暗号鍵のセキュアな管理を実現します。
今日では、購入したいものがすぐその場で決済でき、手に入れられる便利な世の中になりました。 その一方で、決済情報を含めた顧客情報を多く取り扱うEC・通販事業がターゲットとなった情報漏えい事故は後を絶ちません。サイバー攻撃等により、情報漏えい事故を起こしてしまうと企業の経済的損失だけではなく、信頼やブランドイメージにまで影響が及ぶこともあります。では、EC・通販事業者はその対策として何から手をつければいいのでしょうか。 まず最初に取り組むべきことは、情報を流さない仕組みを構築することです。端末とホストの間の通信経路において大切な情報を流出させないために暗号化セキュリティを強化する必要があります
Thales社が提供する「payShield 9000」では、クレジットカードやデビットカードなどを使用するオンライン取引を保護するために重要な役割を果たします。その暗号化機能および管理機能は、主な国際カードスキームのカードアプリケーションおよびセキュリティ監査の要件を満たしています。
受付から承認完了まで一貫した暗号処理
–通信経路上とWebサーバー上でPINやパスワードなどの情報が漏えいする可能性を排除
–機密データは、HSM内だけで復号化
SSL/TLSの弱点を克服
-WebPINでは、一貫した暗号処理により通信経路で機密データが復号化されない
WebPINの実装
–Javascript / Java / C#での実装をサポート
–ブラウザ・モバイル(iOS・Android)に対応
–IVRなど電話機をPINPADとして利用するケースにも対応可能
–WebPINで使用されるRSA秘密鍵はWebPIN HSMで安全に管理
ピンチアウトで拡大
従来のインターネット決済とは異なり、モバイル決済は、商品やサービスをオンラインで支払う際にユーザーが入力する銀行のキャッシュカード情報を不要とします。
ユーザーはモバイル決済サービスプロバイダーでの登録時に、カード情報を追加する必要があります。
モバイル決済サービスプロバイダーは、決済取引を確認(検証)するために個々のユーザーに対して事前に定義されたPINを入力するだけで取引フローを簡素化できました。
「信頼されていないデバイス」を用いて「信頼されていないネットワーク」を介して送られるトランザクションPINを保護する手法は、モバイル決済サービスプロバイダーにとって重大な難問です。
payShielsd 9000は、WebPIN E2EEを提供し、銀行業界で広く採用されている実績のあるソリューションで安全かつ暗号化されたデータ配信でリスクを最小限に抑えることができます。
WebPIN E2EEソリューションでpayShield 9000のWebPINライブラリで生成されたユーザーPINは、モバイルデバイスからキャプチャされた瞬間から暗号化されます。 暗号化されたPINが生成されると、改ざん防止のHSM(payShield 9000)でのみ安全に復号化されPIN検証結果は処理後に返されます。
PINは、転送時ユーザーのデバイス(PC端末またはモバイル端末)で暗号文となり、PINデータの漏えいリスクを抑えることが可能です。
ピンチアウトで拡大
3DESで暗号化されたANSI PINブロックからのPIN検証に基づくユーザー認証
3DES ANSI MAC規格に基づいたメッセージ認証は、クライアントからWebサーバーへ送信
3DESのECBまたはCBC暗号メッセージを使用して送受信
クライアントブラウザへ配信されたアプレットを用いてPINまたはパスワードを暗号化
WebPIN HSM内でPIN検証を実施