小規模な加盟店にとって、PCIコンプライアンスは難解な技術のように思えるかもしれませんが、無視すれば大きな危険にさらされます。PCI(Payment Card Industry)セキュリティ基準協議会(PCI Security Standards Council)が策定したセキュリティ基準に違反すると、月額5,000ドルから100,000ドルの罰金が科せられます。
PCIデータセキュリティ基準(DSS)をはじめとする多くの関連資料は、PCI協議会のウェブサイトから簡単にダウンロードできますが、ITセキュリティ専門家がいない中小企業にとっては、その要件は理解しにくいものとなる可能性があります。しかし、コンプライアンスプロセスとそれに伴うセキュリティ対策を容易にするためにできることがいくつかあります。認定セキュリティ評価者(QSA)の雇用を推奨しますが、これらのヒントが適切な方向へ導くのに役立つでしょう。
カード所有者のデータを一切保存しない
PCIコンプライアンスに必要なセキュリティ対策を大幅に簡素化するには、カード会員データを書面またはデジタル形式で保存しないでください。カードリーダー、POS、決済代行システムなど、システム上にカード会員情報を保持しないシステムを使用することで、データの保護と暗号化について心配する必要がなくなります。具体的なモデルの詳細については、決済ベンダーにお問い合わせください。
定期的な請求やその他の必要な業務目的でカード会員データを保存する必要がある場合は、決済代行会社に問い合わせて、データをシステム上に入力・保存できるオプションがあるかどうかを確認してください。データをご自身で保存する必要がある場合は、より多くのセキュリティ対策を講じる必要があり、磁気ストライプデータ全体、セキュリティコード、PINといった機密性の高い認証情報は保存できないことをご承知おきください。
PCI準拠のWebホストを選択する
ウェブサイトで商品を販売したり、決済を受け付けたりする場合は、PCI準拠のウェブホスティングプランと、eコマースまたはショッピングカートアプリケーションをお選びください。ウェブホスティング会社によっては、ウェブサイトでコンプライアンスの詳細を公開しているところもありますが、多くの場合、営業部門またはサポート部門に問い合わせる必要があります。eコマースアプリケーションとショッピングカートについては、PCI Councilの検証済み決済アプリケーションリストをご参照ください。
安価な共有ホスティングプランを使用する場合、サーバーが複数のウェブサイト所有者に分割されるため、PCIコンプライアンスの達成は難しくなる可能性があります。ただし、PayPal Standard、2Checkout、Authorize.Netなど、顧客をコンプライアンス対応サイトに転送してクレジットカード情報を入力させるホスト型決済ソリューションを選択すれば、PCIコンプライアンス(非準拠であっても)を遵守できる可能性があります。また、Webホスティングプランがコンプライアンス対応であっても、セキュリティ対策の負担を軽減するために、ホスト型決済ソリューションの導入を検討することをお勧めします。ただし、サイト内で決済プロセスを完全に統合したい場合は、通常はPCIコンプライアンス対応である、より高価な仮想プライベートサーバーまたは専用サーバーが必要になる場合があります。
IP端末の代わりにダイヤルアップ端末を使用する
ダイヤルアップ式クレジットカード端末は、電話回線に接続し、決済処理業者と通信します。これは、かつての56Kモデムがダイヤルアップインターネットに接続していた方法に似ています。IPベースの端末よりも速度は遅いですが、カード会員データ環境(カード会員情報が保存、処理、または送信されるコンピューターやコンポーネント)を大幅に削減できるため、お客様が遵守すべきセキュリティ対策も軽減されます。
どのような種類のクレジットカード端末やPOSシステムを選ぶにしても、ベンダーに問い合わせるか、PCI Councilの「承認済みPINトランザクションセキュリティデバイス」や「検証済み決済アプリケーションリスト」を確認するなどして、PCI準拠であることを確認してください。また、ベンダーに端末の動作原理を確認し、準拠を容易にするシステムについても問い合わせてください。
支払い処理には別のネットワークを使用する
IPベースのクレジットカード端末をご利用の場合は、決済処理専用のインターネット接続を備えた完全に独立したネットワークを構築する方が簡単かもしれません。これにより、ネットワークの初期設定時に実施する必要があるセキュリティ対策や、PCIコンプライアンスを維持するために将来的に実施する必要があるセキュリティ対策が軽減されます。
安全なモバイルカードリーダー
オンサイトサービスを提供する中小企業にとって、Square、GoPayment、PayPal Hereなどのモバイルカードリーダーソリューションは非常に魅力的です。これらのソリューションは、クレジットカード決済の受付を迅速かつ簡単に開始でき、携帯電話データ通信またはWi-Fi接続を介してスマートフォンやタブレットで利用できます。現在のPCI DSS要件(バージョン2.0)ではモバイルカードリーダーは特に規定されていませんが、企業はこれらのソリューションがPCIコンプライアンスに準拠していることを確認する必要があります。
PCIは、スマートフォンやタブレットで利用するモバイル決済ソリューションのセキュリティを確保するためのセキュリティガイドラインを公開しています。基本的に、モバイルデバイスは盗難、不正使用、マルウェア、ハッキングから物理的にもデジタル的にも保護する必要があります。デバイスのジェイルブレイクやルート化、AndroidデバイスのUSBデバッグなど、デバイスのセキュリティを低下させる可能性のある機能の有効化は避けてください。ウイルス対策アプリをインストールし、公式アプリストアなどの信頼できるソースからのみアプリをダウンロードしてください。また、カードリーダーを使用する際にモバイルデバイスを企業の管理下にあるWi-Fiに接続する場合は、ネットワークがPCI準拠である必要があることを忘れないでください。
