ハマログ

株式会社イーツー・インフォの社員ブログ

クレジットカード取引のセキュリティ対策

はじめに

クレジットカード会社、決済代行業者、セキュリティ事業者などから構成される「クレジット取引セキュリティ対策協議会」が、クレジット取引のセキュリティ対策として「実行計画」を取りまとめ公表しています。

実行計画は、PDFで全文を読むことができます。みなさん読みましょう。
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2016-【公表版】

以下、ざっくりと(非対面型のみ抜粋)

セキュリティ被害の状況

日本のクレジットカードの不正使用被害は2003年以降、減少していたがオンライン取引の増加により、2013年から再び増加している。

20161112-152330

20161112-152340

通過型と非通過型

そもそもカード情報を保持していなければ、カード情報を搾取されるリスクが払拭され、最も有効なセキュリティ対策と考えられる。
カード情報を保持しなければ事業を運営できない事業者は、PCIDSSに準拠することが求められる。

ECでのカード決済には、カード情報がサーバを通過する「通過型」と、通過しない「非通過型」の2種類がある。通過しなければ保持することがないため、リンク型またはJavaScriptを利用した悲通過型の決済システムの導入を促進する。

すでに通過型を導入済みのECは、システムログなどへのカード情報保存がされていないか確認をおこない、保存されている場合は対応をおこなう。また、非通過型への以降が強く推奨される。

漏洩時の緊急対応について

日本クレジットカード協会が公開している「カード情報漏えい時の緊急対応マニュアル」を参考に、速やかに対応をおこなう(※マニュアルがどこにあるかわからなかった><)

各主体の役割について(加盟店)

加盟店は以下の検討・対応をおこなう。

  • 2018年3月末までにカード情報の非保持化又は PCIDSS 準拠完了を目指す。
  • 通過型システムを導入しているEC加盟店は、自社のシステムのトランザクションログ等においてカード情報のログが蓄積されていないか、至急確認を行い、蓄積されている場合は削除するものとし、さらに、より安全な非通過型システムへの移行を進める。

ECでの不正使用対策について

  • 3Dセキュアや認証アシストなろにより、本人確認を強化する。ただし、利用者のパスワード忘れなどによる機会損失の懸念がある。
  • セキュリティーコードによる認証は導入コストが廉価であり、加盟店が導入しやすい。
  • 過去の取引情報をもとにしたリスク評価をおこない、不正取引と判定するサービスがあり、メリットが大きい。
  • 不正な配送先のDB情報をカード会社や大手加盟店が運用しており、安価なコストで導入が可能。

(おまけ)

日本では、磁気情報でのクレジットカード取引が大半を占めているが、磁気情報はスクリーニングによる偽造カード生成が容易である。
米国では偽造カード対策として、IC対応が急速に進められている。欧州ではほぼ100%がIC取引となっている。
日本でも、IC化をすすめる。

(おまけ)

用語集 – 一般社団法人日本クレジット協会

Securityクレジットカードセキュリティ

kaneko tomo   kaneko tomo   2016年11月12日


関連記事

hibernateで単純なSELECT文の順読み込み

こんにちは 最近なくしたパスモが飯能で見つかったが、取りに行くのを断念しました、…

すばらしすぎるAPIテスト環境たち

こんにちは、ウェブソリューション事業部 かねこです。 システム開発、特にオープン…

AWSのVPCとサブネットの予約済みIPv4アドレスについて

今月より、レガシーなOSで動作しているウェブシステムをAWSに移行する作業をして…


← 前の投稿

次の投稿 →