PCI P2PEソリューションに完全準拠したこれからのサービス提案
PCI P2PE(Point to point Encryption)とは、加盟店のPOIデバイス(決済端末)で読み取ったカード情報を直ちに強力に暗号化し、PCIDSSに準拠した決済センターの複合化ポイントまで安全に保護する為のPCI SSCが定めたセキュリティ要件です。
導入メリット
- 端末のセキュリティに関する運用負担を軽減することができます。
- PCI DSSを取得する場合でも監査項目を1/10程度に縮小することができます。
- 当サービスをご利用いただくと、実行計画の内回り11要件(Appendix Aを参照)の対応が不要となります。
これまでの業界標準仕様は...?
非保持化
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
対面加盟店における非保持と同等/相当のセキュリティ確保を可能とする措置に関する具体的な技術要件について
下表の11項目を満たす場合には、非保持と同等/相当とするセキュリティ措置として扱うことができる!
No. | 対策案 |
1 |
・外接点となる境界対してセグメンテーションを実施する。ルータ/FWを用いてアクセス制限を実施する。(業務上不要な通信を遮断する事。) ・IP-VPNなどを使用し、インターネットを使用する他の通信(Web閲覧、メール等)とは分離する。 |
2 |
PCI DSSで求められる以下の無線LANの対策を実施する。 -業界のベストプラクティス(IEEE 802.11i など)を使用して認証および伝送用の強力な暗号化が実装されている。 -認証や送信のセキュリティ制御に弱い暗号化(WEP、SSL、バージョンの古いTLSなど)を使用しない。 |
3 |
持ち込みPCの接続をシステム的に禁止する。または、ウイルス対策、脆弱性対策が行われているPCを接続する。 |
4 |
USBの利用をシステム的に禁止する。または、セキュアなUSB(ウイルス対策機能付き)メモリを使用する。 |
5 |
・POS系NW上にあるサーバ、PCについてはウイルス対策、脆弱性対策を行う。 ・POS系NW上にあるサーバ、PCのOS、ミドルウェア、アプリケーションのID/パスワードは推測が困難な7文字以上のランダムな文字列を使 用し、平文の認証情報をシステム内に配置しない。 |
6 |
・POS端末にホワイトリスト方式のセキュリティ対策を実施し、POSマルウェアを動作させない。 ・ホワイトリスト方式の設定を管理するための認証情報は、推測が困難な7文字以上のランダムな文字列を使用し、平文の認証情報をシステム内に配置しない。 ・POS端末のOS、ミドルウェア、アプリケーションのID/パスワードは推測が困難な7文字以上のランダムな文字列を使用し、平文の認証情報 をシステム内に配置しない。 |
7 |
・POS端末では、カード情報を読取後、メモリやハードディスク等の電子媒体上からは当該情報を迅速に(※取引の正常完了及び異常終了後)完全に削除する。 ※但し、1取引毎かつ当該取引処理中に必ず売上データ送信処理を完了させること。 ・カード情報として定義される機密認証データであるPIN又はPINブロックを取り扱う機器は必ずPCI-PTS認定を取得していること |
8 |
POS端末で入力されたカード情報を迅速に暗号化し、POS端末と決済サーバ間で暗号化通信を行う。セキュリティ制御に弱い暗号化(SSL、バージョンの古いTLSなど)を使用しない。 |
9 |
加盟店側で復号用の鍵を保持しない構成となるため、通信データ復号用の鍵を窃取し、通信データを復号されるリスクは存在しない。これを前提として、DUKPTによる鍵交換方式を用いた全トラックデータ(トラック相当データ含む)の暗号化処理または、PA-DSS準拠POSペイメ ントアプリケーション実装を行う。 |
10 |
PCI DSSに準拠したPOSベンダー等が提供する共同利用型決済センターを利用する。 |
11 |
POS系NWから外部(インターネット含む)へ通信をFW等で必要最小限に絞る。 |
当サービスのメリット
クレジットカード・電子マネー・QRコードに対応した自動精算機向けの決済端末をワンストップで提供します。
決済端末
屋内だけでなく、駐車場などの屋外でも利用することが可能です。
プロセッサ・メモリ | High Performance 4 Core Processor + Serure CPU |
