NRIセキュア、クレジットカード製造におけるセキュリティ基準「PCI CP」の準拠支援および審査サービスを提供開始

NRIセキュアテクノロジーズのプレスリリース

NRIセキュアテクノロジーズ株式会社(本社:東京都千代田区、社長:柿木 彰、以下「NRIセキュア」)は、クレジットカード等の製造事業者向けの国際的なセキュリティ基準「PCI Card Production and Provisioning(以下「PCI CP」)」[ⅰ] への準拠を支援し、かつ製造プロセスがPCI CPに適合しているかどうかを審査する、「PCI CP準拠支援コンサルティング/審査サービス(以下「本サービス」)」の提供を、本日開始します。

■ カードの安全性を強化する基準「PCI Card Production and Provisioning」
PCI CPは、5大クレジットカードブランドが設立した団体「PCI SSC」[ⅱ]によって策定された、国際的なセキュリティ基準です。プラスチック製のクレジットカードの製造に加えて、スマートフォンやスマートウォッチなどの端末にカード情報を登録する「モバイルプロビジョニング」におけるセキュリティ要件がまとめられており、カード製造やモバイルプロビジョニングに関わる事業者は、PCI CPに準拠することが求められています。

PCI CPに準拠しているかどうかの審査は、PCI SSCが認定した審査機関「CPSA(Card Production Security Assessor)」によって行われます。NRIセキュアは2021年4月にCPSAに認定されました。これは日本企業としては初めてであり、世界では15番目です[ⅲ]。

■ 本サービスの概要
本サービスの対象となるのは、クレジットカードを製造する事業者や、モバイルプロビジョニングを行う事業者です。PCI SSCに認定されたNRIセキュアの審査員が、PCI CPの各セキュリティ要件と現状とのギャップ分析をはじめ、効果的な対策案の提示、訪問審査までを一括して行います。

PCI CPに準拠するためには、物理セキュリティと論理セキュリティの2つから構成される要件を完全に満たすことが求められます。物理セキュリティ要件には、カード製造に関わる人員管理、厳密な施設セキュリティ、製造から梱包・発送に至る各プロセスにおける手順や作業証跡の記録に関わる要件が含まれます。また、論理セキュリティ要件には、ネットワークセキュリティ、システムセキュリティ、アクセス制御、そして暗号化鍵の管理を含むデータセキュリティに関わる要件が含まれます。
 

今回、CPSAの認定を取得したことによって、NRIセキュアはPCI SSCが認定する各種資格のうち、日本企業で最も多い8つの資格を有することになります。決済セキュリティに関する国内トップクラスの豊富な知見や実績を生かして、企業のPCI CPへの準拠を支援するとともに、今後も安全・安心なキャッシュレス決済の普及に貢献していきます。

[ⅰ]  PCI Card Production and Provisioning:
PCI SSC(PCI Security Standards Council)によって、クレジットカード等の製造事業者向けのセキュリティ基準として「PCI Card Production」が2013年に策定された。現在は、「PCI Card Production and Provisioning」として改訂されている。

[ⅱ] PCI SSC:
Payment Card Industry Security Standards Councilの略称。国際クレジットカードブランド会社5社(VISA、MasterCard、JCB、American Express、Discover)が設立した、クレジットカードのセキュリティ基準の開発、管理、教育、および認知を実施する有限責任会社のこと。 [ⅲ] 認定された審査機関の一覧は次のWebサイトをご参照ください。https://www.pcisecuritystandards.org/assessors_and_solutions/card_production_security_assessors