![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2023-02-22T00:10:27+00:00","default:admin","admin") #author("2023-02-22T00:12:44+00:00","default:admin","admin") -[[キャッシュレス・ロードマップ 2020:https://www.paymentsjapan.or.jp/wordpress/wp-content/uploads/2020/06/roadmap2020.pdf]] -[[VisaのTap to Phone、 世界の店舗の決済を大きく変える:https://www.visa.co.jp/about-visa/newsroom/press-releases/nr-jp-201022.html]] *非保持化 [#w2d93022] -[[クレジットカード情報の非保持化:https://www.sbpayment.jp/support/ec/card_security/]] -「非保持化」とは、事業者さまが保有する機器・ネットワークにおいてカード情報を『保存』・『処理』・『通過』しないことを指す *内回り/外回り [#ya2450e0] -[[カード決済の現場が大きく変化した2018年。メールオーダー・テレフォンオーダー加盟店は現状の対応のままで大丈夫?:https://www.veritrans.co.jp/tips/column/ECnoMikata_MOTO.html]] -[[非保持化 | CAFIS:https://solution.cafis.jp/nonretention/]] -[[カード情報を内回りで処理できる「PCI P2PE」の仕組みや考え方は?:https://paymentnavi.com/paymentnews/103126.html]] -[[改正割賦販売法に向けた「実行計画2018」の対策ポイント徹底解説:https://www.nri-secure.co.jp/hubfs/e-book/Secure_SketCH_kaisei_kappu_hanbaihou.pdf]] **外回り方式 [#wd6bc936] ***IC対応の決済専用端末連動型・ASP/クラウド接続型 [#wa9dd854] -IC対応済専用端末を利用 -カード情報を決済専用端末から直接外部の決済ネットワークに伝送する方式 -カード情報以外である金額や決済結果等は内部連携可能 **内回り方式 [#cba9cb3b] -内回り方式は、暗号化したカード情報が加盟店システムを通過する方式 -既存業務フローをほぼそのまま維持でき、システムフローも小幅な変更で済むため、多くのニーズがある -ただし、11項目のセキュリティ要件を満たすか、PCI P2PE認定ソリューションの導入が必要 ***PCI P2PE認定ソリューションの採用(認定端末の利用) [#dcb79a93] -PCI P2PEソリューション導入により、11項目のセキュリティ要件を満たす必要がなくなるため、非常に対応がしやすくなる -PCI DSS準拠の場合、約400の監査項目数が「SAQ P2PE」適用でわずか33項目となり、大幅に監査項目を減らすことができる ***セキュリティ基準(11項目)を満たした上で、決済代行事業者に接続 [#s07e67d5] -以下のいずれかの端末を使用 --PA-DSSに準拠したアプリケーション搭載のPOS --PCI PTSに準拠した決済専用端末 -かつ、ネットワークの分離やウイルス対策などのPCI DSS要件を抜粋したようなセキュリティ基準(11項目)を満たし、PCI DSS準拠した決済代行事業者などに連携 **セキュリティ基準(11項目) [#d695289b] -[[クレジットカード・セキュリティガイドライン【2.0 版】:https://www.j-credit.or.jp/security/pdf/plan_2021.pdf]] -[[対面加盟店における非保持と同等/相当のセキュリティ確保を可能とする措置に関する具体的な技術要件について(1.2版):https://www.j-credit.or.jp/download/news20201225a2.pdf]] *EMV [#ea31ca2d] -[[EMVCo:https://www.emvco.com/]] --[[A Guide to EMV Chip Technology:https://www.emvco.com/wp-content/uploads/2017/05/A_Guide_to_EMV_Chip_Technology_v2.0_20141120122132753.pdf]] -[[書籍「キャッシュレス・セキュリティガイド」:https://paymentnavi.com/books/cashlesssecurity-guide]] -[[EMVって?