クレジット決済におけるセキュリティ基準の評価機関「P2PE QSA」として認定され 「PCI P2PE」準拠支援サービスを提供開始
[16/07/27]
提供元:DreamNews
提供元:DreamNews
(ご参考を含めたニュースリリース詳細)
http://www.nri.com/jp/news/2016/160727_1.aspx
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:小田島 潤、以下「NRIセキュア」)は、7月19日、高レベルのセキュリティ機能を持つクレジット決済ソリューション「P2PEソリューション*1」の評価機関「P2PE QSA*2」として認定されました。認定者は、国際クレジットカードブランド5社が設立した、クレジットカードの国際的なセキュリティ基準に関する協議会(PCI SSC*3)です。今後NRIセキュアは、「P2PEソリューション」をPCI SSCが制定しているセキュリティ規準に準拠させるための支援サービスを提供していきます。
昨今、欧米諸国を中心に、クレジットカード取引を行う加盟店でクレジットカード情報が大量に流出する事件が起きています。事件の多くは、加盟店に置かれたクレジット端末システム(POS)の脆弱性をついたマルウェア(悪意のあるソフトウェア)による攻撃などによって生じており、カード情報が不正に搾取されています。このような状況の中、有効なセキュリティ手法として注目され始めているのが「P2PEソリューション」です。
これまでの仕組みでは、カード加盟店が入手したクレジットカード情報は、直接クレジットカード会社(もしくは決済代行会社)へ送られ、さらに加盟店の端末に情報がそのまま蓄積されていました。「P2PEソリューション」を導入すると、加盟店端末から決済ネットワークの手前*4までは、カード情報が暗号化された形で送られ、端末内に情報が残らないため、情報漏えいのリスクが低減します(ご参考:図1)。これにより、加盟店におけるPCI DSSへの準拠に必要な審査項目が大幅に削られ、準拠を目指す加盟店の負担が大きく減る効果も期待できます。
NRIセキュアは、「P2PE QSA」認定を機に、ITサービス会社が「P2PEソリューション」を提供するために必要な、PCI SSCの定めるセキュリティ基準「PCI P2PE*5」への準拠に至るための「PCI P2PEソリューション準拠支援サービス」を提供します。
NRIセキュアはこれまで、4つの認定(「QSA」「ASV」「PA-QSA」「PFI」)をPCI SSCから取得しました(ご参考:表1)。「P2PE QSA」の取得で、日本で初めて、PCI SSCから5つの認定を取得した企業となりました。これからも、激化するサイバー攻撃や内部犯罪から、クレジットカードビジネスとカード会員を守る支援を継続していきます。
*1 P2PE (Point-to-Point Encryption) ソリューション:
加盟店におけるクレジット端末から決済ネットワークの手前まで、クレジットカード情報を暗号化した状態で処理するための、高レベルのセキュリティ機能が備わった決済ソリューション
*2 P2PE QSA:
PCI SSCが認定するP2PEソリューション認定セキュリティ評価機関。ソリューションが国際的なセキュリティ基準「PCI P2PE(後述)」を満たしているか審査を行う
*3 PCI SSC(Payment Card Industry Security Standards Council, LLC.):
国際クレジットカードブランド会社5社(VISA、MasterCard、JCB、American Express、Discover)が設立した、クレジットカードのセキュリティ基準の開発、管理、教育、 および認知を実施する有限責任会社
*4 端末システムから決済ネットワークの手前まで:
P2PEソリューションの範囲は、決済ネットワーク手前の処理までとなる。P2PEソリューションプロバイダからクレジットカード発行会社までは、また別の暗号化や接続の方式が提供されている
*5 PCI P2PE:
P2PEソリューション向けのセキュリティ基準。安全なP2PEソリューションの開発や提供を促進することを目的として、PCI SSCにより制定、運用、管理されている国際的な情報セキュリティの基準
【ニュースリリースに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 松本、海藤
TEL:03-6270-8100 E-mail:kouhou@nri.co.jp
【サービスに関するお問い合わせ】
NRIセキュアテクノロジーズ株式会社 マネジメントコンサルティング部 須田
