非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月 編

Similar documents
PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

PowerPoint プレゼンテーション

1. ネット取引の拡大とクレジットカード利用の増加 1 ネット取引の急拡大に伴い 近年 クレジットカード取引高は一貫して増加 直近では 46 兆円 ( 消費全体の約 16%) を占める ( 参考 ) 主要各国のカード利用率韓国 :73% 中国 :56% 米国 :34% ( 出所 ) 日本クレジットカ

Microsoft Word - SAQタイプ別の説明 _Ver3.2.docx

各 SAQ (v3.2.1 版 ) を適用すべきカード情報取扱い形態の説明 / JCDSC 各 SAQ の 開始する前に の部分を抽出したものです カード情報の取り扱い形態が詳しく書かれていますから 自社の業務形態に適合する SAQ タイプを検討してください 適合しない部分が少し

日本再興戦略における位置づけ 日本再興戦略改訂 2014( 平成 26 年 6 月 24 日閣議決定 ) 5.(3) i) 金融 資本市場の活性化 2 資金決済高度化等 2020 年オリンピック パラリンピック東京大会等の開催等を踏まえ キャッシュレス決済の普及による決済の利便性 効率性の向上を図る

= SaaS型総合決済サービス = 「PGマルチペイメントサービス」のご案内

はじめに インターネット上で行われる非対面取引において クレジットカードによる決済は利便性が高いと言われる反面 不正使用の懸念もあげられます カード情報不正使用防止の対策方法のひとつである本人認証にはいくつかの手法があり 3Dセキュア もそのひとつです クレジット取引セキュリティ対策協議会が策定する

8 全体対応期限と改正割販法の施行日とのギャップについて教えて欲しい 実行計画 P20 33 等 対面加盟店については 実行計画の対応期限である 2020 年 3 月末の前に改正割賦販売法が施行されるため 実行計画の対応期限と改正割賦販売法の施行日とのギャップが生じております このため 実行計画 2

1. 日本クレジット協会について 日本クレジット協会はクレジット業界唯一の総合団体です 当協会は 割賦販売法に基づく 認定割賦販売協会 及び個人情報保護法に基づく 認定個人情報保護団体 の認定を受けており それらの法的機能とクレジット業界団体としての機能を併せ持つ 業界唯一の団体として活動を行ってい

目次 2 1. 実施内容 スケジュール ご依頼事項 加盟店様への影響 購入者様への影響 07 6.TLS1.2 未満使用停止の背景 08 7.FAQ 09

1. 日本クレジット協会の概要 日本クレジット協会はクレジット業界唯一の総合団体です 当協会は 割賦販売法に基づく 認定割賦販売協会 及び個人情報保護法に基づく 認定個人情報保護団体 の認定を受けており それらの法的機能とクレジット業界団体としての機能を併せ持つ 業界唯一の団体として活動を行っていま

平成22年12月

1. 日本クレジット協会の概要 日本クレジット協会はクレジット業界唯一の総合団体です 当協会は 割賦販売法に基づく 認定割賦販売協会 及び個人情報保護法に基づく 認定個人情報保護団体 の認定を受けており それらの法的機能とクレジット業界団体としての機能を併せ持つ 業界唯一の団体として活動を行っていま

上記 1のお客様のうち ログインパスワード :38 件基本的にパスワードは暗号化しておりましたが PCF の最終報告書により 上記 38 件については暗号化前のパスワード平文が流出したことが特定されました パスワード平文が流出した上記 38 名のお客様については 個別にご案内させていただいております

タブレット端末を活用した営業活動を支援する「金融機関向け日立モバイルクラウドサービス」を提供開始

居場所わかるくん CMX 連携設定 操作ガイド 2019 年 4 月

PowerPoint プレゼンテーション

目 次. はじめに P. メニュー構成 P4. 決済メニューについて P6 4. 設定メニューについて P7


クレジットカード犯罪の動向と 業界の対応状況について

- 目次 - はじめに 2 Ⅰ. 基本的な考え方 4 1. クレジットカード取引における不正利用被害の実態等 2. セキュリティ対策の強化に向けた基本的な考え方 Ⅱ. 分野別の具体的な実行計画 6 A. クレジットカード情報保護対策の強化に向けた実行計画 クレジットカード情報の適切な保護

PaymentElite とは PaymentElite により様々な加盟店決済システムの構築が可能 対面決済加盟店 デパート 専門店 / 量販店 SC/GMS POS 決済サーバ CAFIS CAFIS (Cred itandfinanceinformationsystem) とは安心 安全 便利

cesami ~セサミ~

PowerPoint プレゼンテーション

CONTENTS 1. テレワーク導入における課題 2. 総務省テレワークセキュリティガイドラインについて 3. 技術 制度 人に関する情報セキュリティ対策例 4. 情報へのアクセス方法とその特徴 5. マネジメント ( 労務管理等 ) の対策 2

情報セキュリティ 10 大脅威 大脅威とは? 2006 年より IPA が毎年発行している資料 10 大脅威選考会 の投票により 情報システムを取巻く脅威を順位付けして解説 Copyright 2017 独立行政法人情報処理推進機構 2

PowerPoint プレゼンテーション

葬祭場予約管理システムマニュアル ( 業者編 ) 目次 1. システム概要 概要 予約空き状況 ~ログイン~ 状況確認画面 予約をする 状況確認画面からの操作 予約画面からの操作 予約を確認する

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

技術レポート 1)QuiX 端末認証と HP IceWall SSO の連携 2)QuiX 端末認証と XenApp の連携 3)QuiX 端末認証 RADIUS オプションと APRESIA の連携 Ver 1.1 Copyright (C) 2012 Base Technology, Inc.

スライド 1

1 はじめに Android デバイスでの本サービス利用 端末制限について 端末設定方法 イントラネット接続用 SSID 設定 ID/Password 認証 (PEAP) 設定 証明書認証 (

PowerPoint プレゼンテーション

強化項目 PaymentEliteVer2.0 における機能強化項目 PCIDSS Payment Card Industry Data Security Standard クレジットカード情報保護を目的とした情報セキュリティ基準であるPCIDSS の要件に対応 (PCIDSSv2.0) 会員番号

プレゼンテーションタイトル

1 1.1 平塚信用金庨ビジネス 特徴 (1) 平塚信用金庨ビジネス とは 平塚信用金庨ビジネス は インターネットを経由してお客様のお手持ちのパソコンと当金庨とをオンラインで結び インターネット閲覧用 ( ブラウザ ) ソフトからご利用口座にかかる各種取引をしていただき また 各種情報を参照してい

1 はじめに Windows PC での本サービス利用 端末制限について 端末設定方法 設定権限 イントラネット接続用 SSID 設定 SSID 追加設定 ID/Passwo

葬祭場予約管理システムマニュアル ( 業者編 ) 目次 1. システム概要 概要 ログイン~ 状況確認画面 予約をする 状況確認画面からの操作 予約画面からの操作 予約を確認する

更新履歴 2016 年 10 月 13 日 Welcart1.9 での決済会社選択方法を追記 2

これだけは知ってほしいVoIPセキュリティの基礎

< 目次 > 1. ビジネスポータル初回ログイン手順について Arcstar IP Voice 開通後 最初にビジネスポータルにアクセスして 初期設定をしていただく手順についてご案内します 2. ログインとダッシュボード画面の表示メニュービジネスポータルにログインし ダッシュボード画面を表示するまで

トークン式(クレジットカード決済)手順書

ご注意 無線 LAN 利用にあたって ご注意 無線 LAN 利用にあたって 以下の注意事項をよくお読みの上 装置を無線 LAN 環境でご利用ください 無線 LAN 環境で使用する場合 スリープには移行しますが ディープスリープには移行しません 装置の近くに 微弱な電波を発する電気製品 ( 特に電子レ

PART 4 メールを使いこなす 初めて起動した場合は ドコモメールアプリのアップデートを行います ドコモメールアプリにある ダウンロード を 続いて アップデート を アップデートが完了したらホーム画面上の ドコモメール のアイコンをタップすると起動します 初めて起動した場合 利用規約や注意につい

更新履歴 2016 年 10 月 13 日 Welcart1.9 での決済会社選択方法を追記 2

ベリトランス管理画面(MAP) 審査情報のご入力について

J-Payment クレジットカード 決済システム接続仕様書

日本バドミントン協会

PowerPoint プレゼンテーション

1. システム概要 1.1 概要本システムは パソコン及び携帯電話等から 斎場の空き状況の確認 予約 予約内容の確認及び修正を 24 時間 365 日体制で行えるシステムです 斎場予約者 ( 葬祭業者 ) 空き状況の確認 予約 ( 仮予約 帳票印刷 ) 予約の確認 ( 予約参照 帳票印刷 ) 予約の

<4D F736F F D B837D834A3F89EF88F58B40945C82C982C282A282C42E646F63>

Microsoft Word - e-LearningæŒ°å‘Šè¬łæ›‰é€ƒæł¸.docx

PowerPoint プレゼンテーション

更新履歴 2016 年 10 月 13 日 Welcart1.9 での決済会社選択方法を追記 2

マルウェアレポート 2017年12月度版

イ -3 ( 法令等へ抵触するおそれが高い分野の法令遵守 ) サービスの態様に応じて 抵触のおそれが高い法令 ( 業法 税法 著作権法等 ) を特に明示して遵守させること イ -4 ( 公序良俗違反行為の禁止 ) 公序良俗に反する行為を禁止すること イ利用規約等 利用規約 / 契約書 イ -5 (

YCU メール多要素認証の設定方法 ( 学生向け推奨マニュアル ) 2019 年 3 月 横浜市立大学 ICT 推進課 1

消費生活アドバイザー 有資格者サイト マニュアル

まだ間に合う!PCI DSS準拠のための具体策セミナー_基調講演_fjコンサルティング

提案主旨 目的を定義 Web サイト制作における対策を明記しています 目的 対策 会社紹介による 信頼性および認知度の向上 1. 今回の Web サイト構築そのもの 2. URL 表記による SEO 対策 ニュース キャンペーン等による 来店促進 1. ニュース キャンペーン等の即時公開機能 オンラ

e-shopsカート2 EC決済(リアルタイム) ご利用案内

ヘルスアップWeb 簡単操作ガイド

管理者から携帯電話に向けて命令や位置確認を行います 携帯電話からリアルタイムに情報をアップロードするとともに サーバ側のデータと同期をします GPS 測位を用いて 現在位置や軌跡を管理します 携帯電話からシステム契機でメールを送付します 基幹サーバと連携するためのデータファイルの出力や プリンタ連携

