審査範囲は最小限に
1と2によって実現されるのが、3つめの「審査範囲は最小限に」だ。業者側の施設であるWebアプリケーションやデータベースにはPANが存在しないので、審査対象外となる。
PANが流れる範囲を限定する
小さくなった審査範囲
PANをトークンに置き換えるサーバ(トークン化サーバ)、PANとトークンの関連づけ情報を保存するデータベースは、RASセキュリティが運用管理を行なう。そのため、クレジットカード対象事業者は、カード情報の入力と業務アプリケーション部分に対して、PCI DDS対策を行なうだけで済む。
PCI DSS準拠支援サービスの特徴の1つは、既存のシステムに大きく手を加えることなく利用できる点だ。修正が必要なのは、PANをカード情報の入力部分と、業務アプリケーションの処理の一部となる。PANから置き換えられたトークンはPANのデータ形式を維持するため、データベースのスキーマなどを変更せずに済むわけだ。
米国ではすでに開始をしているサービスであり、電子決済処理を行なうファースト・データが本サービスを利用したシステムを構築しているという。
ファースト・データの導入例
この連載の記事
-
第14回
TECH
情報セキュリティのプロが語る「PCI DSS、はじめの一歩」 -
第13回
TECH
管理者に優しいペンタのWAF「WAPPLES」を支える技術 -
第11回
TECH
情報元を抑えよ!DBセキュリティを先導する「FortiDB」 -
第10回
TECH
セミナーでわかったバラクーダとアップルの意外な共通点 -
第9回
TECH
今度のインパーバは金庫番+パトロールでDBを守る -
第8回
TECH
脆弱性監査も試用可能!フォーティネット、FortiDBを強化 -
第7回
TECH
高価なWAFはもういらない!SaaS型WAF「Scutum」の魅力 -
第6回
TECH
キヤノンIT、偽装ファイルの検出強化のWEBGUARDIAN -
第5回
TECH
白黒はっきりつけたいWAFの最新事情 -
第4回
ネットワーク
雲の中にWAFを設置するアカマイの新サービス - この連載の一覧へ
