ID TECH
お問い合わせ
すべての技術記事

技術記事

「PCI DSS認証済みリーダーを販売してもらえますか?」は誤った質問です

ID TECHでは、決済ビジネスに関する技術的なご質問を数多くいただきます。Payment Card Industry(PCI)の要件について混乱されている方も少なくありません。たとえば、「これらのデバイスのPCI DSS証明書を提供していただけますか?」や「X製品がPCIのウェブサイトに掲載されていませんが、P2PE認証は取得していますか?」といったご質問をいただきます。

これらはよくあるご質問ですが、誤った前提に基づいている場合があります。「PCI認証を受けていないデバイスは、PCI認証済みのデバイスよりも本質的にセキュリティが低い」という前提であれば、それは正しくありません。

ID TECHはPCI PTS SRED認証済みハードウェア(右の画像のSREDKey、またはAugusta S、Spectrum Pro、SecuRED、VP8800など)を提供できますが、SRED非対応のデバイスであっても非常に高いセキュリティを備えており、市場向けに開発されるほとんどの決済ソリューションでご利用いただけます。

PCI DSSは、ハードウェアデバイスだけでなく、決済システムのあらゆる側面に対する認証を必要とするシステムソリューションです。PCI DSSには、準拠したソリューションがアクセスとカード会員データのセキュリティをどのように扱うべきかについて、12の具体的な要件が含まれています。以下の項目は、 PCIドキュメント.

管理目的

PCI DSS要件

要件を読んでみると、PCIがソリューションプロバイダーに対し、ソリューションにどの周辺決済ハードウェアを含めるべきかを指定する記述はありません。PCIが主に重視しているのは、 要件を満たしているかどうか であり、 どのように 満たすかについてはあまり問われません。ソリューションプロバイダーがPCI DSS認証を取得する際、暗号化機能のないリーダーを使用することも可能ですが、その場合、機密情報の取り扱いについてシステムがどのように対応しているか、追加の精査を受けることになります。暗号化対応のカードリーダーを使用し、マーチャントがローカルでも決済環境内でもカードデータを復号できない状態であれば、QSA(Qualified Security Assessor)が要件第3、4、9項に関して、マーチャントにとって有益な対象範囲の縮小を実現できる可能性が高くなります。(ただし、実際の対象範囲の縮小レベルは監査人の判断によります。)

ハードウェアに関連するPCI要件はごくわずかです。PCIが認証する唯一のハードウェアは、いわゆるPCI PTS(PIN Transaction Security)または「SRED」デバイスであり、Secure Reading and Exchange of Data(SRED)要件が適用されるものです。SRED非対応のデバイスでも、SREDデバイスと同じ暗号化機能を備えていることが多く(通常はそうです)、SRED非対応版にはSRED認証取得に必要な改ざん検知メカニズムが搭載されていません。(また、PCIは製造業者に対し、ソフトウェアのセキュアな開発、セキュアなアップグレードなどに関する厳格なルールを定めています。SREDデバイスは、製造から廃棄まで一貫してセキュリティが確保されている必要があります。)ID TECHの暗号化対応デバイス(「SRED」デバイスでないものも含む)は、現在認証されている多くのPCI DSSソリューションで使用されているため、技術的にはPCI準拠と見なすことができますが、リーダー自体が「PCI認証」を受けているわけではありません。PCI DSS認証はソリューション全体に適用されるものであり、デバイスレベルの規格ではありません。

P2PE

決済業界では「P2PE」(Point to Point Encryption)について、よくある誤解があります。多くの場合、「P2PE」と言うとき、実際にはE2EE(エンドツーエンド暗号化)を意味しています。マーチャントが、ハードウェアレベルでカード会員データを暗号化してPOSアプリケーションに渡し、そこから(リモートの)決済ゲートウェイに暗号化データを送るシステムを導入している場合、それは「エンドツーエンド」暗号化と見なされます。P2PEは、使用するハードウェア(SREDである必要があります)、導入環境、データの取り扱い(P2PE規則に従って維持される必要があります)、決済アプリケーション、鍵注入および復号施設まで、取引のあらゆる側面を対象とする公式なPCI認証です。SREDデバイスを導入しているだけで、システムが自動的にP2PE準拠になるわけではありません。

P2PE認証は極めて高コストで稀少なものであることを理解しておく必要があります。「P2PEが必要だ」と考えている方の多くは、実際には必要としていません。ご自身のニーズをしっかりと検討してください。

PCI認証や決済デバイスのセキュリティに関するご質問はありませんか?ID TECHの技術専門家が喜んでお手伝いします。お気軽にお問い合わせください:

フリーダイヤル番号
1-800-984-1010

今月の記事は、ID TECHの無人ソリューション担当プロダクトマネージャーであるJason Hallが、Kas Thomasの協力を得て執筆しました。