クレジットカードのセキュリティにまつわる知識:https://squareup.com/jp/ja/townsquare/card-security-such-as-emv]] -[[EMV仕様:https://www.ifinance.ne.jp/glossary/creditcard/cre132.html]] -[[EMVとは?ICチップ搭載クレジットカードの統一規格について:https://www.robotpayment.co.jp/blog/creditcard/3957/]] -[[2020年3月のクレカIC対応義務化が日本の決済を変える?:https://www.watch.impress.co.jp/docs/series/suzukij/1214576.html]] -[[カード決済のモバイル化を進めるEMVCoとPCI SSCの動き:https://insight.infcurion.com/business/emvco-and-pcissc-for-mobile-payment/]] -[[不正利用の対策になる?EMVとは?:https://www.univapay.com/column/news-emv/]] -[[改正割賦販売法について:https://www.caa.go.jp/policies/policy/local_cooperation/local_consumer_administration/meeting_001/pdf/meeting_001_180419_0017.pdf]] **概要 [#a6504032] -EMVはEuropay、Mastercard、VISAの頭文字を取ったもので、ICカードに関する国際規格 -クレジットカードに搭載されるICチップ、また事業者が利用するクレジットカードの決済端末ともに、この国際規格に準拠する必要がある **EMV Contactless [#r9277b17] -[[EMVコンタクトレス(EMV Contactless):https://xtech.nikkei.com/atcl/nxt/keyword/18/00002/022200160/]] **リーダー [#l461d2e7] -[[EMV対応NFCリーダ/ライタモジュール:https://www.satori.co.jp/wireless/products_solutions/nfc_whats/nfc_lineup/nfc_read-write.html]] -[[EMVとは?ICチップ搭載クレジットカードの統一規格について:https://www.robotpayment.co.jp/blog/creditcard/3957/]] -[[EMVって?クレジットカードのセキュリティにまつわる知識:https://squareup.com/jp/ja/townsquare/card-security-such-as-emv]] -EuroPay(ユーロペイ)、Mastercard International(マスターカード・インタナショナル)、およびVisa International(ビザ・インターナショナル)の間で合意したICカードの統一規格で、三社の頭文字を取って名付けられた ***OEM用 [#m1505a95] -[[mDynamo:https://www.magtek.com/product/mdynamo]] -[[OEM支払い:https://idtechproducts.com/products/category/oem-payments/]] -[[SINGULAR:https://www.singular.com.tw/]] -[[Smart Credit Card Reader ZW-12026-5:https://zoweetek.com/product-item/usb-smart-card-reader-zw-12026-5/]] **関連チップ [#cc59907d] -[[エンベデッドセキュリティデバイス:https://www.maximintegrated.com/jp/products/embedded-security.html]] -[[SECURE MICROCONTROLLERS NFC OVERVIEW:https://www.maximintegrated.com/jp/design/technical-documents/app-notes/7/7411.html]] ***[[MAX32561:https://www.maximintegrated.com/jp/products/embedded-security/MAX32561.html]] [#ydbc7bbb] ***MAX32560 [#t435aa5d] -[[MAX32560-KIT:https://www.maximintegrated.com/jp/products/microcontrollers/MAX32560-KIT.html]] -[[Maxim、EMV非接触ペイメント端末を簡素化するDeepCoverセキュアマイクロコントローラを発表:https://www.maximintegrated.com/jp/aboutus/newsroom/2016/secure-microcontroller-simplifies-EMV-contactless-payment-terminals.html]] ***DS8007 [#h3fe0759] -[[DS8007-KIT:https://www.maximintegrated.com/jp/products/interface/controllers-expanders/DS8007-KIT.html]] ***DS8113 [#h68b2343] -[[DS8113-KIT:https://www.maximintegrated.com/jp/products/interface/controllers-expanders/DS8113-KIT.html]] ***STmicroerectronics [#ha0b1efa] -[[STマイクロエレクトロニクス、EMVデュアルとFeliCaの1チップ対応など国内事業は順調に成長:https://paymentnavi.com/paymentnews/111015.html]] ***NXP [#geba8e16] -[[Linux Point of Sale (POS) Reader:https://www.nxp.com/design/designs/linux-point-of-sale-pos-reader:SLN-POS-LRDR]] --[[MCIMX6G3CVM05AB:https://www.nxp.com/part/MCIMX6G3CVM05AB#/]] --[[PN5190: NFC Frontend supporting challenging RF environment for payment, physical access control:https://www.nxp.com/products/rfid-nfc/nfc-hf/nfc-readers/nfc-frontend-supporting-challenging-rf-environment-for-payment-physical-access-control:PN5190]] **関連ソフトウェア [#r5d1dc48] ***[[Amadis:https://teamamadis.atlassian.net/wiki/spaces/agnoswiki/overview]] [#v6e7be3e] -[[Amadisがnexo標準を活用して国際決済受け付けを簡素化:https://www.businesswire.com/news/home/20200929005032/ja/]] **関連ライブラリ [#c49f7862] -[[9 best open source emv projects. - Findbestopensource.Com:https://www.findbestopensource.com/tagged/emv]] *PCI [#a9d1d68d] -[[PCI SSC:https://ja.pcisecuritystandards.org/minisite/env2/]] --[[DOCUMENT LIBRARY:https://ja.pcisecuritystandards.org/document_library]] -[[PCIクイックリファレンスガイド:https://ja.pcisecuritystandards.org/_onelink_/pcisecurity/en2ja/minisite/en/docs/PCISSC+Quick+Guide+print+CS3_JA-JP.pdf]] -[[PCI DSSとPCI PTSについて:https://ftsafe.co.jp/blog/pci-dss/]] **PCI-DSS [#v43a71a6] -[[5分で絶対に分かるPCI DSS:http://www.atmarkit.co.jp/fsecurity/special/126pcidss/pcidss00.html]] -[[セキュリティ基準「PCI DSS」:http://itpro.nikkeibp.co.jp/article/COLUMN/20080407/298166/]] -[[PCI DSSとは:http://www.jcdsc.org/pci_dss.php]] -[[【今さら聞けない】誰でもわかる PCI DSSの要件と対応方法:https://www.tis.jp/special/platform_knowledge/pci01/]] -[[クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画:http://www.meti.go.jp/committee/sankoushin/shojo/kappuhanbai/pdf/018_03_00.pdf]] -[[「クレジットカード・セキュリティガイドライン FAQ:https://www.j-credit.or.jp/security/pdf/security_guideline_faq.pdf]] -PCI DSS は、カード会員データを保存、処理、または送信するあらゆる事業体に適用される -カード会員データに含まれる、または関連する技術面および運用面のシステムコンポーネントが対象になる -ペイメントカードを受け入れる、または処理する加盟店は、PCI DSS に準拠する必要がある ***PCI DSS要件 [#bc9ae950] -安全なネットワークの構築と維持 --要件1: カード会員データを保護するために、ファイアウォールをインストールして構成を維持する --要件2: システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない -カード会員データの保護 --要件3: 保存されたカード会員データを保護する --要件4: オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する -脆弱性管理プログラムの整備 --要件5: アンチウィルスソフトウェアまたはプログラムを使用し、定期的に更新する --要件6: 安全性の高いシステムとアプリケーションを開発し、保守する -強固なアクセス制御手法の導入 --要件7: カード会員データへのアクセスを、業務上必要な範囲内に制限する --要件8: コンピュータにアクセスできる各ユーザに一意の ID を割り当てる --要件9: カード会員データへの物理アクセスを制限する -ネットワークの定期的な監視およびテスト --要件10: ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する --要件11: セキュリティシステムおよびプロセスを定期的にテストする -情報セキュリティポリシーの整備 --要件12: すべての担当者の情報セキュリティポリシーを整備する. **PCI PA-DSS [#u2697c26] -PA-DSS は、承認または決済の一部としてカード会員データを保存、処理、または送信し、第三者に販売、配布、またはライセンス供与されるペイメントアプリケーションのソフトウェア開発者およびインテグレータを対象としている -多くのカードブランドは、PCI SSC によるテストを受けて承認されたペイメントアプリ ケーションを使用することを加盟店に推奨している -[[検証済みアプリケーションのリスト:https://www.pcisecuritystandards.org/security_standards/pa_dss.shtml]] **PCI-PTS [#kbdf6c3c] -[[Document Library:https://www.pcisecuritystandards.org/document_library]] ... PTSでフィルタをかける --[[Payment Card Industry (PCI) PIN Transaction Security (PTS) Hardware Security Module (HSM):https://www.pcisecuritystandards.org/documents/PCI_HSM_Security_Requirements_v3_2016_TOC.pdf]] --[[Payment Card Industry (PCI) PIN Transaction Security (PTS) Point of Interaction (POI):https://www.pcisecuritystandards.org/documents/PCI_PTS_POI_SRs_v6.pdf]] --[[HSM Evaluation Vendor Questionnaire:https://www.pcisecuritystandards.org/documents/PCI_HSM_Security_Requirements_v3_2016_TOC.pdf]] --[[Point of Interaction (POI) Modular Evaluation Vendor Questionnaire:https://www.pcisecuritystandards.org/documents/PCI_PTS_POI_VQ_v5-1.pdf]] --[[General Frequently Asked Questions:https://www.pcisecuritystandards.org/documents/PCI_PED_General_FAQs.pdf]] --[[PTS HSM Technical Frequently Asked Questions:https://www.pcisecuritystandards.org/documents/PTS_HSM_Technical_FAQs_v3_Dec_2020.pdf]] --[[PTS POI Technical Frequently Asked Questions:https://www.pcisecuritystandards.org/documents/PTS_POI_Technical_FAQs_v6_April_2021.pdf]] --[[PTS Security Requirements FAQ:https://www.pcisecuritystandards.org/documents/pci_pts_faqs.pdf]] -[[APPROVED PTS DEVICES:https://www.pcisecuritystandards.org/assessors_and_solutions/pin_transaction_devices?agree=true]] -[[「PCI-PTS」の重要性について‐CAFIS Archに対応した安心・安全な決済端末(上):https://paymentnavi.com/paymentnews/59143.html]] -[[「PCI-PTS」の重要性について‐CAFIS Archに対応した安心・安全な決済端末(下):https://paymentnavi.com/paymentnews/59145.html]] -[[PCI-PTSの必要性と、認証クラス(Non-PEDとSCR)【FIME JAPANの技術解説】:https://paymentnavi.com/paymentnews/108013.html]] -[[PIN入力装置のセキュリティ基準「PCI PTS POI」認定取得の概要は?:https://paymentnavi.com/paymentnews/103217.html]] -PCI PTS(旧 PCI PED)は、カード会員の PIN およびその他の支払い処理関連の行為を保護する装置の特性と管理に重点を置いた一連のセキュリティ要件 -製造業者を対象とし、装置の設計、製造、および装置を実装する事業体への装置の輸送に関する要件を規定している -金融機関、プロセサー、加盟店、サービスプロバイダは、PCI SSC([[https://www.pcisecuritystandards.org/security_standards/ped/pedapprovallist.html]])によるテストを受けて承認された装置またはコンポーネント以外を使用してはならないものとされている -PCI SSCが策定しているセキュリティ基準には、決済端末(mPOS)を開発する「ベンダー」に求められるセキュリティ規格として「PCI PTS」がある -PCI PTSは、PIN入力を行う決済端末で確保されるべきセキュリティ要件 -PCI PTSに対応した端末を用いた PCI P2PE ソリューションの導入により、POS加盟店は、POS端末内にカード情報が残らず、情報漏洩のリスクを低減でき、PCI DSS準拠に必要な審査項目が大幅に削減されることで、監査に関する負担も軽減される -「PCI PTS」は、有効期間が定義されている -1つのマイナーバージョンで「PCI PTS」規格として認められる有効期間は9年間で、さらに3年ごとにマイナーバージョンアップが行われ、新しいバージョンがリリースされている **関連規格 [#k80f3592] -[[ISO/TC 68 が担当している国際標準規格等について:https://www.boj.or.jp/paym/iso/isotc68/data/kikakuichiran.pdf]] ***FIPS 140-2 [#k6237d7f] ***ANSI X9.24 [#jd748c3f] -暗号鍵の配信・注入に関する規定 ***ANSI TR-31 [#q49743fd] -暗号鍵の配信・注入に関する規定 ***ISO 9564 [#mde56c1a] -金融取引を行う際の本人確認で用いられる暗証番号(PIN)の安全性を確保する仕組みを既定 -金融機関の取引カード(キャッシュカード、クレジットカード、デビットカード)等とともに利用される暗証番号(PIN:Personal IdentificationNumber)について、その設定、保管、入力、送信等に関する一般的な規則を定めた規格 -共通鍵暗号を使用 ***[[ISO 11568:https://www.iso.org/standard/73993.html]] [#jc9e0355] -リテール金融分野、特に現金自動支払機/現金自動預払機(CD/ATM:Cash Dispenser/Automated Teller Machine)や販売時情報管理(POS:Point of Sales)のシステムで PIN を暗号化する際に、CD/ATM とセンターが暗号鍵を安全に共有するための鍵管理方式を定めた規格 ***ISO 16609 [#abe5ce34] -金融取引でやり取りされるデータにおける改ざんの有無を確認するための仕組みを既定 -金融サービス関連のメッセージの完全性を保護し、メッセージが許可されたソースから発信されたことを確認するための、送信プロセスとは独立した手順を定めた規格 -メッセージ認証コード(MAC: Message Authentication Code)の計算用の承認されたブ ロック暗号のリストについても紹介している -共通鍵暗号を使用 **関連製品 [#v22816f7] ***端末 [#l05b9e99] -[[JT-R600:https://biz.panasonic.com/jp-ja/products-services/mobile/lineup/jt-r600]] -[[「VP6800」 オールインワン型 PCI-PTS 5.x with PIN on Glass決済端末:https://www.eipc.jp/VendorIPDetail/5023.html]] ***OS [#ne5c18c9] -[[Armの組み込みLinux「Mbed Linux OS」が目指すセキュアな世界:https://monoist.atmarkit.co.jp/mn/articles/1903/15/news021.html]] *認定 [#gbfa91f8] -[[国内向け決済端末IC化対応の実務:https://paymentnavi.com/wp-content/uploads/2019/09/6818217bafe310a720bf0ccb3b9f4575.pdf]] -[[キャッシュレス決済試験サービス:https://www.tuvsud.com/ja-jp/industries/consumer-products-and-retail/digital-payment]] *関連技術 [#v2005f6c] **暗号 [#l20a0ae3] -[[ICカードに利用される暗号アルゴリズムの安全性について:EMV仕様の実装上の問題点を中心に:https://www.imes.boj.or.jp/research/papers/japanese/kk26-b1-3.pdf]] ***DUKPT [#m09d5844] -[[DUKPTによる暗号化の仕組み:https://pcireadycloud.com/blog/2018/10/01/2606/]] -[[DUKPTの概要とその応用:https://www.jnsa.org/jnsapress/vol36/3_kikou.pdf]] -[[POS システムにおける DUKPT 鍵管理の仕組み:https://go.intertrust.com/hubfs/Japanese%20Assets/POS%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8BDUKPT%E9%8D%B5%E7%AE%A1%E7%90%86%E3%81%AE%E4%BB%95%E7%B5%84%E3%81%BF.pdf?hsLang=ja]] *関連製品 [#yd09a5e4] **MCU [#qef79885] ***Maxim DEEPCOVER EMBEDDED SECURITY [#e99a82b9] -[[DEEPCOVER EMBEDDED SECURITY Solution Guide:https://www.maximintegrated.com/content/dam/files/design/technical-documents/solution-guides/DeepCover-Embedded-Security-Solutions-jp.pdf]] --[[旧版:https://pdfserv.maximintegrated.com/jp/sg/DeepCover-Embedded-Security-Solutions.pdf]] -[[DESIGNING