参考 本資料における用語等の定義 用語 意味 内容等 モバイル NFC サービス MNO ( 移動体通信事業者 モバイル事業者 ) SP ( サービス提供事業者 ) SIM カード ( サブカードの発行先として活用想定 ) UI アプリ アプレット (Applet) MNO-TSM SP-TSM ア

借上くんマイナンバー制度対応

PowerPoint プレゼンテーション

【アフィリコードプラス/管理者】システム・デザイン設定マニュアル

目次 1. はじめに サービス概要 決済手段概要 契約体系 エンドユーザー向け購入手順 エンドユーザー向けサービス利用条件 エンドユーザー向け決済時認証方法..

1

PowerPoint Presentation

はじめに 本説明書は インターネット伝送をご利用のお客さま向けに 基本的な操作手順をご確認いただくための資料です 詳細な操作手順については ご利用の際にお渡ししました インターネット伝送操作説明書 をご覧ください なお 画面操作に関するお問い合わせはインターネット伝送サポートセンターへご連絡ください

<4D F736F F F696E74202D F817993FA967B90BB8E8695A897AC817A89DD95A892C790D F6C30362E707074>

スライド 1

PowerPoint プレゼンテーション

_news_release_rakuuru

スタンプラリー 操作資料

Ⅰ バイタルリンク 利用申込書 ( 様式 1-1)( 様式 ) の手続 バイタルリンク を利用する者 ( 以下 システム利用者 という ) は 小松島市医師会長宛に あらかじ め次の手順による手続きが必要になります 新規登録手続の手順 1 <システム利用者 ( 医療 介護事業者 )>

PowerPoint プレゼンテーション

Microsoft PowerPoint - ECCUBEモジュール設定マニュアル ppt

LCV-Net セットアップガイド macOS

2 章必要なものを用意する パソコン (PC) 推奨環境以下の Windows パソコンのみでのご利用となり スマートフォンやタブレットは推奨環境対象外です なお 携帯電話からはご利用いただけません 最新の利用環境および留意事項につきましては 当金庫までお問い合わせください ( 平成 28 年 1

システム利用前の準備作業2.1 準備作業の流れ 準備作業の流れは 以下のとおりです 2必要なものを用意する 2.2 パソコンインターネット接続回線 E メールアドレス 2.2-(1) 2.2-(2) 2.2-(3) 当金庫からの送付物 2.2-(4) パソコンの設定をする 2.3 Cookie の設

本資料で使用する用語について 2 用語従来用いられている用語例意味 アクワイアラー (Acquirer) アクワイアラー アクアイアラー 加盟店契約会社 国際決済ブランド会社 と契約し 小売店 EC サイト等の販売事業者 ( 加盟店 ) に対し国際カードの受け入れおよび国際カード決済での販売代金の支

ログを活用したActive Directoryに対する攻撃の検知と対策

スマートサーブセキュリティ機能についてサービスアダプターの配下に接続された機器は スマートサーブ が提供する安全な通信 (VPN 通信 : 注 2) セキュリティセンター ( 注 3) セキュリティセンター にて ネットワークに

目次 目次 1. はじめに 2. ログイン ID とアクセス権限 3. 前提条件 4. 事前準備 ( ログイン ) 4-1. ログイン画面アクセス 4-2. ログイン 4-3. ログイン後 5. ホーム画面 6. 特記すべき画面操作 6-1. カレンダー表示 6-2. メニュー表示 6-3. クリッ

Technical Report 年 8 月 31 日 株式会社セキュアソフト 注意喚起 : バンキングトロージャンに感染させるマルウェア付きメール拡散について 1. 概要最近インターネットバンキングなど金融機関関連情報の窃取を目的としたマルウェア付きメールが 日本国内で多数配

スライドタイトル/TakaoPGothic

1 検査の背景 (1) 日本年金機構における個人情報 情報システム及び情報セキュリティ対策の概要厚生労働省及び日本年金機構 ( 以下 機構 という ) は 厚生年金保険等の被保険者等の基礎年金番号 氏名 保険料の納付状況等の個人情報 ( 以下 年金個人情報 という ) について 社会保険オンラインシ

Biz パスワードクライアント操作マニュアル Android 編 1.01 版 2013 年 12 月 20 日 NTT コミュニケーションズ株式会社 NTT Communications 2013 All Rights Reserved

6 仕様書 5 5(5)4 定住促進サイトを作成とあるが ドメインは別ドメインの利用と考えていいか ドメインについては 町ホームページと同じドメイン また別ドメインのどちらを提案していただいても結構です 別ドメインを利用する場合のサイト構成のイメージや職員による更新作業が可能な範囲についてご説明をお

Fujitsu Standard Tool

1. ご利用前の注意事項 Web ビリングとは NTT ファイナンスより請求されている携帯電話や固定電話 インターネットのご利用料金を web サイトでまとめて確認できるサービスです ご請求額は 15 か月分 ご請求内訳は 4 か月分照会できます 請求内訳の印刷 / ダウンロードができます 2016

PowerPoint プレゼンテーション

サービス内容 サービス内容 ここでは サービス内容についてご案内します このたびは 本サービスをお申し込みいただきまして 誠にありがとうございます この手引きは サービスをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されております お客様のご利用環境によってはご紹介した画面や操作とは異なる

目 次 1. 概要 ホームアプリの主な機能 操作方法 初期設定 初期画面 診断 ( 車両情報選択画面 ) 車両情報の登録 編集 登録した車両を削除する...

リモートアクセス Smart Device VPN ユーザマニュアル [ マネージドイントラネット Smart Device VPN 利用者さま向け ] 2015 年 10 月 20 日 Version 1.6 bit- drive Version 1.6 リモートアクセス S

個人情報の取り扱いについて TaoTao 株式会社 ( 以下 当社 という ) は お客様が安心して当社のサービスをご利用いただけるよう 個人情報保護方針に基づき お客様の個人情報 個人番号 特定個人情報 ( 以下 ここではすべてを総称し 個人情報 といいます ) のお取扱いに細心の注意を払っており

Transcription:

非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月 編

はじめに クレジット取引セキュリティ対策協議会 ( 事務局 : 一般社団法人日本クレジット協会 ) では 2020 年に向け 国際水準のセキュリティ環境 を整備することを目指し 2016 年 2 月に クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 ( 以下 実行計画 という ) を策定し 毎年度 各主体における実行計画の進捗及び達成度等を踏まえ 改訂を行っております また 本実行計画は 2018 年 6 月 1 日に施行された改正割賦販売法のセキュリティ対策義務の実務上の指針となっており ここに掲げる措置を講じている場合には法令上の基準を満たしていることになります 当協会では 改正割賦販売法の施行を踏まえ 加盟店におけるカード情報保護対策の一層の推進のため 関係事業者の皆様のご関心が高い非対面加盟店における 非保持化 の要件や仕組み等について 協議会関係者の多大なご協力を得て 研修テキストとして取りまとめました 本研修を通じて 受講者となるカード会社 決済代行会社 (PSP) の加盟店管理実務担当者等の皆様がご契約先の加盟店に対して必要な助言や情報提供を的確に行い 加盟店における非保持化の推進に役立てていただけると幸いです 最後に 本研修資料の第 Ⅱ 章については EC 決済協議会の君野則之様 ( 株式会社ペイジェント ) 第 Ⅲ 章については公益社団法人日本通信販売協会の橋本祥永様 ( オルビス株式会社 ) にそれぞれ資料のご提供いただくなど多大なご協力いただきましたことを心より御礼申し上げたいと思います 2019 年 1 月 一般社団法人日本クレジット協会セキュリティ対策推進センター 1

第 Ⅰ 章 加盟店における カード情報保護対策について 2

クレジットカード取引の不正利用被害の増加 昨今 セキュリティ対策が不十分な加盟店等 ( 特にEC 加盟店 ) を狙った不正アクセスにより カード情報の漏えいが拡大 これに伴い 窃取したカード情報を使って 本人になりすました不正利用による被害は増加 (2017 年 176.7 億円と4 年間で約 2.6 倍 ) 不正利用は国境を越えて行われ 換金性の高い商品の購入を通じて 犯罪組織に多額の資金が流出しているとの指摘あり ( 億円 ) 250 200 クレジットカード不正利用被害額 176.7 236.4 4 年間で約 2.6 倍の増加 150 100 50 0 142.0 114.5 120.9 88.9 67.3 72.2 27.7 30.6 31.7 19.5 23.1 25.6 22.5 28.0 2014 年 2015 年 2016 年 2017 年 1 偽造カード被害額 2 番号盗用被害額 3その他不正利用被害額クレジットカード不正利用被害額 (1+2+3) 出所 : 一般社団法人日本クレジット協会 クレジットカード不正利用被害発生状況 3

改正割賦販売法と実行計画との関係 改正割賦販売法では 国際ブランドが付帯されたクレジットカードについては 監督の基本方針 に基づき セキュリティ対策の実務上の指針となる クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 ( 以下 実行計画 ) に掲げる措置又はそれと同等以上の措置を講じている場合には 施行規則 ( 省令 ) の 必要かつ適切な措置 が講じられているものと認められる クレジットカード番号等の適切な管理 1 クレジットカード番号等 ( 国際ブランドが付帯 ) の場合 : 実行計画に掲げられた漏えい等の事故の防止措置又はそれと同等以上の措置 実行計画に基づくカード情報保護対策 加盟店におけるカード情報の 非保持化 1 非保持と同等 / 相当 2 カード情報を保持する事業者の PCI DSS 3 準拠 1 自社で保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないこと 2 カード番号を特定できない状態とし 自社内で復号できない仕組み 3 国際ブランドが共同で策定したカード情報に関するセキュリティ規格 2 クレジットカード番号等 ( 国際ブランドが非付帯 ) の場合 : 不正利用のリスク等に応じて必要かつ適切な漏えい等の事故の防止措置 漏えい事故発生時の対応 原因究明調査 第三者による不正利用防止措置 再発防止措置 4

