PowerPoint プレゼンテーション

Size: px

Start display at page:

Download "PowerPoint プレゼンテーション"

あいねたつざわ
5 years ago
Views:

1 加盟店における POS の EMV 対応と非保持化対応のポイント ~ クレジット取引セキュリティ対策協議会実行計画より ~ 2017 年 9 月 6 日

2 プレゼンテーションに先立って本プレゼンテーションはクレジットセキュリティ対策協議会における実行計画を元に同協議会とクレジット協会が作成したものを元としております記載された内容は協議会の WG2 委員として現時点の情報を元に作成したもので加盟店における実施策の有効性等を保証するものではありませんまた対策案について将来に更に効果的な方策が発案される可能性を否定するものではありません 2017 年 9 月 6 日オムロンソーシアルソリューションズ株式会社 EFTS 事業本部矢是泰士 1

3 0. 協議会とプロフィールカード偽造防止対策 (WG2) 実現方式検討 SWG 非保持化 SWG などに委員として参画 POS 向け IC 対応ガイドラインの策定 OPOS 技術協議会にて EMV 対応手順を策定 (CAT 手順 ) 2

4 0. 企業プロフィール国内ではじめてとなる CAT(Credit Authorization Terminal) を開発しクレジット処理端末の製造販売および国内標準化等に参画してきました POS システム大手量販店様むけソフトウェア開発保守 POS 等向けオールインワン決済端末 ezpad 17.3 リリース EMV-L1/L2 PCI-PTS 非接触 (Felica/NFC) PCI-PTS(SRED)/DUKPT 対応予定 CATS-300/900 クレジット / ポイント等の決済中継サービス OTAC の運営 ezpad 3

5 1. 実行計画における対策の 3 本柱 (1) カード情報の漏えい対策カード情報を盗らせない加盟店におけるカード情報の非保持化カード情報を保持する事業者の PCIDSS 準拠 (2) 偽造カードによる不正使用対策偽造カードを使わせないクレジットカードの 100%IC 化の実現決済端末の 100%IC 対応の実現 (3) EC における不正使用対策ネットでなりすましをさせない多面的重層的な不正使用対策の導入 4

6 2. 加盟店におけるセキュリティ対策対面取引とはクレジットカード券面を使用して決済を行う取引非対面取引とはクレジットカード券面を使用しないで決済を行う取引加盟店種別具体的な対策目標期日法的義務 1 対面取引及び非対面取引を行っている加盟店 2 対面取引のみ行っている加盟店 3 非対面取引のみ行っている加盟店自社のクレジット決済システムの IC 対応カード情報の非保持化を基本とし保持する場合は PCI DSS 準拠以下 EC 取引に限る自社での不正使用被害状況の把握等の体制整備クレジットカード会社又は PSP との迅速な情報共有クレジットカード会社及び PSP との協力による本人認証券面認証属性行動分析等の方策を基本とした多面的重層的な対策自社のクレジット決済システムの IC 対応カード情報の非保持化を基本とし保持する場合は PCI DSS 準拠カード情報の非保持化を基本とし保持する場合は PCI DSS 準拠以下 EC 取引に限る自社での不正使用被害状況の把握等の体制整備クレジットカード会社又はPSPとの迅速な情報共有クレジットカード会社及びPSPとの協力による本人認証券面認証属性行動分析等の方策を基本とした多面的重層的な対策 2020 年 ( 平成 32 年 )3 月末 2018 年 ( 平成 30 年 )3 月末 2018 年 ( 平成 30 年 )3 月末 2020 年 ( 平成 32 年 )3 月末 2018 年 ( 平成 30 年 )3 月末 2018 年 ( 平成 30 年 )3 月末割賦販売法上の義務あり法律施行 2018 年 ( 平成 30 年 )6 月予定 5

7 3. カード情報保護対策 (1) 非保持化カード番号の定義非保持化の定義カード情報を電磁的に送受信しないことすなわち自社で保有する機器ネットワークにおいてカード情報を保存処理通過しないことをいう非保持化の考え方は加盟店を対象としている IC に対応した決済専用端末を通過し直接外部の情報処理センター等に伝送される場合は除くカード番号とはみなさないもの ( 窃取されても無価値なため悪用されない ) トークナイゼーショントランケーション自社システムの外で不可逆な番号等に置き換え自社システム内ではクレジットカード番号を特定できないもの自社システムの外でクレジットカード番号を国際的な第三者機関に認められた桁数を切り落とし自社内では特定できないもの以下媒体でのカード番号の保存は非保持とみなす紙 ( クレジット取引伝票カード番号を記したFAX カード番号を記した申込書メモ等) 紙媒体をスキャンした画像データ電話での通話 ( 通話データ含む ) 6

8 3. カード情報保護対策 (2) 非保持化と同等 / 相当のセキュリティ方策についての評価暗号化等の処理によりカード番号を特定できない状態及び自社内で復号できない仕組みとし非保持と同等 / 相当のセキュリティが確保できる場合非保持化と同等 / 相当の措置として扱う ( 例 :PCI P2PE(PCI Point to Point Encryption)) 非保持化と同等 / 相当のセキュリティ措置により百貨店スーパー等で採用されている ASP/ クラウド接続型による内回り方式においても PCI DSS 準拠を不要とすることができる (3)EC 以外の非対面取引におけるカード情報保護メールオーダーテレフォンオーダー等の EC 加盟店以外の非対面加盟店においてカード情報を電話 FAX はがき等での顧客からの注文によりカード決済をする場合紙媒体のまま保存する場合は非保持となるカード情報を電磁的情報として自社で保有する機器ネットワークにおいて保存処理通過する場合は PCI DSS 準拠を求める 7

