Designing
New Context

Designing
New Context

ベリトランス、EC・通販での電話・はがき注文向けに、クレジットカード情報非保持化サービス「PCI P2PEソリューション」と連携開始

テンキーパッドで暗号化したカード情報を利用し、事業者環境でもセキュアな決済処理を実現

2018.09.13

株式会社デジタルガレージ(東証一部 4819、本社:東京都渋谷区、代表取締役 兼 社長執行役員グループCEO:林 郁、以下:DG)の子会社で、決済事業を手がけるベリトランス株式会社(本社:東京都渋谷区、代表取締役執行役員社長:篠 寛、以下:ベリトランス)は、決済事業を展開するルミーズ株式会社(本社:長野県小諸市、代表取締役:戸田 一行、以下:ルミーズ)と提携し、ベリトランスのクレジットカード決済セキュリティソリューションに新たな機能を付加し、2018年9月より連携を開始します。

新機能は「PCI P2PE*1」と呼ばれる暗号化のセキュリティ要件を採用し、電話・FAX・はがき等での受注を行うEC・通販事業者が、自社ネットワーク上で消費者のクレジットカード情報の代理入力を行うことを可能にします。

背景と安全な決済の実現方式

2018年6月に施行された改正割賦販売法では、すべてのクレジットカード加盟店において「クレジットカード情報の適切な管理」と「不正使用防止対策の実施」が義務づけられています。その指針である「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画*2(以下:実行計画)」では、EC・通販など非対面販売を行う事業者に対し、ネットワークや機器などの事業者環境をクレジットカード情報が通過・処理・保持しない「クレジットカード情報非保持化」または、国際セキュリティ基準である「PCI DSS*3」への準拠を求めています。

ECやテレビ・カタログ通販、旅行申し込みなどにおいて、電話やFAX・はがきで受注(メールオーダー・テレフォンオーダー)する加盟店の場合、消費者からの電話や書面をもとに、オペレーターが業務PCを介しクレジットカード情報を代理入力して決済処理を行うケースが多く見られます。実行計画ではこのような場合も同様の対策を求めており、具体的なセキュリティ対策として以下の3種が定義されています。

1.CCT*4同等以上のセキュリティレベルの決済専用端末を利用した外回り方式
2.タブレット端末を利用した外回り方式
 ・決済代行会社が提供する管理画面のカード決済機能を利用した決済処理
 ・非保持化対応済みの加盟店ECサイトからの決済処理
3.PCI P2PE認定ソリューションを採用した場合の内回り方式

ソリューション概要

今回ベリトランスでは、上記の3にあたる「内回りPCI P2PEソリューション」を、認定事業者であるルミーズと連携することにより提供します。ルミーズのクレジットカード情報入力用テンキーパッド「SREDKey*5」とルミーズ・ベリトランス決済センター間で、情報を暗号化し伝送、決済処理を行うソリューションです。

事業者スタッフが入力したクレジットカード情報はテンキーパッド内で暗号化され、ルミーズの決済サーバに送信されます。暗号化データは同サーバで複号化され、さらにベリトランスの決済サーバにてトークン化し、事業者サーバに送信します。これにより事業者とベリトランス間での決済処理はトークンを使用して実施され、事業者のネットワーク上でクレジットカード情報がまったく扱われない環境を実現します。

【データ連携フロー】

一連の伝送処理は完全に暗号化されており、カード決済処理が事業者の受注管理システムや業務PCを経由して行われる場合でも、クレジットカード情報を事業者のシステムやネットワークで保持、処理、通過することなく、既存の業務運用フローも大きく変更せずにセキュアな決済処理が完結します。

本ソリューションはベリトランスの決済ソリューション「VeriTrans4G トークン決済」を既に導入している加盟店では、システム改修工数をかけずに導入できます。また、専用のテンキーパッドは利用料が低価格に設定されており、導入・運用コストを抑えることが可能です。

ベリトランスの電話・FAX・はがき受注加盟店向けクレジットカード情報非保持化ソリューション

ベリトランスでは2012年より、電話受注加盟店向けに、オペレーターを介さず音声自動応答でクレジットカード決済が可能な非保持化ソリューション「IVR決済ソリューション」を提供しています。また、メールオーダー・テレフォンオーダー加盟店には、株式会社リンクが提供するCCT同等端末を利用した「PayTG」との連携及び外付けタブレット端末サービスと、外回り方式2種のソリューションを提供しています。

今回のサービス拡充により、メールオーダー・テレフォンオーダー事業者に対して行政が定める、すべての対策要件を満たすソリューション群が実現し、ベリトランスと契約している加盟店は、4種のサービスから、自社の業務体制・フローなどに応じて選択することができます。

今後も、ベリトランスは社会インフラとなったオンライン決済システムの担い手として、キャッシュレス社会の実現を目指すとともに、行政が推進する安全な取引とセキュリティ対策を支援していきます。

*1: PCI P2PE: カード加盟店のPOIデバイス(カードからデータを読み取る装置)で読み取ったカード情報を直ちに暗号化し、送信先の安全な復号環境へ到達するまでカード情報を保護する二拠点間の暗号化方式「P2PE」を実現するためのセキュリティ要件。
*2:「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画 -2018-」
https://www.j-credit.or.jp/download/news20180301l2.pdf
*3: PCI DSS: 「Payment Card Industry Data Security Standard」の略で、VISAやJCBなどクレジットカードの国際ブランドが共同策定したカード情報保護のためのグローバルセキュリティ基準。
*4: CCT: Credit Center Terminalの略。カードの有効性を確認するための信用照会端末。
*5: SREDKey: PIN入力を行う決済端末に求められるセキュリティ基準「PCI PTS」で、決済端末で読み取ったクレジットカード情報を端末内で即時に暗号化する等のセキュリティ要件「SRED」を満たした端末。

【VeriTrans4Gについて】

https://www.veritrans.co.jp/payment/
クレジットカード、コンビニ、銀行などの基本決済はもとより、電子マネー、ポイント、通信キャリア決済、各種ID決済や、銀聯、Alipay、PayPalなどに代表される国際決済など業界最多の決済手段に対応した次世代型総合決済ソリューションです。多様な決済手段に加え、高いセキュリティとユーザー利便性を併せ持つ進化したトークン決済、リンク決済や、決済システムに標準実装された高精度な不正検知ソリューションなど、「実行計画」にてEC事業者に求められている「クレジットカード情報の非保持化」、「ECでの不正使用防止対策」に完全準拠したソリューション群を提供しています。

【ベリトランスについて】

https://www.veritrans.co.jp/
デジタルガレージグループで、オンライン決済事業を展開する決済プロバイダー。近年では、バーコード決済やPOS向け決済ソリューションの提供など、対面市場を対象とした決済事業も展開。DGグループのイーコンテクストと共に、グループ全体で日本最大規模のオンライン決済プロバイダーとして、行政・クレジットカード業界への提言、政策や業界動向に応じたサービスのスピーディーな提供など、事業者・消費者に必要とされる安全安心な環境、ソリューションを拡充するとともに、社会インフラの担い手としてキャッシュレス社会の実現に貢献していきます。

【ルミーズについて】

http://www.remise.jp/
2001年よりEC決済代行サービスを展開、近年では、対面決済サービスやマーケティング、セキュリティ支援コンサルティング等、用途や顧客層に応じた総合的な決済ソリューションをご提案・ご提供いたしております。