2020年オリンピック・パラリンピック東京大会開催に向けての SAQによるPCI DSSへの取組み

前回のPCI DSS徹底解説(2020年オリンピック・パラリンピック東京大会開催に向けての「Prioritized Approach for PCI DSS」活用のすすめ)にて、クレジットカード取引のセキュリティ対策強化に向けた「実行計画」が公表されたことを紹介しましたが、さらに2016年12月「割賦販売法の一部を改正する法律」が公布され、加盟店へのクレジットカード情報などの適切な管理および不正使用の防止、カード会社などへの加盟店に対する管理強化が法律により義務付けられることが決まりました。

今後、本法律の施行により加盟店に対する管理が強化され、その結果「実行計画」に基づいたPCI DSS準拠の要請はより一層強まっていくものと推察されます。
そこで、前回に引き続き、PCI DSSへの取組みを効果的に進めていくためのツールを紹介したいと思います。
今回は、PCI DSSの準拠状況を検証するための「SAQ (Self-Assessment Questionnaire)(自己問診)」というツールです。

SAQ(Self-Assessment Questionnaire)(自己問診)とは

SAQは、加盟店やサービスプロバイダーがPCI DSSの準拠状況を自己評価することを支援するための検証ツールです。
クレジットカード情報を取扱う環境の特徴に応じた数種類のバージョンが用意されており、組織は自分達の環境に適したSAQを選択し、そのSAQで定義されているPCI DSSの該当要件の検証が求められます。
SAQの特徴に応じて該当する要件のみが定義されていますので、選択するバージョンによっては検証負担の軽減が期待できます。
ただし、それぞれのSAQでは明確な適用条件が定義されていますので、その条件に示されない環境を一部でも有している場合は、SAQ DによりPCI DSSの適用可能なすべての要件を検証することが必要となります。

SAQ
バージョン
概要
APCI DSS準拠のサービスプロバイダにすべての支払処理(電子的なカード会員データの伝送、処理、保存)を完全委託しているEコマースなどの非対面取引加盟店
A-EPPCI DSS準拠のサービスプロバイダにすべての支払処理(電子的なカード会員データの伝送、処理、保存)を委託しているが、ウェブサイトのシステム構成上、支払処理へのセキュリティ考慮が必要となるEコマース取引加盟店
B電子的にカード会員データを保存しない、インプリンターまたはスタンドアローン型のダイヤルアップ端末のみを使用する加盟店
B-IP電子的にカード会員データを保存しない、決済プロセッサーにIP接続されるスタンドアローン型のPTS認定の決済端末のみを使用する加盟店
C-VTPCI DSS検証済みのサードパーティサービスプロバイダによって提供されるインターネットを介した仮想決済端末ソリューションを用いて、一度に1つの取引を手動入力し、電子的にカード会員データを保存することの無い加盟店
C電子的にカード会員データを保存しない、インターネットに接続された決済アプリケーションシステム(POSシステムなど)を使用する加盟店
P2PE電子的にカード会員データを保存しない、PCI SSCのリストにある検証済みのP2PEソリューションに含まれるハードウェア決済端末のみを使用する加盟店
D加盟店向けのSAQ D:
上記のSAQタイプの説明には含まれない加盟店
サービスプロバイダ向けのSAQ D:
SAQの完了資格があるとペイメントブランドによって定義されたサービスプロバイダ

出所:PCI SSC「SAQ Instructions and Guidelines Version 3.2」Selecting the SAQ and Attestation that Best Apply to Your Organizationの表を元に意訳

またSAQは、組織の契約アクワイアラにPCI DSSの準拠ステータスを検証し、報告する手段としても認められることがあります。
ただし、SAQによる自己問診結果の報告で許容されるか、あるいはQSA(Qualified Security Assessor)による訪問審査を受審して審査結果を報告する必要があるかは、カードブランドごとに要件が定められており、カード決済の年間取扱量や過去に情報流出事故を起こしたか否かなどによってレベル分けされます。
なお、レベル分けを行うためのカード決済の年間取扱量の判断はアクワイアラによって決定されますので、SAQでの検証および報告が許容されるかはカードブランドや契約アクワイアラにコンタクトを取り、指示に従ってください。

各バージョンのSAQの特徴

以下にSAQのそれぞれのバージョンの特徴を紹介いたします。
SAQを選択できる可能性があるか、あるいは今後条件を満たせる環境に変えていくことができるか、自組織の環境をイメージしながら見ていただければと思います。
なお、それぞれのSAQの適用条件の詳細は以下の「Instructions & Guidance」をご参照ください。

  • (1) SAQ Instructions and Guidelines v3.2 (PDFファイル、英語)
  • (2) Understanding SAQs for PCI DSS v3 (PDFファイル、英語)

1. SAQ AとA-EP

SAQ Aは、クレジットカードでの支払処理をPCI DSS検証済みのサービスプロバイダーに完全委託しているEコマースまたは通信販売などの非対面取引加盟店に適用されます。
一方、SAQ A-EPは、Eコマース加盟店を対象とし、支払処理をサービスプロバイダーに委託している場合に適用される点はSAQ Aと似ていますが、サービスプロバイダーが提供する機能の呼出し方法の特性上、呼出し元の加盟店ウェブサイトに与えるセキュリティ影響がSAQ Aでの方法より大きいとされ、PCI DSSのシステムセキュリティ関連の要件が適用される点がSAQ Aと異なります。
具体的には「Understanding SAQs for PCI DSS」にて、それぞれ以下の内容が例示されています。

SAQ Aの場合

  • 自社のウェブサイトでは一切クレジットカード情報を入力させず、iframeやURLリダイレクト機能によって呼出したサービスプロバイダーが提供するページ上でクレジットカード情報を入力する仕組み

SAQ A-EPの場合

  • 自社のウェブサイト上でクレジットカード情報の入力ページを生成し、入力ページ上から直接サービスプロバイダーにデータ伝送する仕組み
  • 自社のウェブサイト上でサービスプロバイダーが提供するJavaScriptを読込み、入力ページを生成する仕組み

SAQ AとA-EPでは適用対象となる要件数に大きく違いがありますが、サービスプロバイダーを利用しているからといって単純にSAQ Aを選択し、必要な要件への対処が漏れていたということにならないよう、SAQの適用条件を満たしたシステム構成となっているか、QSAやサービスプロバイダーに確認し、慎重に判断してください。

2. SAQ BとB-IP

SAQ B、B-IPともに、対面取引加盟店で使用されているスタンドアローン型の決済端末が適用対象です。
どちらにも共通する適用条件としては、決済端末が自社内の他のシステムに接続されていないこと、クレジットカード情報は電子的に一切保持せず領収書などの紙情報としてのみ保持することなどが挙げられます。
一方、SAQ BとB-IPの違いですが、以下のように使用する決済端末とプロセッサーへの接続形態によって異なります。

SAQ Bの場合

  • 電話回線を介してのみプロセッサーに接続する決済端末

SAQ B-IPの場合

  • プロセッサーにIP接続するPCI DSSのPTS認証を取得した決済端末(セキュアカードリーダーは除く)

SAQ Bは一切IP接続の無いスタンドアローン端末であるため、適用対象となる要件は物理的な管理要件が中心となりますが、IP接続のあるSAQ B-IPでは決済端末および接続経路上のネットワークセキュリティや脆弱性管理要件も適用される点に違いがあります。

3. SAQ C-VT

SAQ C-VTは、対面取引または通信販売などの非対面取引加盟店にて、インターネットに接続されたウェブブラウザによってPCI DSS検証済みのサービスプロバイダーが提供するウェブサイトにアクセスし、クレジットカード情報を手動入力して支払処理を行うようなケースが想定されています。
ただし、このようなサービスプロバイダーのウェブサイトを使用しているだけでSAQ C-VTが適用できるわけではなく、本サイトを使用する端末の設置環境についても、以下のような条件を満たす必要があります。

適用条件の例

  • 物理的またはファイアウォールなどによるネットワークセグメンテーションにより、他の場所やシステムから端末が隔離されている
  • 電子的にクレジットカード情報は一切保持していない
  • 端末上にクレジットカード情報を自動でキャプチャ、保存するようなソフトウェアがインストールされていない

そのためSAQ C-VTでは、対象となる端末のアカウント管理やウイルス対策、脆弱性管理要件、および端末設置環境のネットワークセキュリティや物理セキュリティ要件などが求められます。

4. SAQ CとP2PE

SAQ CおよびSAQ P2PEともに、インターネットに接続されたPOS(販売時点情報管理)システムや他の決済アプリケーションを介してクレジットカード情報を処理する加盟店に適用されます。
SAQ Cはクレジットカード情報を処理するPOSシステムなどに適用され、その前提として、物理的またはファイアウォールなどによるネットワークセグメンテーションによってPOSシステムなどが他のシステムに接続されないよう隔離することが求められます。
一方、SAQ P2PEでは、そのような適用条件は求められません。
SAQ P2PEは、PCI SSCによってポイントツーポイント暗号化(P2PE)ソリューションとして承認されたリストに掲載された決済端末のみを使用して、カード会員データを処理する加盟店向けに開発されたSAQです。
P2PEは決済端末でクレジットカード情報を読み取った瞬間から決済プロセッサーの特定のポイントに到達するまで復号しないエンドツーエンドの暗号化を実現する仕組みであり、加盟店側では平文のクレジットカード情報へのアクセス権を一切持たない構成となりますので、システムセキュリティに関する多くの要件が除外され、主に端末の物理的な管理やセキュリティポリシー要件のみが適用対象となります。
なお、P2PE検証済みの決済端末の使用にあたっては、該当するPCI DSS要件への準拠に加えて、P2PEソリューションプロバイダが提供するP2PE取扱説明書(PIM)に従い、説明書に記載されたすべてのコントロールを実装したかも問われますので、ご注意ください。

5. SAQ D

SAQ Dは、サービスプロバイダー、および前述のSAQに該当しない加盟店向けの2種類が用意されています。
前述の条件を満たさない場合に適用されるSAQとなりますので、すべてのPCI DSS要件を検証することが求められます。

まとめ

繰り返しになりますが、SAQは明確な適用条件が定義されていますので、真に適用条件を満たしているか否かは慎重に評価する必要があります。
例えば、決済処理を外部のサービスプロバイダーに委託しているEコマース加盟店であるため、SAQ Aで問題無いだろうと安易に考えていたところ、実はカード会員データをログに出力、保持しており、本来はすべてのPCI DSS要件の検証が必要となりますが、SAQ Aを選択したことにより未検証の要件への対応がなされず、カード会員データの漏えいにつながってしまうといったリスクがあります。
そのため、カード会員データのフローや所在など、自組織の環境を正確に把握し、対象となる環境が適用条件を満たしているかを慎重に評価することで間違いのないSAQバージョンの選択を行うことが重要です。
とはいえ、条件を満たせばPCI DSSの対象要件を大きく削減できる可能性がありますので、PCI DSS準拠への取組みの第1歩として、まずはSAQ適用の可能性を確認してみてはいかがでしょうか。

Writer Profile

セキュリティ事業部
セキュリティコンサルティング担当 チーフコンサルタント
堀 茂人(CISSP、QSA)


2020年オリンピック・パラリンピック東京大会開催に向けての SAQによるPCI DSSへの取組み