---|---|
メモリ | 1GB RAM, 8GB Flash memory, Support Micro TF Card, up to 32GB. |
OS | Android 5.X |
ディスプレイ | 5インチ 720×1280ピクセル タッチスクリーン |
入力デバイス | 磁器ストライプ、接触/非接触IC(EMV L1・L2)、カメラ |
インターフェイス | USB、Wi-Fi、RS-232C、Ethernet |
セキュリティ | PCI PTS 5.X |
電源 | 12V DC 2A(ACアダプタ100〜240V) |
サイズ | 158.9 x 93.8 x 46.5mm |
重量 | 710g |
QRコード決算
日本国内で圧倒的な知名度と人気を誇る「d払い」および「PayPay」に対応、ますます増加するアジアからの訪日客向けにアジア各国の主要コード決済にも対応しています。
電子マネー決済 ※最新決済も含め準備対応中
日本国内で圧倒的な知名度と人気を誇る、交通系をはじめとする様々な電子マネーに対応します。
クレジットカード決済 ※各カード会社との契約が必要となります。
主要クレジットカードブランドに対応しています。また、EMVコンタクトだけでなく、コンタクトレスもサポート、利用者にはスムーズなチェックアウトを体験いただけます。
※各カード会社との契約が必要となります。
機能 ー コンタクトレス決済 ※最新決済も含め準備対応中
非接触対応のクレジットカードを画面にタッチするだけでスピーディーにお支払いが完了します。 サインも暗証番号も不要です。
クレジットカードのNFC機能搭載を国策として推進したオーストラリアでは、カード保持者の8割以上がコンタクトレス決済を利用可能な状態です。
英国やフランスでも急速にコンタクトレス対応が進んでいます。コンタクトレス決済は外国人のお客様が普段慣れ親しんだ決済手段です。
※10,000円を超えるお支払いの場合では、カードを差し込んで暗証番号を入力する必要がございます。
※本機能はオプションです
※最新決済も含め準備対応中
システム構成
上位機器との連携は様々なインターフェイス、プロトコルおよび各種SDKをご用意しています。SDKにより大幅な開発工数削減が期待できます。
シンプルなクレジットカード決済 操作イメージ
画面フローは簡単なステップとなっています。また、タッチスクリーンなので誰でも簡単に直感的な操作で素早くチェックアウトを行うことが可能です。
また、英語によるメッセージも併記されていますので、海外の利用者でも安心です。
管理画面
-
ブラウザでどこからでもアクセス可能な管理画面
決済取引の履歴や端末設定など管理が可能な管理画面をご提供。リモートから様々な運用管理が可能です。
-
取引履歴検索
- 期間、金額、端末ごとなど条件を絞って取引を検索することができます。
-
売上集計データ
- 特定期間内の売上集計データをダウンロードすることが可能です。
-
端末設定
- 端末情報のダウンロードや出荷管理を行うことが可能です。
-
各種設定
- 登録の情報を確認・編集できます。
- 担当者を一元管理できます。担当者ごとの権限の付与も編集可能です。
-
-
店舗ごと複数端末の一元管理
管理画面から新規端末の追加、管理ができます。決済の取引検索では、各端末ごとの決済履歴の確認が可能です。
導入までのスケジュール
-
step1. お申込書類の準備 (お客様) 弊社利用規約に同意した上で申込み書類等記入を行います。 申込み書(Excelファイル),公的書類(登記簿謄本)をアップロードにて送付いただきます。 -
step2. 審査手続き (弊社) お申込み書を確認後、弊社及びカード会社にて取り扱い商材や事業実績について審査を行います。 (包括契約の場合) -
step3. 加盟店・端末登録作業 (弊社) 審査がOKでしたら、カード会社との接続に関する登録作業を行います。また、PCI P2PEの運用に沿って端末のキーインジェクション作業を行います。 ※この時点で初期費用をご請求させていただきます。 -
step4. 端末発送作業 (弊社) お客様が指定した送付先に端末を発送いたします。 -
START! サービス開始 (お客様) 端末を取り付け、動作確認を行い、サービス開始となります。
私たちは、単なる決済代行サービスだけでなく、Payment SIerとして、あらゆる決済に関するシステム構築を手掛けております。決済のことなら、まずは、弊社までお問い合わせください。
