クレジットカードの危険性

クレジットカード向け新セキュリティ標準が策定へ
適用対象は支払いアプリケーションを開発するソフト・ベンダー

（2007年11月08日）

　大手クレジットカード会社が加盟する標準団体PCI Security Standards Council（PCISSC）は11月7日、支払いアプリケーション・ソフトのための新たなセキュリティ標準を策定する意向を明らかにした。

http://www.computerworld.jp/news/sec/85949.html

　PCISSCは、クレジットカードやデビッドカードの処理業務に対応するデータ・セキュリティ標準を定義することを目的としている。2年前に、アメリカン・エキスプレス、ディスカバー・ファイナンシャル・サービシズ、JCB、マスターカード・ワールドワイド、ビザなどのクレジットカード会社によって設立された。

　現在、同団体が策定した標準規格に、PCIデータ・セキュリティ規準（PCI Data Security Standard）1.1がある。新しい標準は「Payment Application Data Security Standard（PADSS）」と呼ばれ、ビザの「Payment Application Best Practice」をベースとする予定だ。このPCISSCの草案は一般公開されておらず、閲覧するには同団体のメンバーになる必要がある。

　PCISSCのゼネラル・マネジャー、ボブ・ルッソ氏は、「支払いアプリケーションのプロバイダーとその製品が、現行のPCIデータ・セキュリティ規準と整合性のあるデータ・セキュリティ要件を順守できるような体制を整えたい」と語っている。同氏は、まだPADSSの詳細は明らかにできないとしているが、PCISSCのWebサイトには、PA-DSSの方向性に関するFAQが掲載されている。

　このFAQの中で、「PADSSは、承認や決済の一環としてカード所有者のデータを保存、処理、転送するような支払いアプリケーションを開発するソフトウェア・ベンダーなどに適用されるもので、それらの支払いアプリケーションが第三者により販売あるいは配布されている場合に該当する」と説明している。

　また、「PADSSの完成後には、支払いアプリケーションの認定を行うQSA（Qualified Security Accessor）資格を策定する予定であり、将来的には認定済み支払いアプリケーションのリストも公開する」と記載されている。なお、PCIデータ規準に関しては、すでに60人以上がQSA資格を取得している。

　FAQには、PADSSに準拠した支払いアプリケーションに関する記載もあり、「磁気データ、カード確認コードや数値、PINやPINブロックなどの盗難につながるようなセキュリティ侵害の可能性を最小限に抑えることができる」と説明している。

　一方、「QSA有資格者がPADSSに適合していると認めた支払いアプリケーションでデータ侵害が発生した場合どうなるのか」という質問には、「そのようなケースについては、ソフトウェア・ベンダーとのサービス契約の範囲内で責任を負う」と答えている。

(エレン・メスマー／Network World 米国版)