加盟店におけるカード情報保護対策 現状 課題 近年 サイバー攻撃によるEC 加盟店等からのカード情報の漏えい事故が頻発 カード情報を狙うハッカーの攻撃手口のグローバル化 巧妙化 加盟店の役割 加盟店は カード情報の非保持化 ( 非保持と同等 / 相当 ( 対面 MO TO 加盟店 ) 含む ) 又はカード情報を保持する場合はPCI DSS 準拠 対応済みの加盟店は 最新の攻撃手口に対応したセキュリティ対策の改善 強化を不断に実施 EC 加盟店の委託先事業者 ( ショッピングカート機能等 ) における対策 非保持化への取組 加盟店においてはカード情報を非保持化することを基本とした取組を第一に検討する 加盟店における非保持化に向けた具体的な対策を進めるにあたっては 対面取引加盟店と非対面取引加盟店に分けたアプローチをすることが有効 カード情報保護対策は加盟店の業務形態等により異なる 参考 実行計画 -2018- ~ 加盟店におけるクレジットカード情報保護対策について ~ 5

加盟店における非保持化の推進 非保持化 は 実行計画において PCI DSS 準拠に並ぶ措置 非保持化は PCI DSS 準拠とイコールではないものの カード情報保護という観点では同等の効果があるものと認められる 非保持化実現により 仮にマルウェアや標的型攻撃を受けた場合でも カード情報の漏えいを防ぐことができる 注意点 EC 加盟店の中には 自社サイトにカード情報を含む決済情報等のログが蓄積される等のシステム的課題を認知できていないケースがある 加盟店に対する注意喚起を行い さらに カード情報を保持しないシステム ( カード情報非通過型 ) への移行を強く推奨する EC 加盟店において 非保持化を実現した場合であっても EC サイトの開発 運用段階での脆弱性や設定不備などへの対応が不十分であると カード情報が漏えいするリスクがある 自社システムの定期的な点検や追加的な対策を講じるなどの対応が重要 6

第 Ⅱ 章 EC 加盟店における非保持化について 7

EC 加盟店における 非保持化 とは 加盟店の保有する機器 ネットワークにおいて カード情報 を 保存 処理 通過 しないこと 非処理 カード情報を処理しない 非保持 3 要素すべてを満たした状態 非保存 カード情報を保存しない 非通過 カード情報を通過させない 8

EC 加盟店における 非保持化 のソリューション EC 加盟店において 決済代行会社 (PCIDSS 準拠済 ) が提供する 非通過 のソリューションを利用することで 加盟店側では 非保存 非処理 も実現することが可能 改善すべき現状 自社サイトでカード情報を取得 ( モジュール接続 ) リンク型決済またはトークン型決済の利用 < 実行計画の該当箇所 > 非通過型は カード情報が EC 加盟店ではなく PSP の機器 ネットワークを 通過 して 処理 され EC 加盟店はカード情報を 通過 処理 保存 することはないため EC 加盟店における非保持化を実現するセキュリティ措置として推奨されるものである ただし 非通過型の決済サービスを提供する PSP が PCI DSS 準拠済みであることが前提である よって EC 加盟店におけるカード情報の非保持化を推進するため PCI DSS 準拠済みの PSP が提供するカード情報の非通過型 ( リダイレクト ( リンク ) 型 又は Java Script 型 ) の決済システムの導入を促進することとする 9

非通過 ソリューションの概略イメージ 非通過 リンク型決済購入者が決済代行会社のページに遷移し カード情報を直接入力 CHOICE 非通過 トークン型決済 カード情報を置き換えたトークンを決済に利用 CHOICE 決済代行会社が支払画面を用意する ASP 型決済代行サービス 低コストかつ少ない開発工数で簡単に決済を導入できる 購入者のブラウザから決済代行会社に直接カード情報を送信後 発行されたトークン ( カード情報を置き換えたもの ) を利用してオーソリ取得する EC EC 1 画面遷移してカード情報入力 2 購入 3 オーソリ取得 1 カード情報送信 2 トークン発行 3 トークンを付けて購入 4 トークンでオーソリ取得 10

非通過ソリューションの意義 セキュリティ対策改善策のひとつセキュリティ対策については 様々な技術やサービスが提供されているが 100 パーセントの安全性を担保できるものではない ひとつの改善策として 非通過型ソリューション を利用することが可能 EC 加盟店のサーバでカード情報を保存しない場合も 不正アクセスによる漏えいリスクが残存する なぜなら 決済時の一時的なカード情報通過時にも不正アクセスの可能性が有るためである 非通過ソリューションの利用により カード情報がEC 加盟店のサーバを通過しなくなるため 不正アクセスによる漏えいリスクをさらに低減することができる 改善すべき現状 非通過ソリューション導入後 11

