「AWS環境におけるPCI-DSS準拠のポイント」という内容で登壇しました Welcome Fintech Community #2
2024.08.14はじめに
こんにちは。AWS事業本部コンサルティング部に所属している和田響です。
先日、Fintechに関するオフラインイベントであるWelcome Fintech Community #2 〜Fintechドメインを深掘るLT会〜に参加してきました。
イベントの様子は#welcome_fintechからもご覧いただけます。
イベントの概要
本イベントは、BASE株式会社、株式会社スマートバンク、PAY株式会社の3社によって発足されたイベントで、「金融業界xテクノロジー」に関わる方の学習や交流を目的としています。
以下、イベントページの引用です。
今回のテーマは「各社の決済システムの裏側大解剖SP!」
Fintechのことをもっと気軽に、楽しく学び会える場を目指して発足したWelcome Fintech Community。
記念すべき第一回目は、「各社の決済システムの裏側大解剖SP!」と題して、各会社の決済システムの概要と共に、エンジニアリング的にたのしいところ、難しいところをざっくばらんにご紹介いただきます!
決済領域には、お店、決済代行業者、アクワイアラ、ブランド、イシュアーなど様々なプレイヤーが登場します。それぞれの立場によって作る決済サービスは大きく異なるので、各社どのような立場から、どのような決済サービスを作り、どのようにサービスが連動して動いているのかに注目です!
また、質問や意見交換をする時間も設けますので、「どこまで内製?」「Fintechの面白さって?」「内製の強みは?」「Fintechならではの難しさは?」「用語とか専門知識ってどうやってキャッチアップしてる?」などなど、気になることをドシドシ聞いてみてください!
Fintechは全く未開の地!という方の参加も大歓迎です!みんなで知識や見聞を広げていきましょう!
第1回の時の様子は以下のブログに記載しています!
登壇スライド
登壇内容
当日話したことを振り返っていきます。
3行まとめ
- PCI-DSSの準拠は大変
- 責任共有モデルによってオンプレミス環境よりも工数を削減できる
- AWSがコンプライアンスガイドを提供している(一番伝えたいこと!!)
PCI-DSSの準拠は大変
PCI-DSSとは、 「クレジットカード会員データを安全に取り扱う事を目的として策定された、クレジットカード業界のセキュリティ基準」 で、Payment Card Industry Data Security Standardの略称です。
クレジットカード会員データという重要なデータを保護するためのセキュリティ基準のため、非常に厳しい要件が求められています。
PCI DSS v4.0では以下の12要件のもとにそれぞれの項目があり、計400項目の要件を満たす必要があります。
見ただけでも大変そうですよね。。。
以下のブログでも簡単にまとめてありますのでぜひ参照ください!
責任共有モデルによってオンプレミス環境よりも工数を削減できる
AWSでは責任共有モデルによって「AWS」と「お客様」で責任を負うべき範囲を明確にしています。
AWS側では、クラウドで提供されるすべてのサービスを実行するインフラストラクチャの保護について責任を負うため、従来のオンプレミス環境に比べてこれらの管理コストが削減できます。
AWSの公式ブログでも、PCI DSSを例として責任共有モデルについて説明しており、各種セキュリティ基準への準拠に焦点を当てていることが伺えます。
AWSがコンプライアンスガイドを提供している(一番伝えたいこと!!)
2023年10月9日に PCI DSS v4.0 on AWS Compliance Guide の提供を開始しました。
コンプライアンスガイドには、 PCI-DSSで求められる各要件に対して必要なAWSサービスとその設定 が具体的に記されているのが非常に嬉しいポイントです。
(現在は英語版しかないですが、最近の生成AIは優秀なのでどうにかなるはず。。。)
「PCI DSS準拠に向けて何をしたら良いのかわからない!!」という方は、まずは PCI DSS v4.0 on AWS Compliance Guide を読んでみましょう!!
コンプライアンスガイドの内容をまとめた記事もありますのでぜひこちらも参照ください。
最後に
本イベントは第3回の開催も検討しているみたいです!
気になる方はconnpassのブックマークをポチッとしておきましょう!