9 ４ POSのIC対応についてガイドライン等１協議会作成 POS対応ガイドライン Ⅱ 企画設計 ICカード対応 POSガイドラインドキュメント名と主な記述範囲 Ⅰ 概要把握 ICカード対応ＰＯＳガイドライン第Ⅰ部端末機能編端末関連情報処理センタとの接続関連 ICカード対応ＰＯＳガイドライン第Ⅱ部接続運用編 ICカード対応ＰＯＳ導入の手引き全体概要編 Ⅲ 試験端末認定テストプロセス Ⅳ 導入端末操作表示等店員教育啓発 ICカード対応ＰＯＳ導入の手引き認定試験プロセス概要編 ICカード対応ＰＯＳ導入の手引き取引処理フロー解説編 Ⅴ 運用保守運用要件端末管理情報各ドキュメントの主な対象読者ＰＯＳベンダ加盟店ＩＴ担当ＰＯＳベンダ加盟店ＩＴ担当加盟店ＩＴ担当加盟店売場担当ＰＯＳベンダ加盟店ＩＴ担当加盟店ＩＴ担当２その他 OPOS 版をベースに CAT手順/EVRW手順をEMV対応 8

10 5. カード情報保護対策決済端末の IC 対応 ( 外回り方式 ) 仕組み IC 対応した決済専用端末 (CCT) と POS システムの間で取引金額や決済結果等を連動する仕組み参考加盟店あるいはカード会社等が所有する IC 対応した決済専用端末から直接外部の情報処理センターに伝送される仕組み決済機能は POS システムの外側となるためオーソリゼーションやクレジットカードの売上処理はカード情報を POS 端末や POS システムの機器ネットワークに保存処理通過せずに行われカード情報の非保持化が実現できる POS 連動する決済結果にはカード情報を含めないこと 9

11 5. カード情報保護対策決済端末の IC 対応決済サーバ設置型 ( 内回り方式 ) 仕組み POS システムで決済を行うが EMV カーネルが IC-PINPAD にある仕組み参考カード情報は POS システムを通過してカード会社に伝送されるため PCI DSS 準拠又は非保持化と同等 / 相当のセキュリティ措置を講じることが必要となる 10

12 ５カード情報保護対策決済端末のIC対応 (内回り方式) 仕組み POSシステムと加盟店の外側の事業者 ASP との間で取引金額や決済結果を連動させる仕組み (外回り方式) (内回り方式) POS連動する決済結果にはカード情報を含めないこと参考上記②についてはカード情報がIC対応の決済専用端末から直接社外のASP/クラウドセンターに伝送されるため加盟店におけるカード情報の非保持化が同時実現上記①及び③の場合にはカード情報が自社内ネットワークを保存処理通過するため非保持にならず PCI DSS準拠又は非保持化と同等/相当のセキュリティ措置を講じることが必要 11

13 5. カード情報保護対策決済端末の IC 対応 POS( 内回り ) においてカード情報保護対策をどう考えるか? Y 自社 SV によるクレジット処理 N A PCI-DSS 準拠対応レベル B C 外部サービス利用 PCI-P2PE 対応サービス Y N QSA によるサイトレビュー SAQ による自己問診加盟店非保持非保持同等 / 相当のセキュリティ対応要 PCI-P2PE ソリューション利用により準拠項目は項目に削減される SAQ の詳しい内容に関しては日本カード情報セキュリティ協議会 (JCDSC) を参照 12

14 ( 参考 )PCI-DSS 準拠方法について 13

15 6. 非保持化と同等 / 相当のセキュリティ措置ここではクレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 (2017 年 3 (2) 対面加盟店におけるカード情報の非保持化について ASP/ クラウド接続型 ( 内回り方式 ) オーソリゼーションやクレジットカードの売上処理のためカード情報が決済端末から POS システム又は社内システムを介して ASP 事業者情報処理センター等外部事業者へ送られる方式であるこの場合カード情報が自社内機器ネットワークを保存処理通過するため非保持とならず原則として PCI DSS 準拠が必要となるただし暗号化等の処理によりカード番号を特定できない状態とし自社内で復号できない仕組みとすれば仮に窃取されてもカード情報として不正使用することは極めて困難であり非保持と同等 / 相当のセキュリティが確保できるため本実行計画においてはこれを非保持化と同等 / 相当のセキュリティ措置として扱うものとするこうした措置の一例として PCI P2PE(PCI Point to Point Encryption) がある ( 略 ) 月 8 日 / クレジット取引セキュリティ対策協議会 ) に基づき対面加盟店における非保持と同等 / 相当のセキュリティ確保を可能とする措置に関する具体的な技術的要件について扱うものとする実行計画 2017 (4) 非保持化と同等 / 相当のセキュリティ措置について前述 (2) の ASP/ クラウド接続型 ( 内回り方式 ) 等のように非保持とならない場合においても非保持と同等 / 相当のセキュリティ確保を可能とする措置に関する具体的な技術要件について検討するため本協議会の下に本件を扱うサブワーキンググループを設置し技術要件を定め対面加盟店における具体的なソリューションの検討を促すこととする 14

PowerPoint プレゼンテーション

PowerPoint プレゼンテーションクレジット取引セキュリティ対策協議会実行計画 -2017- の概要について 1. 割賦販売法の改正割賦販売法はクレジット取引に関するルールについて取りまとめた法律です平成 28 年 12 月に割賦販売法が改正されクレジットカードを取り扱うお店 ( 加盟店 ) は不正利用防止等のセキュリティ対策をとることが義務付けられました改正の趣旨近年クレジットカードを取り扱う加盟店からクレジットカード番号等の漏えいや不正利用被害が増加していることなどから