非通過ソリューション ~ リンク型決済 ~ リンク型決済とは 購入者が EC 加盟店のサイトで購入申込みの後 決済代行会社が提供する決済画面へ遷移して決済する方法である リンク型決済は 新規で構築する場合には データ連携と暗号化対応のみであり 最小限のシステム改修で対応することが可能である PCI DSS 準拠の決済代行会社システム環境下でカード情報の入力を行うので 安全な決済システムである 購入者から見た画面の遷移 12

リンク型決済のサービスフロー リンク型決済は 新規で構築する場合には データ連携と暗号化対応のみであり 最小限のシステム改修で対応することが可能である EC 13

リンク型決済 ~ デメリットと解消方法 ~ 従来 リンク型決済は 安全な決済システムである一方 デザインカスタマイズに課題があった 決済代行会社によっては 解消方法として CSS デザインと CSS デザインを視覚的に変更できる CMS 機能を提供している リンク型決済の課題 決済代行会社が作成した決済画面を使用するため 加盟店サイトのデザインコンセプトに準じた画面にできない カスタマイズソリューション CSS デザインの提供 利用により 色味 背景画像 アイコン画像 ボタンの文言 支払い方法の表示順などが EC 加盟店にて変更可能 CSS デザインを視覚的に変更できる CMS 機能を決済代行会社が提供 PC に加え スマートフォンのデザイン編集等も可能 14

非通過型ソリューション ~ トークン型決済 1~ トークン型決済とは モジュール型決済の仕様の一部を変更して 非通過 ( 購入者が入力したカード情報が EC 加盟店のサーバを通過しない ) を実現する決済方法である モジュール型決済が基本となるため カード情報の入力画面は EC 加盟店にて作成する すなわち 画面デザインは従来通り EC 加盟店は自由にカスタマイズをすることができる また 決済画面のドメインも EC 加盟店が使用しているドメインのままである また モジュールで後続処理 ( 売上計上など ) との連携を図っている場合も 引き続き同様のフローで対応が可能である 購入者から見た画面の遷移 従来の画面遷移から変更なし ドメインも EC 加盟店が使用しているドメインのまま 15

非通過型ソリューション ~ トークン型決済 2~ トークン型決済では JavaScript により 購入者が入力したカード情報を EC 加盟店のサーバを通過させずに 購入者のブラウザから直接決済代行会社のサーバへ送信し 決済代行会社でカード情報を別の文字列 ( トークン ) に置き換え そのトークンを使用して決済を行う EC 決済代行会社が提供するトークンは再使用が出来ないワンタイムトークンのため 使用後のトークンが漏えいしても不正利用されない 16

トークン型決済 ~ 決済フローの変化 1~ 従来のモジュール型決済 EC 17

トークン型決済 ~ 決済フローの変化 2~ トークン型決済 ( 従来モジュール型決済の一部仕様変更 ) EC 18

第 Ⅲ 章 MO TO 加盟店における非保持化について MO TO: メールオーダー テレフォンオーダー 19

MO TO 加盟店における 非保持化対応ソリューション 20

MO TO 加盟店における非保持化対応ソリューション 1. 外回り方式 (1) 決済専用端末を利用した外回り方式 (2) タブレットを利用した外回り方式 1: クレジット特化型 2: 代理受注方式 加盟店側の利用方法の違いによる 2. 内回り方式 PCI P2PE 認定端末を利用した内回り方式 ( 参考 ) その他 (1) IVR( 電話自動応答システム ) の活用 (2) アウトソーサー (PCI DSS 準拠 ) の活用 ( 全部委託 ) 21

( 参考 ) ネットワークの仕組み 外回り方式 内回り方式 MO TO 加盟店 アクワイアラ /PSP MO TO 加盟店 アクワイアラ /PSP ネットワーク ネットワーク ネットワーク ネットワーク カード情報 ( カード番号 ) カード情報 ( 暗号化 ) 非保持化実現 (PCI DSS 準拠不要 ) 加盟店が保有する機器 ネットワークにおいてカード情報が通過 PCI DSS 準拠又は非保持と同等 / 相当の措置が必要 22

1. 外回り方式 (1) 決済専用端末を利用した外回り方式 (2) タブレットを利用した外回り方式 1クレジット特化型 2 代理受注方式 加盟店側の利用方法の違いによる 23

(1) 決済専用端末を利用した外回り方式 < システム ネットワーク概要図 > PC 接続専用決済端末経由でクラウド決済を実施 決済 GW や PSP 等が運営 決済ゲートウェイの略 ASP/ クラウドセンター PCI DSS 準拠 通販システム PSP インターネット等 決済経路 3G/LTE MO TO 加盟店 SIM SIM 受注経路取引結果送信経路 USB USB 加盟店側システム NW 24

< 加盟店側の機器 > 専用機器でカード情報を入力 決済端末と接続するための専用アプリケーションが必要 加盟店の PC へカード情報は渡らない USB 接続しているため 売上連携可能 SIM WI-FI( 無線 LAN) は NG カード情報は SIM で端末毎に送受信をするためセキュア 金額等連携 USB カード番号 有効期限はここでタイプし PC に渡らないため PC にセキュリティ上問題があっても影響がない 取引 ID 等連携 ( カード情報は渡らない ) ここにカード番号は残らない上に GW 側からのレンタルで常にセキュリティを向上 加盟店側システム NW デバイス ( レンタル ) 25