salse@paypro.co.jp
-
Company Profile 会社概要
-
社名 Payment Pro株式会社 代表者 谷口 秀晴(やぐち ひではる) 住所 〒215-0034
神奈川県川崎市麻生区南黒川4-2
ネスティングパーク黒川 B-09e-mail salse@paypro.co.jp
当サービスに関するコンサルティングサービスの一例
機能 ー 外貨建て決済(DCC)※VisaとMastercardのお取扱いのみに対応しています。
訪日外国人のお客様がクレジットカード決済を行う際に「自国通貨建て」か「日本円建て」か、通貨を選択できるサービスです。端末で読み取ったクレジット カード情報より発行国の通貨を特定し、その時点の為替レートで自国通貨に変換された実際の請求額が提示されます。利用者は為替変動リスクを心配することな く、自国内と同じ感覚でクレジットカード決済をご利用いただけます。
<取扱通貨一覧>
米ドル/ニュー台湾ドル/香港ドル/オーストラリア・ドル/タイ・バーツ/UKポンド/シンガポール・ドル/カナダ・ドル/ユーロ/マレーシア・リンギット/フィリピン・ペソ/インド・ルピー/ロシア・ルーブル/ベトナム・ドン/インドネシア・ルピア/スイス・フラン/UAE・ディルハム/スウェーデン・クローナ/ニュージーランド・ドル/デンマーク・クローネ
※かならず、上位機器側でレシートを印刷する必要がございます。
※本機能はオプションです
三井住友カード株式会社本機能は、三井住友カード株式会社様との提携により実現しております。
機能 ー 外貨建て決済(DCC)※VisaとMastercardのお取扱いのみに対応しています。
銀聯カードは、世界発行枚数が60億枚を超えています。銀聯カードに対応することで、増加している中国からの旅行者のチェックアウト時の利便性が向上し、購買機会損失の低減、購入商品の単価アップがおこり、確実に売上の向上につながります。
※本機能はオプションです
機能 ー 自動継続課金
自動継続課金とは、初回のカード登録だけで、一定期間ごとに決められた金額を自動的に決済する機能です。
毎月の代金徴収を自動化
-
スポーツジム
-
美容・鍼灸
-
各種会員費
- できること
- 毎月の課金日を自由に設定することができます。
- お客様ごとに課金パターン(課金額、間隔、開始日、回数)を自由に設定できます。
- 1ヶ月、3ヶ月、6ヶ月コース等の指定ができます。
- 継続課金の受付と同時に初期費用や入会金等を合わせて決済することができます。
- ○日間無料、入会月無料キャンペーン等を実施することができます。
- 月々のデータをご提供頂く必要はございません。
- 従量課金にも対応しています。
- ECサイトと会員データを連携することも可能です。
※本機能はオプションです
機能 ー 認証サービス(ネットで予約→現地で認証)
※本機能はオプションです
機能 ー ポイントカード番号返却
クレジットカード一体型のポイントカードの場合、JIS2トラックにポイントカード番号のほかクレジットカード番号が記録されているものが多く存在します。本サービスは、端末で暗号化されたJIS2トラック情報をセンターで複合化し、ポイントカード番号のみをお戻しするサービスです。
対応ポイントカード
楽天ポイントカード、Tポイントカード
※本機能はオプションです
機能 ー デジタルサイネージ
決済端末のディスプレイにアイドリング時を利用してデジタル広告を配信することが可能です。ECコンテンツやクーポン配信など決済以外でも端末を有効活用いただけます。
※本機能はオプションです
機能 ー カードお預かり
端末で読み取ったカード情報を弊社決済センターのセキュアな環境内に保管することが可能です。お預かりしたカード情報は、従量課金やECサイトとの連携など様々なシーンで活用いただけます。
こんな事業者様におすすめ!
- サブスクリプション形式のサービスを提供している。
- 会員登録時にクレジットカード情報を登録したい。
- 現状のシステムフローを変更することなく、カード情報の非保持化を行いたい。
- 店舗とECサイト間でカード情報を連携したい。
機能 ー APIによる連携
弊社では、店舗でもECサイトでも使える決済サービスを総合的にご提供しています。オムニチャネルをはじめ、あらゆるニーズに応じて自由に組み合わせてご利用いただけるよう、様々なAPI群が実装されています。