この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序章
グローバルなサードパーティ決済 (TPP) サービスは活況を呈しており、決済方法に大きな影響を与えています。サードパーティ決済サービス プロバイダー (TPPSP) は、決済サービス ユーザー (PSU) とアカウント サービス決済サービス プロバイダー (ASPSP) (通常は金融機関) の間の仲介エンティティとして機能します。 TPPSP は、支払いおよびその他の金融サービス (この文書では TPP サービスと呼ばれます) を提供します。セキュリティの観点から、TPPSP の仲介性は、支払い処理における顧客のなりすましの特定の脅威を引き起こします。決済サービス プロバイダーは、PSU を保護し、自社のビジネスを強化するために、決済詐欺のリスクを軽減することをますます求めています。
CC 方法論 (ISO/IEC 15408 シリーズを参照) に従って、この文書は、i) TPP サービスを中心とした 2 つの論理構造モデルを確立し、ii) このオープン エコシステム内で保護される資産を特定し、iii) TPPSP のセキュリティ目標を指定します。 TPP が直面する脅威に対抗するための情報システム。これは、TPPSP やその情報システムの開発者などの利害関係者を支援して、支払いに焦点を当てた金融取引の処理における TPPSP の仲介的役割から生じる特定の脅威を軽減することを目的としています。
このドキュメントの論理構造モデル、資産、脅威、およびセキュリティ目標は、実際の慣行に基づいており、TPP 支払いに使用される特定の支払い手段とは無関係に説明されています。
特に、セキュリティ目標は、TPP 支払いデータの完全性、否認防止、および機密性に対する特定された脅威の軽減に焦点を当てています。そのため、TPPSP は、新しい TPP サービスを提供する際に機密性の高い支払いデータを確実に保護するためのセキュリティ メカニズムを定義する必要があります。このドキュメントに記載されているセキュリティ目標への準拠は、TPPSP とのビジネス関係を確立する際に利害関係者が信頼を得るのに役立ちます。
このドキュメントの範囲に関して、ASPSP と PSU の間に直接通信リンクが確立される他の支払い回路と比較して、「補完的な」または「追加の」セキュリティ目標を参照することは完全に理にかなっています。 TPPSP の統合は、TPPSP に接続されているエンティティのセキュリティに影響を与えることに注意してください。ただし、このドキュメントでは、TPPSP のセキュリティ面のみに焦点を当てています。
金融規制当局は、それぞれの法域で TPP に関連するさまざまな法的イニシアチブを実施または検討してきました。したがって、この文書の支払い処理手順が TPP サービスに関連する地域の金融規制に準拠しているかどうかを分析し、判断することは、この文書のユーザーの責任です。
Introduction
The global third-party payment (TPP) service is booming and has a profound impact on payment methods. The third-party payment service providers (TPPSPs) act as an intermediary entity between the payment service user (PSU) and the account servicing payment service provider (ASPSP), usually a financial institution. TPPSPs provide payment and other financial services (referred to in this document as TPP services). From the security point of view, the intermediary nature of TPPSPs raises the specific threat of customer impersonation in payment processing. Payment service providers increasingly seek to mitigate the risks of payment fraud in order to protect PSUs and enhance their own business.
Following the CC methodology (see the ISO/IEC 15408 series), this document: i) establishes two logical structural models centred around the TPP services, ii) identifies assets to be protected within this open ecosystem and iii) specifies the security objectives of TPPSP information systems to counter threats faced by the TPP. It aims to assist stakeholders, such as TPPSPs and developers of their information systems, to mitigate specific threats arising from the intermediary role of TPPSPs in the processing of financial transactions, with a focus on payments.
The logical structural models, assets, threats and security objectives in this document are based on real-world practices and are described in a way that is independent of the specific payment instrument used for the TPP payment.
In particular, security objectives focus on the mitigation of identified threats against the integrity, non-repudiation and confidentiality of TPP payment data. Consequently, the TPPSP needs to define the security mechanisms to ensure the protection of sensitive payment data when offering a new TPP service. Conformity with the security objectives set out in this document can help stakeholders gain trust when establishing a business relationship with TPPSPs.
With regards to the scope of this document, it makes full sense to refer to “complementary” or “additional” security objectives compared with other payment circuits where a direct communication link is established between an ASPSP and a PSU. It is worth noting that the integration of the TPPSP has an impact on the security of those entities connected with the TPPSP. However, this document only focuses on the security aspects for TPPSPs.
Financial regulatory authorities have either taken or considered a range of legal initiatives related to TPPs in their respective jurisdictions. Therefore, it is the responsibility of the user of this document to analyse and decide whether the payment processing procedures in this document comply with regional financial regulations related to TPP services.