ID TECH
お問い合わせ

記事

PCI とは何か?

PCI は、ペイメントカード業界におけるセキュリティ基準と規制を策定する団体であり、PCI 3.x の2021年4月30日の期限が迫っています。今後数ヶ月のうちに、各企業は PCI 3.x 技術のラストタイムバイを継続するか、より新しく安全性の高い 5.x 技術へ移行するかを検討する必要があります。

知っておくべき重要事項

  • Payment Card Industry Security Standards Council(PCI SCC): PCI の進化に伴い、決済アカウントのセキュリティ向上が重要な課題となったことを受けて設立されました。
  • PIN Transaction Security(PTS): 決済カードデータの取得およびトランザクションにおける利用承認の検証を行う、対話ポイント向けデバイスです。
  • Payment Card Industry Data Security Standard(PCI DSS): PCI SCC が策定したセキュリティ基準の体系であり、クレジットカード情報を受け付け、処理、保存、または送信する企業が安全な環境を維持することを確保するために設計されています。

ただし、これらの認証には有効期限があります。

有効期限

PCI準拠の有効期限は以下のとおりです:

  • PCI 3.x– 2021年4月
  • PCI 4.x– 2023年4月
  • PCI 5.x– 2026年4月

PCI DSS準拠を満たしていない場合、準拠が達成されるまで月額最大10万ドルの罰金が科される可能性があります。また、非準拠の状態では、加盟店が契約するアクワイアリング銀行から取引手数料の引き上げや、最悪の場合は取引関係の解消を求められるリスクもあります。

非準拠は消費者との信頼関係にも影響を及ぼします。消費者はスピーディな決済の利便性を求める一方で、自身の情報が何よりも安全に保護されることを期待しています。セキュリティが不十分な場合、データ漏洩によるカスタマーサポート対応だけで数百万ドルもの損失が生じることがあり、消費者の信頼を失い、競合他社へと顧客が流出する恐れがあります。

旧型決済端末を使い続けることのリスク

企業がセキュリティ侵害の被害に遭う原因はさまざまですが、大規模な侵害の背景にある共通の要因として、主に次の2点が挙げられます:

  • 脆弱性の高い旧来の技術
  • 社内ネットワーク上のデータセキュリティソフトウェアに対するメンテナンスおよびサポートの不足

しかし、そのいずれも、データ侵害が引き起こすコストには及びません。

脆弱な技術

企業はPCI 3.0対応の決済端末を問題なく購入・使用し続けることができますが、毎年新しいPCIモデルがセキュリティ基準を刷新し、消費者の個人情報を狙うハッカーに対する防御をさらに強化しています。そのため、旧モデルには新しい端末が備える重要なセキュリティ機能が欠けています。小売業者の防御における脆弱ポイントを探すハッカーは、高度なデータ暗号化機能を持つSREDKey 2のような新しい機器よりも、古い保護機能しか持たない旧機器を標的にする可能性が高くなります。

現在、PCI 5.0認定機器が最高水準のセキュリティ基準を満たしています。

データセキュリティの維持

コンプライアンスの維持は、コストと時間を要する長いプロセスです。多くの企業は、費用や手間を省くためにシステムのメンテナンスを怠っています。メンテナンスが不十分だと、ハッカーが加盟店環境に侵入し、見落とされたバックドアにアクセスする恐れがあります。

しかし、5.x対応機器におけるSREDなどの新技術により、購入処理がゲートウェイに到達し、セキュリティ管理が企業の責任範囲外となるまでの間、加盟店環境を完全に安全かつ不正改ざん検知対応の状態に保つことが可能です。SREDKey IIなどのリーダーは、消費者データを保護する際に特定の企業が必要とするセキュリティを提供します。

PCI 3.xからPCI 5.xへの移行メリット

前述のとおり、PCI 5.xへのアップグレードは、旧機器が抱えるセキュリティ上の不足を補い、企業を保護するうえで有効です。コンプライアンスが新しいほどセキュリティはより厳格になり、適切なリーダー暗号化によって、脆弱な技術と旧システムという両方の課題を解決できます。ID TECHのSREDKey IIは、PCI 5.x対応のMODキーパッドであり、処理するデータを暗号化して加盟店環境の外へ安全に転送することで、消費者と企業の双方にハッカーに対する強固な保護を提供します。

ID TECHのVP6800は、PCI 5.x対応のリーダーで、4.3インチのインタラクティブタッチスクリーン、ピン・オン・グラス、MSR、EMV、NFC決済に対応しており、決済機能と広告・マーケティング機能を兼ね備えたその汎用性の高さから、キオスクおよびセルフサービス環境に最適なソリューションです。自動販売機、駐車場、ATM、洗車、交通機関など、あらゆる用途においてPCI 5.x対応ソリューションをお求めの場合、VP6800はグローバルに対応したセキュリティと決済受付機能を提供します。

最終的な推奨事項

3.x対応機器を継続使用する方が一見コスト効率に優れているように思えますが、企業はセキュリティ上のリスクを冒すべきではなく、より安全な環境を構築するために新しい機器へのアップグレードを検討すべきです。セキュリティ侵害は長期的に見れば数百万ドル規模の損失をもたらす可能性があり、消費者と加盟店との信頼関係にも深刻なダメージを与えかねません。消費者と企業双方にとって最善の環境を実現するため、最新のコンプライアンス基準への移行と、可能な限り安全な環境の整備をお勧めします。