第9回 決済アプリのセキュリティ基準、PA-DSSとは


川島 祐樹
NTTデータ・セキュリティ株式会社
コンサルティング本部 PCI推進室
CISSP

2010/2/24
“ペイメントアプリケーション”のセキュリティ基準を定めたPA-DSS。厳密に定められた14の要件を、PCI DSSと対比させつつ解説します(編集部)

 第1回「エンジニアも納得できる“PCI DSS”とは」でも紹介しましたが、広義でのPCI DSSは、アプリケーションのセキュリティ基準であるPA-DSS(Payment Application Data Security Standard)、PTS(PIN Transaction Security)、それらの元になるPCI DSSの3つの基準から成り立ちます。

【注】
PTSは従来PED(PIN Entry Device)と呼ばれていました。

 PCI DSSは、カード会員データを伝送、処理、保管する企業が対象であるのに対し、PA-DSSは決済アプリケーション、PTSは主にPINを入力するハードウェア端末、もしくはモジュールを示すことになります。決済アプリケーションはもちろん何らかのハードウェアの上で稼働するものですから、そのハードウェアにPINを入力する装置があればその装置のPTS対応が必要になりますし、PCI DSSに準拠しようとしたとき、その環境に決済アプリケーションがあれば、PA-DSS対応が必要となってくるわけです。

 つまりこの3つの基準は、クレジットカード決済を取り巻く環境の異なるレイヤを対象とするもので、PCI DSS ⊃ PA-DSS ⊃ PTSという形で依存関係にあることになります。

 今回は、PCI DSSに関連するPA-DSSを解説したいと思います。

 PA-DSSの対象

 PA-DSSは、決済アプリケーションに対するセキュリティ基準であり、PCI DSSから派生したものです。ただし、決済機能を持つアプリケーションであればなんでも対象となるわけではありません。PA-DSS v.1.2の序文から、PA-DSSが対象とする範囲の定義を抜粋してみます。

■PA-DSSの対象範囲

PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるペイメントアプリケーションを開発するソフトウェアベンダなどに適用されます。

 ポイントは、第三者に販売、配布、またはライセンス供与されるものが対象になる点です。特定の加盟店で使われている、加盟店が独自に開発したもの、ベンダが特定の加盟店向けにゼロから作ったアプリケーション、もしくは多くのカスタマイズをしているアプリケーションなどは、PA-DSSの対象にはなりません。それらのアプリケーションは、PCI DSSの対象範囲に入っており、PCI DSSの評価において検証されるべきであるためです。また、本来決済と関係ないミドルウェアやアプリケーション(OS、RDBMSなど)もPA-DSSの対象になりません。

 また、加盟店システムに接続せず、プロセッサのみを経由してアクワイヤラ(カード会社)に直接接続する端末に搭載されるアプリケーションは、いくつかの条件がありますが、これらはPA-DSSの対象外となります。

 PA-DSS対応は義務か?

 PCI SSCは、セキュリティ基準やその評価者の管理、上記PA-DSSに対応したアプリケーションのリストなどを管理している団体にすぎず、実際に加盟店に“PCI DSSに準拠しなさい”、もしくはPOS開発ベンダに“PA-DSS対応をしなさい”ということはありませんし、そもそもそこに何ら関係性はありません(契約関係にありません)。

 アプリケーションのPA-DSS対応の必要有無や、その期限を決定する義務があるのは国際カードブランドになります。Visaでは2009年7月22日に、PA-DSSへの対応について期限を設定するプレスリリースを出しました。

【関連記事】
Visa、決済用ソフトウェアのセキュリティ基準遵守に期限を設定
http://www.visa-asia.com/ap/jp/mediacenter/pressrelease/NR_JP_220709.shtml

 このプレスリリースには、以下の対応を義務付ける旨が記載されています。

  1. 2010年7月1日以降、新規加盟店は、PA-DSS準拠アプリケーションを使用しなくてはならない
  2. 2012年7月1日以降、既存加盟店は、PA-DSS準拠アプリケーションを使用しなくてはならない
【注】
VisaやMasterCardは国際ブランドであり、カード会社ではないので、加盟店に直接このような義務を言い渡すことができません。実際にはアクワイヤラ(カード会社)に“加盟店にこの義務を徹底させてください”と間接的に伝えることになります。

 ただし「そんなことを急にいわれても……」という現実もあるのは事実です。2010年7月1日時点で、PA-DSS準拠アプリケーションが十分に存在すれば問題ありませんが、もしそれがリストにほとんどない状況で“PA-DSS準拠アプリケーションを使いなさい”というのは無理があります。実際には加盟店をはじめ決済アプリケーションを使用する企業は、国際カードブランドやカード会社と話し合いを持つことになるでしょう。もちろん、決済アプリケーションを開発するベンダはすでに、PA-DSS準拠が求められているでしょう。

1/4

Index
決済アプリのセキュリティ基準、PA-DSSとは
Page1
PA-DSSの対象
PA-DSS対応は義務か?
  Page2
PA-DSSの概要
PCI DSSとの違い
  Page3
PA-DSS実装ガイド
PA-DSS要件概説
  Page4
求められる安全策はクレジットカード業界以外でも同じ


オール・ザッツ・PCI DSS 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH