫刻の分野で今日の市場をリードしています。

The Hillman Groupは、自動カスタム彫刻キオスク向けに、ID TECHのSecuREDを採用したBluefinのソリューションを選定しました。これは、CDEに適用されるPCI DSS要件の数を削減すると同時に、コストのかかるカードデータ侵害の可能性から自社ブランドを保護する手段として導入されました。現在、同社はキオスクに2,000台を超えるSecuREDデバイスを展開しています。

「企業にとって良い経験則は、カードに触れる必要がないのであれば触れないことです」とBluefinのRuston Miles氏は述べています。「厄介な問題を抱え込まない。EMV、P2PE、トークナイゼーションはまさにその具現化です。P2PEソリューションは接点のあらゆる場所でデータを暗号化し、トークナイゼーションはあらゆる保存ポイントでデータを保護します。そのため、他の技術と組み合わせて使用することが不可欠です」。

PCI P2PE決済ソリューションは、より安全であること(これが第一の目的です)に加え、長期的には加盟店のコンプライアンスコストを大幅に削減するため、加盟店にとってより高い投資収益率をもたらします。

“「P2PEを導入すれば、PCI要件のもとで加盟店が自社を保護するために行っている事項の90%が、適用範囲の縮小により不要になります。生活が楽になるのです」とMiles氏は指摘します。

BluefinはSecuREDに加え、2014年の検証以来、ID TECHのSREDKeyデバイスを11,000台以上展開しています。SREDKey(キーパッドと磁気ストライプリーダーを組み合わせたもの)は、コールセンターや、EMVが必須ではない医療機関などの一部のカード提示環境に最適なソリューションです。

コールセンター向けID TECHのSREDKey

2016年、コールセンター向けソフトウェアプロバイダーである Intelligent Contacts はBluefinの Decryptx® ソリューションに接続しました。これにより、ゲートウェイやソフトウェアプラットフォームは、現在のソフトウェア統合や決済フローを変更することなく、BluefinのPCI検証済みP2PEソリューションを顧客に提供できます。Intelligent Contactsは、シンプルなキーパッドインターフェースによる安全なカード入力を提供するために、SREDKey決済端末を活用しました。

「コールセンターは何十年にもわたって電話による決済を受け付けてきましたが、注目度の高いデータ侵害が多発し、クレジットカード情報の取り扱いに関するルールがはるかに厳格化されたことで、業界はPCI認証を維持するために外部の支援を求めていました」と、Intelligent ContactsのCEOであるJeff Mains氏は述べています。「さらに、コールセンターのセキュリティは最も脆弱なコンピューターの水準で決まります。中間者攻撃やPCI監査に耐えられるよう、すべての端末を安全に保つことは、IT部門にとって悪夢になり得るのです」。

Intelligent ContactsのP2PEソリューションをいち早く導入した顧客の一つが、ヘルスケア業界向けに収益サイクルツールおよびバックオフィスの請求支援を提供する大手企業でした。1,000名を超えるエージェントが日々クレジットカード情報をコンピュータに入力しており、毎年PCI認証を取得することは大きな負担となっていました。

解決策は、クレジットカード情報をコンピュータに入力することをやめることでした。代わりに、各エージェントに専用のP2PE端末が支給されました。

「PCI承認デバイスを使ってすべての決済を処理することで、同社はPCI対象範囲を約95％削減できました」とMains氏は述べています。

新たなID TECH決済デバイスを他市場へ展開

Bluefinは最近、ID TECHのSpectrum ProおよびAugusta Sを、認定済み P2PE認定デバイスのリストに追加しました。Spectrum Proは、PCI-PTS 4.xおよびSRED認証を取得したハイブリッド型のMagStripe／スマートカード挿入式リーダーで、その耐久性、堅牢性、設置の容易さから、屋外セルフサービス環境に最適なソリューションです。

本製品は Augusta S はマグストライプとEMVに対応したカウンタートップ型のデュアルリーダーで、フル機能のPINパッドソリューションが伴う負担や複雑さを避けつつ、EMVへのシンプルなアップグレードパスを提供します。Spectrum Proと同様に、Augusta SもSRED認証を取得しており、常時暗号化と高度な改ざん防止機能を兼ね備えています。

ID TECHは現在、BluefinおよびサードパートナーとともにSpectrum Proをフリート給油市場へ提供する取り組みを進めています。給油業界におけるP2PE認定ソリューションは、給油ポンプでの不正利用を削減するうえで極めて重要です。

「ID TECHは、無人決済の領域がP2PE認証取得済みのEMV製品ラインにとって大きな機会を秘めていると認識しています。Bluefinとの長年にわたるパートナーシップにより、当社はこの競争の激しい市場で会社とブランドを成長させることができました。無人決済市場およびその先においても、同様の成功を収めることを楽しみにしています」と、ID TECHのプロダクトマネジメント＆マーケティング担当バイスプレジデントであるJustin Ning氏は述べています。「現在、当社は金融業界で著名なパートナーと連携し、セキュリティと耐久性が最も重視されるガソリンポンプにSpectrum Proを導入する取り組みを進めています。この新たなプロジェクトと、その成長の可能性に大いに期待しています！」

ID TECHは30年以上にわたり、安全な決済ソリューションを提供する業界のリーダーであり続けています。ID TECHに関する詳細は、以下をご覧ください。 www.idtechproducts.com.