広報 根本
TEL:03-6706-0622 E-mail:info@nri-secure.co.jp
http://www.nri.com/jp/news/2016/160727_1.aspx
NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、代表取締役社長:小田島 潤、以下「NRIセキュア」)は、7月19日、高レベルのセキュリティ機能を持つクレジット決済ソリューション「P2PEソリューション*1」の評価機関「P2PE QSA*2」として認定されました。認定者は、国際クレジットカードブランド5社が設立した、クレジットカードの国際的なセキュリティ基準に関する協議会(PCI SSC*3)です。今後NRIセキュアは、「P2PEソリューション」をPCI SSCが制定しているセキュリティ規準に準拠させるための支援サービスを提供していきます。
昨今、欧米諸国を中心に、クレジットカード取引を行う加盟店でクレジットカード情報が大量に流出する事件が起きています。事件の多くは、加盟店に置かれたクレジット端末システム(POS)の脆弱性をついたマルウェア(悪意のあるソフトウェア)による攻撃などによって生じており、カード情報が不正に搾取されています。このような状況の中、有効なセキュリティ手法として注目され始めているのが「P2PEソリューション」です。
これまでの仕組みでは、カード加盟店が入手したクレジットカード情報は、直接クレジットカード会社(もしくは決済代行会社)へ送られ、さらに加盟店の端末に情報がそのまま蓄積されていました。「P2PEソリューション」を導入すると、加盟店端末から決済ネットワークの手前*4までは、カード情報が暗号化された形で送られ、端末内に情報が残らないため、情報漏えいのリスクが低減します(ご参考:図1)。これにより、加盟店におけるPCI DSSへの準拠に必要な審査項目が大幅に削られ、準拠を目指す加盟店の負担が大きく減る効果も期待できます。
NRIセキュアは、「P2PE QSA」認定を機に、ITサービス会社が「P2PEソリューション」を提供するために必要な、PCI SSCの定めるセキュリティ基準「PCI P2PE*5」への準拠に至るための「PCI P2PEソリューション準拠支援サービス」を提供します。
NRIセキュアはこれまで、4つの認定(「QSA」「ASV」「PA-QSA」「PFI」)をPCI SSCから取得しました(ご参考:表1)。「P2PE QSA」の取得で、日本で初めて、PCI SSCから5つの認定を取得した企業となりました。これからも、激化するサイバー攻撃や内部犯罪から、クレジットカードビジネスとカード会員を守る支援を継続していきます。
*1 P2PE (Point-to-Point Encryption) ソリューション:
加盟店におけるクレジット端末から決済ネットワークの手前まで、クレジットカード情報を暗号化した状態で処理するための、高レベルのセキュリティ機能が備わった決済ソリューション
*2 P2PE QSA:
PCI SSCが認定するP2PEソリューション認定セキュリティ評価機関。ソリューションが国際的なセキュリティ基準「PCI P2PE(後述)」を満たしているか審査を行う
*3 PCI SSC(Payment Card Industry Security Standards Council, LLC.):
国際クレジットカードブランド会社5社(VISA、MasterCard、JCB、American Express、Discover)が設立した、クレジットカードのセキュリティ基準の開発、管理、教育、 および認知を実施する有限責任会社
*4 端末システムから決済ネットワークの手前まで:
P2PEソリューションの範囲は、決済ネットワーク手前の処理までとなる。P2PEソリューションプロバイダからクレジットカード発行会社までは、また別の暗号化や接続の方式が提供されている
*5 PCI P2PE:
P2PEソリューション向けのセキュリティ基準。安全なP2PEソリューションの開発や提供を促進することを目的として、PCI SSCにより制定、運用、管理されている国際的な情報セキュリティの基準
【ニュースリリースに関するお問い合わせ】
株式会社野村総合研究所 コーポレートコミュニケーション部 松本、海藤
TEL:03-6270-8100 E-mail:kouhou@nri.co.jp
【サービスに関するお問い合わせ】
NRIセキュアテクノロジーズ株式会社 マネジメントコンサルティング部 須田
広報 根本
TEL:03-6706-0622 E-mail:info@nri-secure.co.jp