インドの支払カード業界データ・セキュリティ基準 PCI DSS www.deekpay.com

インド2015年に政府が開始したデジタル・インディア・プログラムと、2016年11月のデーモン化推進は、同国のデジタル・エコシステムを大きく後押しした。DigiShalaのようなイニシアチブに加え、政府は国内の「キャッシュレス経済」のためのエコシステムの構築に取り組んでいる。また、全国光ファイバー網（NFON）やインド統一決済インターフェース（IPI）などの構想も進行中である。UPI)、Bharat Money Interface (BHIM - インターネット・ベースのモバイル・アプリケーション)の導入は、デジタル決済への迅速な導入と移行に役立つだろう。

これは結局、クレジットカード情報を盗もうとするサイバー・スリの機会を増やすことになる、暗証番号 コード、モバイルウォレット、そして資金の窃盗。サイバーセキュリティは、デジタル決済エコシステムの関係者が直面する最も重大な課題の1つである。デジタル決済を好むインド人ユーザーが増えるにつれ、サイバー詐欺、情報窃盗、マルウェア攻撃などのサイバーセキュリティリスクにさらされる可能性も高まっている。

インドにおける新たな支払いモデル

インド・ペイメント業界における最大の変化のひとつは、支払い方法の多様化である。携帯端末は、取引の手軽さと利便性により、他のあらゆるチャネルを凌駕している。インド政府と銀行は、都市部でのデジタル決済の利用を促進し、内陸部への浸透を加速させるため、いくつかのイニシアチブをとっている。政府の後押しは、技術はあっても意欲に欠けるフィンテック企業の関心をも煽った。その中でインド準備銀行,インド国家支払公社と政府が共同で努力する。インド統一決済インターフェース (UPI）、インド通貨インターフェース（BHIM）、BHIM アドハーインド手形決済システム（BBPS）のようなシステムは、インドにおける決済のデジタル化のための強固な基盤を築いた。

現在インドで普及している主なデジタル決済方法を紹介しよう：

クレジットカード決済 - MasterCard、VISA、AMEX、JCB、Discoverなどの主要決済ブランド。 BHIMのようなUPIアプリ。 Paytm、FreeCharge、PhonePeのようなウォレットアプリ。 AEPS（Aadhar決済システム）。 モバイル・バンキング

インドにおける決済のサイバーセキュリティ

さまざまなデジタル決済方法を利用する際、機密データがいかなる形でも漏洩しないようにするためには、デバイス間の強固なセキュリティが絶対に必要である。

カードデータに関しては、インドにはPCI DSS（Payment Card Industry Data Security Standard）があり、これはカード会員データの保存、処理、送信のための安全な環境を確保するために設計された一連の厳格なガイドラインである。

ウォレット・アプリケーションのコンプライアンス RBI(インド準備銀行）のRBI/DPSS/2017-18/58、マスター・インストラクションDPSS.CO.PD.No.1164/02.14.006/2017-18 PPI (前払式支払手段) ガイドライン

バッキング UPI決済サービスは以下の通り。 エヌピーシーアイ サーキュラーNPCI/UPI/OC No.15B/2017-18で策定されたガイドライン。

インドのPCI DSS（Payment Card Industry Data Security Standards）とは何ですか？

インドのPayment Card Industry Data Security Standards（PCI DSS）は、Visa、MasterCard、Discover Financial Services、JCB International、American Expressによって2004年に設立された一連のセキュリティ基準委員会である。このコンプライアンス・プログラムはPCI Security Standards Council（PCI SSC）によって管理されており、クレジットカードやデビットカードの取引をデータの盗難や不正行為から保護することを目的としている。

クレジットカードやデビットカードの利用が急増しているインドでは、PCI DSS コンプライアンスは、ペイメントカードデータのセキュリティを確保するために企業にとって非常に重要です。PCI SSCには準拠を義務付ける法的権限はありませんが、クレジットカードやデビットカードの取引を処理する事業者にとっては必須の要件です。インドでPCI認証を取得することは、機密性の高い金融情報を保護するだけでなく、現地およびグローバルな情報セキュリティ規制への準拠にも役立ちます。この認証は、顧客の信頼を維持し、国の決済システムの完全性を確保するために不可欠です。

インド・ペイメント PCI DSS準拠レベル

インドのペイメントカード業界のD-S-S準拠は4つのレベルに分けられ、組織が処理するクレジットまたはデビット取引の年間取引量によって決定される。各レベルは、組織が準拠を維持するために満たすべき要件を定義している。

年間100万～600万件のクレジットカードまたはデビットカード取引を処理するサービス・プロバイダーが対象。年1回の自己評価アンケートに回答し、承認されたスキャニング・ベンダー（ASV）による四半期ごとのネットワーク・スキャンを受けることが義務付けられている。 年間100万件から600万件のクレジットカードまたはデビットカード取引を処理するプロバイダは、このカテゴリーに属します。これらのプロバイダは、SAQ を使用した年次評価を完了する必要があり、また四半期ごとの PCI スキャンを実施する必要がある場合もあります。 このレベルは、年間 20,000 ～ 100 万件の電子商取引を処理するサービスプロバイダに適用されます。これらのサービスプロバイダは、関連する SAQ を使用して年次評価を完了する必要があり、四半期ごとに PCI スキャンを実施する必要がある場合もあります。 電子商取引の処理件数が年間 20,000 未満またはライブトランザクションの処理件数が年間 100 万件までの加盟店は、この階層に属します。これらの加盟店は、関連する SAQ を使用して最終評価を完了する必要があり、四半期ごとに PCI スキャンを実施する必要がある場合があります。

さらに、継続的なコンプライアンスを確保するために、定期的な内部セキュリティ評価を受けなければならない。

インドのペイメントカード業界およびデータセキュリティ基準（PCI DSS）認証

PCI 認証は PCI SSC によって定義され、組織が厳格なセキュリティ要件を満たすことを保証します。主なプラクティスは以下のとおりです：

ファイアウォールの設置 データ通信の暗号化 アンチウイルスソフトの使用

さらに、インドの組織は PCI セキュリティ基準に準拠するために、カード会員データへのアクセスを制限し、 ネットワークリソースへのアクセスを監視する必要があります。

コンプライアンスは、企業が安全に取引を行えることを顧客に知らせる貴重な財産となる。逆に、コンプライアンス違反がもたらすコスト（金銭面、風評面の両方）は、情報セキュリティに真剣に取り組む経営者を納得させるのに十分なものである。

機密性の高い顧客情報が漏洩するデータ侵害は、ビジネスに深刻な影響を及ぼす可能性があります。情報漏えいは、罰金、訴訟、売上の減少、ペイメントカード発行会社の評判への深刻なダメージにつながる可能性があります。

侵害を経験した後、インドの企業は CC 取引の受付を停止しなければならなくなるか、準拠の初期コストよりも高い後払い手数料の支払いを余儀なくされる可能性があります。PCIセキュリティ・プログラムに投資することは、事業活動の他の側面を悪意のあるオンライン行為者から確実に保護することにつながります。

インドにおける決済 PCI DSS 準拠要件

PCI SSC は、カード会員データを処理し、安全なネットワークを維持するための 12 の要件を概説しています。これらの要件は 6 つのより広範な目標に広がっており、いずれも組織が準拠を達成するために必要なものです。

ファイアウォール設定をインストールし、維持する必要があります。 システムパスワードはオリジナルであること（ベンダーが提供したものではないこと）。 保存されたカード会員データは保護されなければならない。 公共ネットワークを介したカード会員データの送信は暗号化する必要があります。 アンチウィルスソフトウェアを使用し、定期的に更新する必要があります。 安全なシステムとアプリケーションを開発し、維持しなければならない。 カード会員データへのアクセスは、業務上必要なものに限定する必要があります。 コンピュータにアクセスできる各人には、固有の ID を割り当てる必要があります。 カード会員データへの物理的なアクセスは制限されなければならない。 カード会員データおよびネットワークリソースへのアクセスを追跡および監視する必要が あります。 セキュリティシステムおよびプロセスを定期的にテストする必要がある。 情報セキュリティに関する方針を維持しなければならない。

インドの決済におけるPCI DSS準拠のメリット

PCI セキュリティ規制への準拠は、データを保護し、セキュリティ意識の高い組織としての評判を高めるなど、企業に多くのメリットをもたらします。

顧客の信頼を高める：Pciセキュリティ認証は、最高レベルのカード会員セキュリティを確保することで、組織が顧客との信頼を築き、維持するのに役立ちます。この信頼がリピーターを増やし、顧客ロイヤルティとブランド評価の向上につながります。 データ漏洩リスクの低減：セキュリティ管理とデータ保護手順を導入することで、データ漏洩リスクを大幅に低減できます。このプロアクティブなアプローチにより、罰金、訴訟費用、風評被害など、情報漏えいに関連する潜在的なコストを最小限に抑えることができます。 不正行為の防止：PCI セキュリティ要件は、不正行為を防止および検出するように設計されているため、不正行為による金銭的損失のリスクを低減できます。コンプライアンスを確保することで、不正行為による財務的影響からビジネスを守ることができます。 業界標準の遵守：このコンプライアンスを達成することは、業界のベストプラクティスに対する組織の献身を反映します。このコミットメントにより、パートナー、利害関係者、および規制当局との関係が強化され、情報セキュリティのリーダーとしての組織の地位が証明されます。

Atpayは、決済ソリューションのプロフェッショナル・プロバイダーであり、長年にわたり以下の業務に深く携わってきました。インド・ペイメント弊社は国内外の数多くのお客様に決済機能を提供することに成功し、決済統合とハイリスク決済処理に十分な自信を持っており、お問い合わせと交換をお待ちしております。