PCIセキュリティスタンダードカウンシル、市販デバイス上のソフトウエア式暗証番号入力のセキュリティ要件を公開

- スマートフォンなどの市販デバイス(COTS)によるEMV接触・非接触トランザクションのためのセキュアなソフトウエア式暗証番号入力ソリューションの開発を促進する新たなPCI基準 -

米マサチューセッツ州ウェイクフィールド--()--(ビジネスワイヤ) -- PCIセキュリティスタンダードカウンシル(PCI SSC)は本日、スマートフォンやタブレットなどの市販デバイス(COTS)でのソフトウエアベース暗証番号入力用の新たなPCIセキュリティ基準を発表しました。このPCIソフトウェアベース暗証番号入力(COTS)基準(SPoC基準)は、暗証番号用セキュアカードリーダー(SCRP)と共にセキュアな暗証番号入力アプリケーションを使用して、市販デバイス上の暗証番号入力によるEMV接触・非接触トランザクションを可能にするセキュアなソリューションを開発するための要求事項を規定しています。

アイテ・グループのシニアアナリストのロン・ヴァン・ウィーゼル氏は、次のように述べています。「モバイル・ポイント・オブ・セール(MPOS)ソリューションは、柔軟性と効率性を重視する小規模小売企業に非常に人気があります。MPOSにより、時間と場所を選ばずタブレットやスマートフォンで注文や支払いを受理できるようになりました。しかし、EMVチップと暗証番号の認証が必要な市場では、ハードウエアへの投資コストが高額過ぎると考える小規模小売企業もあったでしょう。この新たな暗証番号入力基準により、PCIカウンシルは、モバイルのタッチスクリーン上に直接暗証番号を入力するためのセキュリティ要件を規定することで、市場のニーズに応えました。つまり、小売企業はモバイルデバイス、それに接続した小型でコスト効率の高いカードリーダー、セキュアな暗証番号入力アプリケーションだけで支払いを受理できます。これにより電子取引の成長が促進されるため、決済業界は支払いの受け入れの選択肢が広がることで全体的にメリットを得るでしょう。」

PCI SSCのトロイ・リーチ最高技術責任者(CTO)は、次のように述べています。「PCIカウンシルは、ハードウエアベースのソリューションにおいて認証手段としての暗証番号を保護するための基準を開発してきた長い歴史を持っています。既存のPCI暗証番号基準では、暗証番号のハードウエアベースでのセキュリティ保護が必要です。私たちは、この基礎に基づき、セキュアな暗証番号入力への代替的アプローチを可能にする新たな基準を提供します。これは、暗証番号を他のデータから隔離し、物理的なハードウエアデバイスそのものを超えた新しい一連の堅固なセキュリティコントロールを使用することで、実現しました。PCIソフトウエアベース暗証番号入力基準は、ソフトウエアベース暗証番号入力を用いたEMV接触・非接触トランザクションを受理することに特化したセキュリティ要件の基準をソリューション提供企業とアプリケーション開発企業に提供します。」

この基準のセキュリティ要件とテスト要件に含まれる主要なセキュリティ原則は次の通りです。

  • 電話またはタブレット内の決済環境に対する潜在的な脅威を抑制するためにサービスを積極的に監視
  • 暗証番号を他のアカウント・データから隔離
  • COTSデバイス上の暗証番号入力アプリケーションでソフトウエアのセキュリティと完全性を確保
  • PCIが承認した暗証番号セキュアカードリーダー(SCRP)を使用して暗証番号とアカウント・データを保護

COTS上ソフトウエアベース暗証番号入力セキュリティ要件は、ソリューション提供企業が完全なソリューションの各部分を設計する際に使用するものです。これらの要件は現在、PCI SSCウェブサイトでご利用いただけます。

COTS上ソフトウエアベース暗証番号入力のテスト要件は、ラボが基準に照らしてソリューションを評価できるようにテストプロセスの概要を示しています。これらは翌月に公開され、その後、PCIが検証したソリューションを小売企業が利用できるようにPCI SSCウェブサイトでリストアップするサポートプログラムも開始します。

新たな基準の詳細については、PCIパースペクティブのブログ記事「新たなPCIソフトウエアベース暗証番号入力(COTS)基準」をお読みください。

リーチは、次のように述べています。「この基準は、COTSデバイス上で暗証番号ベースのトランザクションをセキュアに受理する方法に関するセキュリティ要件の基礎と、デバイスやアプリケーションの更新が頻繁に発生する場合でもセキュリティの有効性をテストする方法をソリューション提供企業とアプリケーション開発企業に提供します。PCIが検証したソリューションは、独立ラボがテストした一連の堅固なセキュリティ目標を満たします。現在、特に小企業のコミュニティーで、ますます多くの企業がスマートフォン、タブレット、その他のCOTSデバイスで決済を受理するようになっています。PCI SSCソフトウエアベース暗証番号入力ソリューションのリストは、決済セキュリティ・ラボが評価・テストした暗証番号入力ソリューションを選択するためのリソースを小売企業に提供し、その顧客は決済データに対する最良の保護を得るというメリットを得ます。」

PCIセキュリティスタンダードカウンシルについて
PCIセキュリティスタンダードカウンシル(PCI SSC)は、企業がサイバー攻撃や侵害を検知、抑制、防止するのに役立つ業界主導型の柔軟で効果的なデータセキュリティ基準およびプログラムを提供することで、決済セキュリティを向上させる世界的で業界横断型の取り組みを主導しています。リンクトインでPCI SSCと交流してください。ツイッター@PCISSCで対話に参加してください。PCIパースペクティブ・ブログを購読してください。

本記者発表文の公式バージョンはオリジナル言語版です。翻訳言語版は、読者の便宜を図る目的で提供されたものであり、法的効力を持ちません。翻訳言語版を資料としてご利用になる際には、法的効力を有する唯一のバージョンであるオリジナル言語版と照らし合わせて頂くようお願い致します。

Contacts

PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC

Contacts

PCI Security Standards Council
Mark Meissner, +1-202-744-8557
press@pcisecuritystandards.org
Twitter @PCISSC