stera terminalにおけるアプリからのセキュリティ確保は、どのように定義づけられるのか

クレジットカード端末の認証制度

クレジットカード端末を認証する制度が存在します。主な認証制度には以下のようなものがあります:

1. PCI PTS(PIN Transaction Security)認証

PCI SSC(Payment Card Industry Security Standards Council)が管理する国際的な認証制度です。この認証は、クレジットカード端末のハードウェアとソフトウェアの両方のセキュリティを評価します。

  • 主な評価項目: 物理的セキュリティ、論理的セキュリティ、アプリケーションのセキュリティなど
  • 目的: カード情報や暗証番号(PIN)の保護、不正改造の防止

2. EMV認証

EMVCo(Europay, Mastercard, Visaが設立した国際組織)が管理する認証制度です。ICチップ搭載カードの取り扱いに関する認証を行います。

  • 対象: ICチップ搭載カードを読み取る端末
  • 目的: ICチップカードとの互換性確保、セキュアな取引の実現

3. 各国・地域固有の認証制度

国や地域によっては、独自の認証制度を設けている場合があります。例えば:

  • 日本: JCCクレジット端末認定(一般社団法人日本クレジット協会による認定)
  • アメリカ: UL(Underwriters Laboratories)認証

これらの認証制度は、クレジットカード端末のセキュリティと信頼性を確保し、安全な決済環境を維持するために重要な役割を果たしています。端末メーカーや決済サービス提供者は、これらの認証を取得することで、自社製品やサービスの信頼性を証明しています。

PCI PTSとSLAの違い

PCI PTS(PIN Transaction Security)とSLA(Service Level Agreement)は、両方ともセキュリティと品質に関連していますが、その目的と適用範囲が大きく異なります。以下に主な違いを示します:

1. 目的

  • PCI PTS: クレジットカード端末のハードウェアとソフトウェアのセキュリティを確保すること
  • SLA: サービス提供者とクライアント間でサービスの品質レベルを合意し、維持すること

2. 適用範囲

  • PCI PTS: 主にクレジットカード決済に関連するハードウェアデバイスとそのソフトウェア
  • SLA: 幅広いサービス分野(IT、クラウド、カスタマーサポートなど)

3. 評価基準

  • PCI PTS: セキュリティ要件に基づく厳格な技術的基準(暗号化、物理的保護など)
  • SLA: サービスの可用性、応答時間、問題解決時間などの定量的・定性的指標

4. 認証プロセス

  • PCI PTS: 独立した評価機関による厳格な検証と認証プロセス
  • SLA: サービス提供者と顧客間の交渉と合意によるカスタマイズ可能な契約

5. 更新頻度

  • PCI PTS: 通常、数年ごとに更新される固定的な基準
  • SLA: サービスや関係性の変化に応じて柔軟に見直しや更新が可能

要するに、PCI PTSは決済セキュリティに特化した技術的基準であるのに対し、SLAはより広範なサービス品質を保証するための合意文書です。両者は異なる目的を持ちながらも、安全で信頼性の高いサービス提供という点で補完的な役割を果たしています。

PCI SSCとPCI PTSの関係性

PCI SSC(Payment Card Industry Security Standards Council)とPCI PTS(PIN Transaction Security)は密接に関連しています。以下にその関係性を説明します:

1. PCI SSCの役割

  • 標準化機関: PCI SSCは、クレジットカード業界のセキュリティ基準を策定・管理する国際的な組織です。
  • 複数の基準: PCI DSS(Data Security Standard)やPCI PTSなど、様々なセキュリティ基準を管理しています。

2. PCI PTSの位置づけ

  • PCI SSCの一部: PCI PTSは、PCI SSCが管理する複数のセキュリティ基準の一つです。
  • 特化した基準: PCI PTSは特に決済端末のハードウェアとソフトウェアのセキュリティに焦点を当てています。

3. 関係性の詳細

  • 策定と更新: PCI SSCがPCI PTSの基準を策定し、定期的に更新します。
  • 認証プロセス: PCI SSCが認定した評価機関がPCI PTS認証の評価を行います。
  • 相互補完: PCI PTSはPCI DSSなど他のPCI基準と連携し、総合的なセキュリティを確保します。

つまり、PCI SSCは親組織であり、PCI PTSはその管理下にある特定のセキュリティ基準という関係にあります。この構造により、決済カード業界全体で一貫したセキュリティ基準が維持されています。

PCI PTSにおけるアプリケーションセキュリティの規定

PCI PTSには、クレジットカード決済端末上のアプリケーションに関する規定が含まれています。これらの規定は、アプリケーションがクレジットカード決済端末のセキュリティに悪影響を及ぼさないようにするために設けられています。

PCI PTSにおけるアプリケーション関連の主な規定:

  • アプリケーション分離: 決済アプリケーションと他のアプリケーションを適切に分離し、相互干渉を防ぐ必要があります。
  • アクセス制御: アプリケーションが端末の重要な機能や機密データにアクセスする際の厳格な制御が求められます。
  • 暗号化: アプリケーションが扱う機密データの適切な暗号化が必要です。
  • 更新とパッチ管理: アプリケーションの安全な更新手順とセキュリティパッチの適用方法が定められています。
  • セキュアコーディング: アプリケーション開発時のセキュアコーディングプラクティスの遵守が求められます。

これらの規定により、PCI PTSは決済端末上のアプリケーションがもたらす潜在的なセキュリティリスクに対処しています。ただし、技術の進化に伴い、これらの規定も定期的に見直しと更新が行われています。

また、PCI PTSに加えて、PCI SSCが管理するPCI Software Security Framework (SSF)も、決済ソフトウェアのセキュリティに関するより詳細なガイドラインを提供しています。これらの基準を組み合わせることで、アプリケーションを含む決済システム全体のセキュリティが確保されています。