この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
1 スコープ
このドキュメントでは、サード パーティの支払い (TPP) のコンテキストで使用される一般的な用語を定義します。次に、保護すべき資産を明確化した 2 つの論理構造モデルを確立します。最後に、論理構造モデルの分析と、脅威の影響を受ける資産の相互作用、組織のセキュリティ ポリシーと想定に基づいて、セキュリティ目標を指定します。これらのセキュリティ目標は、支払者と受取人がそれぞれのアカウント サービス ペイメント サービス プロバイダー (ASPSP) と直接対話する単純な支払モデルと比較して、支払サービスを提供する TPPSP の仲介的な性質から生じる脅威に対抗するために設定されています。
このドキュメントでは、TPP 中心の支払いは、TPPSP クレデンシャルの使用と、発行、配布、および更新の目的で対応する認定プロセスに依存していることを前提としています。ただし、そのようなプロセスのセキュリティ対策方針は、このドキュメントの範囲外です。
注記このドキュメントは、ISO/IEC 15408 シリーズで指定された方法論に基づいています。そのため、TPP サービスを提供する情報システムで要求されるセキュリティや、TPP ビジネスに参加するエンティティ間の通信チャネルのセキュリティなど、TOE に属さないセキュリティ事項は前提として扱われます。
1 Scope
This document defines a common terminology to be used in the context of third-party payment (TPP). Next, it establishes two logical structural models in which the assets to be protected are clarified. Finally, it specifies security objectives based on the analysis of the logical structural models and the interaction of the assets affected by threats, organizational security policies and assumptions. These security objectives are set out in order to counter the threats resulting from the intermediary nature of TPPSPs offering payment services compared with simpler payment models where the payer and the payee directly interact with their respective account servicing payment service provider (ASPSP).
This document assumes that TPP-centric payments rely on the use of TPPSP credentials and the corresponding certified processes for issuance, distribution and renewal purposes. However, security objectives for such processes are out of the scope of this document.
NOTE This document is based on the methodology specified in the ISO/IEC 15408 series. Therefore, the security matters that do not belong to the TOE are dealt with as assumptions, such as the security required by an information system that provides TPP services and the security of communication channels between the entities participating in a TPP business.