(2) タブレットを利用した外回り方式 ~1 クレジット特化型 < システム ネットワーク概要図 > カード情報のみタブレットを使用して入力 お客様 決済 GW や PSP 等が運営 通販システム インターネット 3G/ LTE ASP/ クラウドセンター PCI DSS 準拠 MO TO 加盟店 SIM SIM SIM SIM SIM 受注情報は加盟店の PC から入力 カード情報のみ タブレットを使用して入力 タブレットに限定 (PSP 等からの提供であっても PC は不可 ) 26

< 加盟店側の機器 > 受注用 PC とタブレットの 2 台を保有し カード情報のみタブレットを使用して入力 加盟店側とは一切の通信や接続しない 3G/ LTE インターネット ASP/ クラウドセンター PCI DSS 準拠 SIM SIM で一台毎に通信すること WI-FI( 無線 LAN) は NG カード番号入力 3546-1234-5627-8901 有効期限 12/23 タブレットのブラウザを使い PSP 等の管理画面等でオペレーターが直接入力する PC にて文章データの複写 ( コピー & ペースト ) ができなたいため タブレットの戻り値 ( 売上番号等 ) を手動入力する必要がある タブレットの保守管理は全て PSP 等が実施 加盟店では設定の変更が不可 PSP 等が提供するタブレット ( レンタル ) (ios/android/windows) 27

タブレットを利用した外回り方式 ~2 代理受注方式 < システム ネットワーク概要図 > タブレットで注文そのものを実施 ( お客様と同じ注文環境 ) 通販システム インターネット受注経路 決済経路 3G/ LTE お客様 決済 GW や PSP 等が運営 ASP/ クラウドセンター PCI DSS 準拠 加盟店 SIM SIM SIM SIM SIM 加盟店側システム NW クレジットカード利用なしのみ対応 クレジットカード利用がある場合 受注そのものをタブレットで実施 PSP 等が提供するタブレット ( レンタル ) 28

< 加盟店側の機器 > クレジットを利用する受注は 全てタブレットを使用して受注処理を行う ( 加盟店のシステムは CRM に利用 ) 加盟店側とは一切の通信や接続しない 3G/ LTE インターネット ASP/ クラウドセンター PCI DSS 準拠 SIM SIM で一台毎に通信すること WI-FI( 無線 LAN) は NG オペレーターが 顧客と同じようにタブレットのブラウザを使い EC 受注を実施 クレジットを利用しない受注は処理可能 また CRM システムなどを閲覧 タブレットの保守管理は全て PSP 等が実施 加盟店では設定の変更が不可 顧客と同じ受注環境のため PSP 等との連携も完璧に実現可能 Customer Relation Management の略 PSP 等が提供するタブレット ( レンタル ) (ios/android/windows) 29

2. 内回り方式 PCI P2PE 認定端末を利用した内回り方式 30

PCI P2PE 認定端末を利用した内回り方式 < システム ネットワーク概要図 > PCI P2PE 認定ソリューションを導入した場合には 非保持と同等 / 相当のセキュリティ措置となる 通販システム 受注経路 & 決済経路 インターネット PCI P2PE 認定による保護 決済 GW や PSP 等が運営 ASP/ クラウドセンター PCI DSS 準拠 PCI P2PE: カードリーダーデバイスから決済処理ポイントまでカード会員データを安全に伝送処理する仕組みで PCIS CC に認定されたソリューションのこと MO TO 加盟店 USB インターネットへの接続経路は一例 USB 加盟店側システム NW 31

< 加盟店側の機器 > 自社システム ASP/ クラウドセンター PCI DSS 準拠 復号キーは事前に設定した PSP 等だけが保有し 加盟店は復号が不可 暗号文字だけのため社内 NW 上通過 OK PC に渡った時点で暗号文字のため PC 上では何も処理しない PC 側はアプリでクレジット入力の際は SRED Key しか入力できなくすれば良い 加盟店側システム NW PSP 等が PCI P2PE に対応していることが絶対条件となる USB 一方通行 SRED 認定 PC から見ると USB キーボードと同じ扱い ( ただの入力機械に過ぎない ) 1 カード番号入力後 Enter 4937-1234-5627-8901 2 有効期限 1222 3 有効期限入力後 Enter で PC に送信 <DvcMsg Ver^*1.1*><Dvc App^*SecureKey Software*AppVer^*1.0* DvcType^*M130-IDTECH* DvcSN^*50454619701* Entry^*MANUAL*></Dvc><CardCEncode^*2*ECData^* DE9A327CC293C874B522392B10F2A11B8A15D3CAA1FF 4CC5544A940516120838* CDataKSN^*6299490171000E800015* Exp^*1222* MskPAN^*4937((((((((8303*EFormat^*4*></Card><Ad dr></addr><tran TranType^*CREDIT*></Tran></DvcMsg> PSP 等が提供するデバイス ( レンタル ) カード番号と有効期限を入力すると このデバイス内で暗号化 液晶ディスプレイは途中から *** での表示になり マスキングされる カード番号は暗号化文字となり PC へ出力 同じカード番号でも毎回違う暗号となる 32

