pci dssサービス紹介サイト - ペイメントワールド

[ 2017年09月04日 - paymentnavi ]送金・決済サービス「Kyash」がPCI DSSとTRUSTeの認証を取得

2017年9月4日8:00

PCI DSSの準拠企業の中でも短期間で準拠を達成し、セキュアな発行システムを構築

Kyashでは、国内初の前払式支払手段を活用した自社システムをベースに、送金・決済アプリ「Kyash」を展開している。同社では、PCI DSS Version 3.2準拠の認定を取得するとともに、個人情報の管理が安全にできていることを証明する認証マーク「TRUSTe(トラストイー)マーク」を取得し、外部機関により高いセキュリティ体制のもとでサービスを運用している。

サービス開始時点から強固なセキュリティを意識
PCI DSS準拠のシステムはクラウド環境を利用

Kyashでは、2017年1月に金融庁より前払式支払手段(第三者型)の承認を受け、国内初の仕組みとして、個人間の無料送金アプリ「Kyash」の提供を2017年4月5日より開始している。

Kyash 代表取締役 鷹取 真一氏

「セキュリティに関する考え方として、弊社ではプロダクトの開発初期から、セキュリティエンジニアとしてホワイトハッカーを採用して、ネットワークの構築から組み込みをしてもらっています。お金を取り扱うサービスということもあり、セキュリティは最重要項目として位置付けています。」(Kyash 代表取締役 鷹取 真一氏)

Kyashでは、PCI DSSの準拠について、会社設立当初から認識しており、国際ブランドのビザ・ワールドワイド(Visa)、クレジットカード会社と連携してサービスを展開する上で、基準を満たすことは大きかったそうだ。PCI DSSは、ペイメントカードの国際セキュリティ基準であり、将来的に海外に展開する上でも基準に準拠することは重要だった。PCI DSSに準拠している企業の中には、サービス提供後に取得したケースもあるが、「弊社はユーザーが少ない規模であっても、信用を失うのは一瞬ですので、開始時点から万全を期しています」と鷹取氏は強調する。

創業当初は、プリペイドスキームでサービス提供をするかは定まっていなかった。ただ、銀行の場合、融資のチャネルがなければ持続可能なビジネスモデルにならない可能性が高く、決済までつながるようなビジネススキームを構築し、国際ブランドのネットワークを活用することで、出口を幅広く用意できると考えていた。鷹取氏は、「銀行と組んでデビットを行う選択肢もありましたが、弊社がサービスの提供主体となる形を選びました」と説明する。また、同社のサービスは海外の“プリペイドデビット”に近く、入金額の範囲でしか利用できないスキームとは異なり、クレジットカードの仕組みと連携することで、残高がゼロでも決済や送金に利用できるのも自社で構築したシステムの特徴となっている。

Kyashでは、2016年初頭からPCI DSS準拠に向けた準備を開始。当初は大手システムインテグレーターであるTISに対して、同社の「CARD×DRIVE(カード・ドライブ)」で利用するカード決済のリアルタイム通知・閲覧システムを提供する上で、接続試験、脆弱性診断を行っており、PCI DSS準拠と関連性があるかを検証した。鷹取氏は、「当時のカード決済のコアシステムの構築ノウハウを生かし、自社でプロセッシングシステムを行う仕組みを構築しました」と、当時を振り返る。

システムは「Amazon Web Services」のクラウド環境で構築している。Amazon Web ServicesでPCI DSSに準拠した例は国内でも複数あるが、プロセッシングを自社で提供し、イシュア(カード発行)の仕組みを構築したケースは国内になかったため、米国のセキュリティチームを紹介してもらうなど、Amazonの協力を得ながら対応を進めた。

同社では、決済サービスの提供に当たり、自社でクレジットカード情報を保持している。そのため、カード情報の厳格な管理は必須だ。Kyashに登録したカード番号は暗号化して、HASH(ハッシュ)化。PCI DSS準拠についても、スコープはシステム全体となった。

カード情報は2カ所通過するためスコープの設定で工夫
準拠にかけたコストは500万円弱

Kyashのサービスでは、イシュアとしてのサービス提供に加え、登録カードの情報に対してオーソリゼーションをかけるため、カード情報が通過するところが2つある。そのため、「どこまでスコープを決めるのか、どこまでが要件になるのかを決めるところをよく検討しました」と鷹取氏は打ち明ける。今後は、機能追加やプロダクトとして新しいサービスができた際、カード情報を連携する必要が出てくる。また、スコープが広くなる可能性も考慮しなければならない。

さらに、スタートアップのオフィス環境において、細かいセクションが必ずしも分かれていないこともあり、どこまでを作業環境とみなすのかという、取り決めもコンサル会社などと細かいすり合わせが求められた。

(書籍「ペイメントカード情報セキュリティ対策の仕組み」よりKyash準拠事例の一部を紹介)

PCI DSS資料請求はこちら

pci dss 目的から資料請求 pci dss 12要件から資料請求
pci dssサービス紹介サイト - ペイメントワールド
カード情報ポータルサイト ペイメントナビ CMSホームページ製作サービス ブラボーウェブ