8 ペイメントゲートウェイにおけるセキュリティへの取り組み www.deekpay.com

機密データの取り扱い、コンプライアンス、セキュリティは常に重要である。決済ゲートウェイ最優先事項のひとつである。今日、テクノロジーは諸刃の剣である。デジタルの進歩がグローバルな商取引に革命をもたらしたのと同様に、サイバー犯罪者が加盟店や顧客を詐取する手口も変化している。PwCの調査「Global Economic Crime and Fraud Survey 2020（世界経済犯罪・詐欺調査2020）」によると、調査対象となった企業のうち47%が何らかの詐欺を経験しており、その結果420億ドルの損失が発生している。ペイメントゲートウェイの仕事は、加盟店とその顧客の安全を確保し、すべての基盤をカバーすることです。

ペイメントゲートウェイとは？

ペイメントゲートウェイは、加盟店と顧客をつなぐクラウドベースのソフトウェアである。顧客が店頭のPOS（販売時点情報管理）やウェブショップを通じてオンラインで支払いを行う場合、ペイメントゲートウェイは顧客の支払い情報を読み取り、加盟店の銀行口座に送金する。所要時間は通常数秒です。シームレスな決済体験を提供することに加え、FinTech開発者は、決済ゲートウェイの安全性と業界標準への準拠を保証する必要があります。これは加盟店や顧客にとっては簡単に思えるかもしれないが、決済ゲートウェイの舞台裏で起こっていることは非常に複雑である：

顧客は、カード情報を入力して「購入」をクリックするか、カードリーダー上にカードまたはおサイフケータイを置くことで購入を開始する。 決済ゲートウェイが起動し、カード発行銀行と情報が正しいことを確認し、十分な資金があることを確認する。 ペイメントゲートウェイはトランザクションを暗号化し、関連するカードスキームに送信します。 カードスキームが取引を承認すると、ペイメントゲートウェイは加盟店の銀行に情報を送信する。 最後に、ペイメントゲートウェイは暗号化されたメッセージをアクワイアリングバンクに送信し、資金を送金する。こうして取引が完了する。

続きを読むペイメントゲートウェイとは？

なぜ決済ゲートウェイのセキュリティが重要なのか？

ペイメントゲートウェイのセキュリティは、顧客の個人データと貴社を守るために重要です。セキュリティ侵害、詐欺、コンプライアンス違反は、苦労して稼いだ収益を犠牲にするだけでなく、マーチャントのブランドの評判を傷つける高価なミスです。

EUの一般データ保護規則（GDPR）に基づき、カード会員データを侵害または盗用した場合、最高2,000万ユーロまたは世界全体の年間売上高4%のいずれか高い方の罰金が科される可能性があります。また、ペイメントプロバイダーは、ペイメントカード業界データセキュリティ基準（PCI DSS）に違反した企業に対し、月額5,000～100,000ドルの罰金を課すことができる。

そのため、より多くの顧客が電子商取引を購買ニーズに取り入れる中、企業は安全なショッピング体験を提供できるよう準備しなければならない。

決済ゲートウェイのセキュリティ対策トップ8

以下は、ペイメントゲートウェイサービスプロバイダーが、ビジネス／マーチャントとその顧客の決済セキュリティを確保するために、特に注意を払い、重点的に防止しているセキュリティ対策である。

1. PCI DSS準拠

Payment Card Industry Data Security Standard（PCI DSS）は、主要なカードスキームによって義務付けられた一連の規制およびコンプライアンスルールです。クレジットカードやデビットカードの取引を処理する企業は、PCI DSSに準拠する必要があります。この準拠により、クレジットカードやデビットカードの取引のための安全な環境が確保され、カードの盗難や詐欺のリスクが軽減されます。

2.SET（セキュア電子取引

Secure Electronic Transactions (SET)とは、VISAとMastercardが協力して開発した暗号化ベースのシステムおよび電子プロトコルで、カードに関連するすべての個人情報を隠すことにより、クレジットカード決済データの保護を保証するものです。

この包括的な暗号化により、詐欺師による機密情報への不正アクセスが防止されます。さらに、SETは加盟店によるカード会員データへのアクセスを制限し、プライバシーとデータセキュリティをさらに保証します。

3.データの暗号化

データの暗号化は、機密性の高い取引データを保護するために決済ゲートウェイが使用する主なメカニズムです。チェックアウトプロセスで顧客のカード情報が提供されると、ペイメントゲートウェイはこのデータを暗号化します。暗号化により、データは別の形式またはコードに変換され、キーを持つ個人のみがアクセスできるようになります。その後、ペイメントゲートウェイは秘密鍵を使用してトランザクションを復号化します。このプロセスは、データへの不正アクセスの可能性を大幅に低減します。