( 参考 ) その他 (1) IVR( 電話自動応答システム ) の活用 (2) アウトソーサーの活用 ( 業務の完全委託 ) 33

(1)IVR( 電話自動応答システム ) の活用 1 1 お客様への転送型 (TO のみ ) 等 6PSP 等へ送信 TO 加盟店 PCI DSS 準拠必須 34

(1)IVR( 電話自動応答システム ) の活用 2 2 自社電話操作型 (MO も対応可能 ) ( クレジットカード利用あり ) 等 2 クレジットカードの利用がある場合 オペレーターが電話機にて IVR へカード情報を登録 4PSP 等へ送信 MO TO 加盟店 IVR 決済会社 PCI DSS 準拠必須 35

(2) アウトソーサーの活用 ( 業務の完全委託 ) カード情報を含む注文の受付 処理は一切社内で実施しない カード情報を含む注文 問い合わせ カード情報を含む注文 問い合わせ 通販企業 電話は転送 郵送 /FAX スキャナで画像伝送すると通過 処理になることに注意! アウトソーサー PCI DSS 準拠 お互い独立したシステムでネットワーク的に繋がっていないこと! Down load 加盟店ではカード情報を一切取扱いしない データ納品 カード情報は含まない アウトソーサーでは カード情報を含む注文を受付 加工し加盟店に納品 PW 付メール等 36

IVR アウトソーサーの活用に関する課題 IVR の活用 (2 パターン共通 ) アウトソーサーの活用 ( 業務の完全委託 ) 電話対応であり オペレーターの人員確保が必要なこと 課題 PCI DSS 準拠が必要なことに加え 業務の完全委託に対応できる事業者が少ない可能性 37

アウトソーサーにおける非保持化 38

アウトソーサーにおける非保持化 MO TO 加盟店の販売代行業務 ( コールセンター データ入力センター等の業務 ) を行うアウトソーサーについては 当該 MO TO 加盟店の業務範囲において 非保持化 の対象となる 1. 事業者のシステムとネットワークを占有 支店型 MO TO 加盟店側で非保持化ソリューションを導入し 当該販売業務を代行するアウトソーサー側に当該ソリューションを設置 2. アウトソーサー側で全て処理する場合 完全委託型 MO TO 加盟店の販売業務を代行するアウトソーサー側において非保持化ソリューションを導入 ( 加盟店契約 : 委託元加盟店がアクワイアラー PSP と契約 ( アウトソーサーではない )) アウトソーサー側で 紙 紙媒体をスキャンした画像データ 音声データ においてカード情報を保存する場合には PCI DSS 準拠までは求めない ( MO TO 加盟店の販売代行業務範囲に限る ) 39

( 参考 )MO TO 加盟店とアウトソーサーの関係 本資料の アウトソーサー とは MO TO 加盟店の販売代行業務 ( コールセンター データ入力センター等の業務 ) を行う事業者のことを指す 殆どは MO TO 加盟店のシステムを利用 MO TO 加盟店 = アウトソーサー 40

支店型のイメージ 加盟店の機器 システムを使用する場合 ( アウトソーサー側では紙 紙媒体をスキャンした画像データ 通話データのみ保存 ) 41

完全委託型のイメージ アウトソーサー側のシステムで処理する ( アウトソーサ側では紙 紙媒体をスキャンした画像データ 通話データのみ保存 ) 42

注意点 : カード情報の画像データ等の伝送は行わないこと MO TO 加盟店 アウトソーサー FAX ハガキ等スキャン 非保持又は PCI DSS 準拠 完全委託型でシステムは自前 画像を元にデータエントリー 専用 NW 又はインターネット経由 入力結果 ( カード情報をコードに変換済 ) 加盟店が保有する機器 ネットワーク内の 保存 のみであり 処理 通過 はできない 本実行計画において 1 紙 ( クレジット取引伝票 カード番号を記した FAX 申込書 メモ等 ) 2 紙媒体をスキャンした画像データ 3 電話での通話 ( 通話データ含む ) においてカード情報を保存する場合には 保持 とはならない 注 1)1~3 以外において非保持化 ( 非保持と同等 / 相当含む ) が実現されていることが前提 43

その他注意すべき点 44

その他注意すべき点 1 お問合せフォーム 特に お問合せフォームやメールによる意図せぬ顧客からのカード情報提供は件数もたまり易く 結果漏えいにつながり易いので 速やかに削除するなどの対策を講じる等の注意が必要である 45

その他注意すべき点 2 通販業務と一般業務との物理的区分け 一台の PC で全てを処理 受注とその他は PC を分ける 受注システム 受注システム フルアクセス ERP システム ワークフロー 必要最低限 ERP システム ワークフロー 受注専用 PC 一般業務 PC こうした措置を講じておかないと システム側を非保持化してもカード情報漏えいにつながる可能性がある 46

非対面加盟店における 非保持化 に関する研修テキスト 2019 年 1 月初版 一般社団法人日本クレジット協会編 本テキストは 2019 年 1 月時点の クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 に基づく内容となっています

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック