ウェブでの新しいお金の払い方 - Web Payments と Payment Request API について
Web Payments はなぜ避けて通れないものになるのか - ウェブでの新しいお金の払い方
PCI DSS は、2015 年に発表されたバージョン 3.2 において、明確に生のクレジットカード情報をブラウザ上で扱うことに関して、従来よりも強い制約を設けました。日本の 「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」においても同様です。今後オンラインマーチャントは、クレジットカード情報を全く扱わない「クレジットカード情報の非保持化」を進めるか、もしくは PCI DSS に対応するか、の選択を迫られます。
トークナイゼーションが画期的なのは、それが渡されたカード情報を守る方法ではなく、そもそもカード情報を渡さないというアプローチを取っている点です。「トークン」と呼ばれる一時的に利用できる文字列をクレジットカード会社に発行してもらい、それをマーチャントに渡すことで、決済を行います。
このトークンはトランザクションに特化して発行されるため他の用途には使えないことに加え、トークン自体から元のカード番号を逆引きできないことから、漏洩したところで被害は最小限に食い止められる、という特徴があります (厳密には様々なバリエーションがあるようですが、ここでは触れません)。
つまり、これを使えば間接的に「クレジットカード情報の非保持化」を実現することができます。
Comments