4.SSL（セキュア・ソケット・レイヤー

セキュア・ソケット・レイヤー（SSL）は、ペイメントプロバイダーと顧客のウェブブラウザ間の安全な接続を確立するセキュリティ技術です。SSLを介して送信されるデータはすべて暗号化されます。SSLはすべてのウェブブラウザでサポートされています。

ウェブサイトが直接取引を処理する場合は、SSLを実装する必要がありますが、ウェブサイトが訪問者を決済ゲートウェイのドメインでホストされている安全なチェックアウトページにリダイレクトする場合は、ウェブサイト自体でSSLを実装する必要はありません。

5.3Dセキュリティ

3Dセキュリティは、オンライン決済のセキュリティ強化に役立つ重要なプロトコルである。顧客が購入する際に、認証レイヤーを追加します。チェックアウトの際、顧客は支払いの詳細を入力した後、銀行またはクレジットカード発行会社のウェブサイトにリダイレクトされ、取引を検証する。

この確認ステップ（ワンタイムパスワード、指紋認証、その他の方法を問わず）は、不正行為のリスクを軽減するのに役立ちます。購入を確認できるのは、正当なカード所有者のみである。万が一、カード情報が漏洩した場合でも、認証によって不正取引が成立するのを防ぐことができる。

6.タグ付け

トークン化は、不正行為のリスクを軽減するためにオンライン決済処理で使用される重要なセキュリティ技術です。これには、機密性の高い口座情報（クレジットカード番号など）を固有の支払トークンに置き換えることが含まれます。これらのトークンは、トランザクションを識別し、今後の支払いを承認するために使用されます。

販売時点や決済ゲートウェイでデータをトークン化することで、加盟店やプロセッサーはプライマリアカウント番号（PAN）に直接アクセスしたり、完全なデータを保存したりすることがなくなります。データ侵害が発生した場合、トークンは攻撃者にとって無意味なものとなり、実際の決済情報が公開されることはありません。

顧客が購入を希望する場合、決済トークンが送信され、認証される。PAN.このトークンは、消費者と加盟店間の今後の取引に再利用することができ、その都度カード情報をすべて再提出する必要はない。

推薦図書インドのPANカードとは何ですか？

7.侵入テスト

侵入テストは、倫理的ハッキングと呼ばれることもあります。これは、資格のあるセキュリティ専門家に、犯罪者と同じ方法で当社のシステムへの侵入を試みてもらい、脆弱性を積極的に特定し、対処できるようにするものです。

外部侵入テストと内部侵入テストは、定期的に実施しなければならない。外部テストは外部からの攻撃をシミュレートし、内部テストは内部からの侵害を試み、ヒューマンエラーや不満を持つ従業員のリスクをシミュレートする。実際の攻撃者より先に弱点を特定することが肝要である。

すべての侵入テストは、業務への支障を避けるため、事前に慎重に計画され、承認されます。厳密なテストは、ネットワーク・セグメンテーション、アクセス・コントロール、認証方法、その他の層の防御が、断固としたハッカーに耐えるのに十分強固であることを保証するのに役立ちます。

8.スタッフ・トレーニング

従業員トレーニングは、包括的なセキュリティ・プログラムにとって重要である。顧客と接する役割の従業員には、フィッシング詐欺のようなソーシャル・エンジニアリングの手口や、顧客を適切に認証する方法に重点を置く。

エンジニアやその他の技術スタッフに対しては、セキュアなコーディングの実践、インシデント対応プロトコル、潜在的な脆弱性の特定と報告方法に重点を置いています。 コンプライアンス・トレーニングでは、すべての従業員が PCI DSS などの最新の業界規制を確実に理解できるようにします。

この継続的なトレーニングは、全従業員が権限を与えられ、顧客の支払データの保護に貢献できると感じられるような、セキュリティ意識の文化を醸成することを目的としています。

結語

どのようなシステムも完全に防御することはできませんが、確立されたベストプラクティスと業界標準に従うことで、リスクを大幅に軽減することができます。安全な決済ゲートウェイを利用すれば、バックグラウンドで取引が確実かつ効率的に処理されるため、加盟店はビジネスの拡大に集中することができます。顧客は、セキュリティを犠牲にすることなく、柔軟な支払いオプションの利便性を高く評価します。

Atpayは、決済ソリューションのプロフェッショナル・プロバイダーであり、長年にわたり以下の業務に深く携わってきました。インド・ペイメント弊社は国内外の数多くのお客様に決済機能を提供することに成功し、決済統合とハイリスク決済処理に十分な自信を持っており、お問い合わせと交換をお待ちしております。