NEXT-GENERATION PAYMENT TERMINALS THAT MEET PCI PTS 3.X REQUIREMENTS:https://www.maximintegrated.com/jp/design/technical-documents/app-notes/4/4809.html]] -MAX3259x --[[MAX32590:https://www.maximintegrated.com/jp/products/microcontrollers/MAX32590.html]] --[[MAX32591:https://www.maximintegrated.com/jp/products/microcontrollers/MAX32591.html]] --[[MAX32592:https://www.maximintegrated.com/jp/products/embedded-security/MAX32592.html]] --[[MAX32591-EVK:https://www.maximintegrated.com/jp/products/microcontrollers/MAX32591-EVK.html]] ... MAX32591およびMAX32592の評価キット -[[SECURE MICROCONTROLLERS NFC OVERVIEW:https://www.maximintegrated.com/en/design/technical-documents/app-notes/7/7411.html]] **ソリューション [#i48850e7] ***[[TIDEP-0093:https://www.tij.co.jp/tool/jp/TIDEP-0093]] [#b335d790] -[[TIDEP-0093(PDF):https://www.tij.co.jp/jp/lit/ug/jaju306/jaju306.pdf]] -[[TMDXEVM438X-EPOS Am438x 電子販売時点管理(EPOS)評価モジュール:https://www.tij.co.jp/tool/jp/TMDXEVM438X-EPOS]] --[[Mainline Linux ensures stability and innovation:https://www.tij.co.jp/jp/lit/wp/spry259/spry259.pdf]] --[[The Yocto Project:Changing the way embedded Linux software solutions are developed:https://www.tij.co.jp/jp/lit/wp/spry230/spry230.pdf]] -[[TPS65218:https://www.tij.co.jp/product/jp/TPS65218]] ... AM335x/AM437x ARM® Cortex™-A8/A9 SOC 用パワー・マネージメント -[[TCA5013:https://www.tij.co.jp/product/jp/TCA5013]] ... 1 枚のユーザー・カード + 3 枚の SAM 向け、スマート・カード・インターフェイス IC ***[[Point of Sale Solution | NXP:https://www.nxp.com/design/designs/point-of-sale-solution:POINT-OF-SALE-RDR]] [#c2eb3af5] **決済端末 [#o11f80e7] -[[IM10:https://www.paxjp.co.jp/im10]] --[[IM10- - MP Solutions:https://mp-solution.com/service/jmms/special/]] -[[iUC280:https://gmo-fg.com/news/2019/03/20190305153000.html]] -[[CREPiCO 決済サービス/端末:https://www.seiko-sol.co.jp/products/crepico/]] --[[シンクライアント決済ソリューション「Thinc-CORE(シンクコア)」 EMVレベル2認証取得でICクレジットカード対応を実現:https://www.seiko-sol.co.jp/archives/4725/]] -[[VEGAシリーズ:https://www.cardservice.asia/product/pdf/spec.pdf]] *ガイドライン [#fa8d2ae1] -[[NFC/FeliCa対応電子マネー端末開発時の注意事項(ガイドライン):https://www.felicatech.org/readerwriter/fukyu_terms_j.html]] *アクワイアラ [#yf786918] -[[アクワイアラとは?その仕組みと役割を解説:https://www.sbpayment.jp/support/ec/card_beginner/about-acquirer/]] -[[クレジット業界におけるアクワイアラとは何か?役割やイシュアとの違いを解説:https://frauddetection.cacco.co.jp/media/knowhow/1768/]] *SAMカード [#we135f8c] -[[What is the difference between SAM card and SIM card?:https://www.ocominc.com/news/What-is-the-difference-between-SAM-card-and-SIM-card.html]]
