MENU

cases
事例紹介

dot
Webシステム管理

決済代行システムの開発

クレジットカード決済を支える決済代行システムの開発

 既存システムの開発会社による保守継続が難しくなったことによる決済代行システムのリニューアル開発。
 システムの可用性とセキュリティを向上させ、PCI-DSSに準拠したシステムの開発。

システム概要

業種
インターネット関連
開発言語
PHP(Laravel), MySQL
プロジェクト規模
5人
プラットフォーム
WEB, AWS
制作期間
6ヶ月

背景・課題PROBLEM

運営の持続と、よりセキュアなシステムへ

 クレジット決済代行業務を行っておられたお客様では、自社のシステムを用いて、加盟店様の実店舗やWEBショップなどでクレジットカード決済を行えるシステムを運用されておられました。
 しかし、元々のシステム開発会社での継続的な保守対応などが難しくなったことや、システムの稼働環境等が古くなりつつあったことから、セキュリティ面において大変懸念をされておりました。特にクレジットカード情報を扱うシステムであったため、サイバー攻撃などのリスクも高く、一刻も早いリニューアルとより堅牢なセキュリティのシステムを希望されていました。

課題課題
  • 既存のシステムの決済方法をそのまま移行し、システムリニューアルによる加盟店様の負担を極力なくすこと既存のシステムの決済方法をそのまま移行し、システムリニューアルによる加盟店様の負担を極力なくすこと
  • サイバー攻撃などによる情報漏えいを防ぐべく、PCI-DSSというクレジットカード情報および取引情報を保護する、グローバルセキュリティ基準に対応したシステムを構築することサイバー攻撃などによる情報漏えいを防ぐべく、PCI-DSSというクレジットカード情報および取引情報を保護する、グローバルセキュリティ基準に対応したシステムを構築すること
  • 当社ではこれまでPCI-DSSに関するシステムを開発した実績がなく、一からPCI-DSSの基準を把握し、それに対応する必要があった当社ではこれまでPCI-DSSに関するシステムを開発した実績がなく、一からPCI-DSSの基準を把握し、それに対応する必要があった

提案SUGGESTION

  1. 既存システムの仕様を極力変えないリニューアル
  2. 信頼と実績のあるサーバーやセキュリティソフトの導入
  3. PCI-DSSとのコンサル契約

既存システムの仕様を極力変えないリニューアル

 既存システムの開発時の資料を受領し、また資料が足りない箇所などは既存システムの内容を解析しながら、極力現行と同じ仕様になるようにし、システムリプレース時に決済代行システムを利用している加盟店様のご負担が最小限になるようしました。

信頼と実績のあるサーバーやセキュリティソフトの導入

 Amazon Web Service(通称:AWS)はPCI-DSSの最高の評価である PCI DSS レベル 1 のサービスプロバイダーとして認証を受けており、PCI-DSSに準拠したシステムを稼働させる環境としては文句なしです。また、セキュリティ対策についてはAWSでの機能に加え、トレンドマイクロ社のTrend Micro Depp Securityを導入して、セキュリティ面の対策を行います。

PCI-DSSとのコンサル契約

 PCI-DSSに準拠するシステムを構築および運営するためには、専門的な知識が必要となり、また年1回の監査もあるため継続的な対応が必要となります。そのため、PCI-DSSのコンサル契約を行うことによって、確実な準拠を目指しました。

ケース

成果RESULT

  • 画面のデザイン変更や一部新機能の追加などを行いつつ、既存の加盟店様へのシステム移行に関しては、ほぼ負担なく完了画面のデザイン変更や一部新機能の追加などを行いつつ、既存の加盟店様へのシステム移行に関しては、ほぼ負担なく完了
  • システムやサーバー、ネットワーク等のセキュリティ設定などを強固なものにすると同時に、当社の社内や開発環境等を含めたセキュリティも対策を行い、PCI-DSSの監査を通過。システムやサーバー、ネットワーク等のセキュリティ設定などを強固なものにすると同時に、当社の社内や開発環境等を含めたセキュリティも対策を行い、PCI-DSSの監査を通過。
  • 継続的な保守対応を行い、PCI-DSSに沿った運用を行うとともに、年1回のPCI-DSSの更新の監査にも対応。継続的な保守対応を行い、PCI-DSSに沿った運用を行うとともに、年1回のPCI-DSSの更新の監査にも対応。

 既存システムの解析を行い、新システム移行時に業務のトラブルが発生しないようにしつつ、新機能の追加も行い、利便性の向上を図りました。
 また、高いセキュリティ基準を求められる中で、PCI-DSSの必要な要件などをヒアリングしながら、それをクリアするための取り組みを実施しました。

commentコメント

 PCI-DSSは、システムを運営されるお客様だけでなく、開発・保守を行う開発会社側にも様々なセキュリティ対策などを求められる厳しい基準となっておりますが、定期的な確認作業などを行いながら、毎年1回行われるPCI-DSSの監査をクリアしながら、継続的な運用ができている状況です。

dot
dot
PAGETOP