3-D Secure is a protocol designed to be an additional security layer for online credit and debit card transactions. The name refers to the "three domains" which interact using the protocol: the merchant/acquirer domain, the issuer domain, and the interoperability domain.

https://en.wikipedia.org/wiki/3-D_Secure

Originally developed in the autumn of 1999 by Celo Communications AB (which was acquired by Gemplus Associates and integrated into Gemplus, Gemalto and now Thales Group) for Visa Inc. in a project named "p42" ("p" from Pole vault as the project was a big challenge and "42" as the answer from the book The Hitchhiker's Guide to the Galaxy). A new updated version was developed by Gemplus between 2000-2001.

https://en.wikipedia.org/wiki/3-D_Secure

In 2001 Arcot Systems (now CA Technologies) and Visa Inc. with the intention of improving the security of Internet payments, and offered to customers under the Verified by Visa brand (later rebranded as Visa Secure). Services based on the protocol have also been adopted by Mastercard as SecureCode (later rebranded as Identity Check), by Discover as ProtectBuy, by JCB International as J/Secure, and by American Express as American Express SafeKey. 

https://en.wikipedia.org/wiki/3-D_Secure

Later revisions of the protocol have been produced by EMVCo under the name EMV 3-D Secure. Version 2 of the protocol was published in 2016 with the aim of complying with new EU authentication requirements and resolving some of the short-comings of the original protocol.

https://en.wikipedia.org/wiki/3-D_Secure

EMV is a payment method based on a technical standard for smart payment cards and for payment terminals and automated teller machines which can accept them. EMV stands for "Europay, Mastercard, and Visa", the three companies that created the standard.

https://en.wikipedia.org/wiki/EMV

EMV chip specification

The first version of EMV standard was published in 1995. Now the standard is defined and managed by the privately owned corporation EMVCo LLC. The current members of EMVCo are American Express, Discover Financial, JCB International, Mastercard, China UnionPay, and Visa Inc. Each of these organizations owns an equal share of EMVCo and has representatives in the EMVCo organization and EMVCo working groups.

https://en.wikipedia.org/wiki/EMV

PCI SSC (Payment Card Industry Security Standards Council)は、PCI DSSの継続的な発展、管理を目的として、アメリカン・エキスプレス、ディスカバー・フィナンシャル・サービシズ、JCBインターナショナル、マスターカード、Visaの5社によって、2006年9月7日に設立された評議会である。評議会自身は、さまざまなカード会社から構成されているが、カード会社とは異なる独立した機関であるとしている。

PCI SSC - Wikipedia

概要

PCI SSCは「Payment Card Industry Data Security Standard (PCI DSS)」の一連のセキュリティ基準の編成を行なった。これらの基準は、企業自身がカードのセキュリティ方針、手順、ガイドラインを評価するために盛り込まれた多数の下位要件を含む12の重要な要件で構成されている。

PCI SSC - Wikipedia

この評議会では、かつて決済アプリケーションのベストプラクティス (PABP)と称されていた「Payment Application Data Security Standard (PA-DSS)」の管理も同様に行なっている。

PCI SSC - Wikipedia

2016年からは、EMVcoと協力してEMV3Dセキュアv2.0をサポートするためのセキュリティ要件、テスト手順、評価者研修を提供している。

PCI SSC - Wikipedia

https://listings.pcisecuritystandards.org/pci_security/maintaining_payment_security

https://blog.pcisecuritystandards.org/nist-mapping

PCI DSS（Payment Card Industry Data Security Standard = 支払カード産業データセキュリティ規格）は、 クレジットカード情報および取り引き情報を保護するために2004年12月、JCB・American Express・Discover・マスターカード・VISAの国際ペイメントブランド5社が共同で策定した、クレジット業界におけるグローバルセキュリティ基準である。

PCI DSS - Wikipedia

2022年3月に最新版であるv4.0が発表された。2024年3月末までは、v3.2.1とv4.0がともに有効であるが、2024年3月末にv3.2.1は引退し、v4.0のみが有効な基準となる。

PCI DSS - Wikipedia

管理団体

上記5社がPCI SSC (Payment Card Industry Security Standards Council)を設立し、PCI関連基準の策定・維持、評価手順の確立、認定審査会社の教育・試験等を実施している。

PCI DSS - Wikipedia

制定の経緯

クレジットカード、デビットカード、プリペイドカードに代表されるカード決済は、その利便性により、店舗やウェブ決済での使用比率が増えていき、膨大なカード情報の管理が必要となった。それに伴い、カード決済に関わるシステムやネットワークのセキュリティが侵害されることによる、カード利用者、決済店舗、カード発行会社が損害を受ける事態が広がっていった。主要カード会社は、独自のセキュリティ対応策を開発し加盟店へ順守を促したが、カード会社それぞれが独自に指示をしたため対応がまとまらず大きな成果はでなかった。その後、増大するセキュリティリスクへの懸念を払拭するため、2004年12月に主要カード会社が共同で PCIデータセキュリティスタンダードをリリース、2006年に PCI SSC を設立した。

PCI DSS - Wikipedia

PCI DSSで定められている6つの目標と12の要件とは？ | PCI DSS Ready Cloud

一般に「カード会社」と呼ばれる企業には、VisaやMastercardなどの国際ブランドと契約して加盟店との契約や決済と精算業務を行うカード会社（アクワイアラ）と同じく国際ブランドと契約してカード会員に対してクレジットカード発行業務を行うカード会社（イシュア）の2種類があります。カード会員がカードを加盟店に提示すると、その情報は決済ネットワークを通してアクワイアラに送られ、さらにイシュアへと連携されます。この過程でカード情報が通過・処理・保存される事業者は、外部の業務委託先も含め、全てPCI DSSに準拠しなくてはなりません。

PCI DSSで定められている6つの目標と12の要件とは？ | PCI DSS Ready Cloud

カードリーダーに施されているセキュリティ対策とは

スマートフォン決済の導入を現在検討中の事業者や加盟店、もしくは感度の高い消費者にとって、スマートフォンのイヤフォンジャックに接続するカードリーダーのセキュリティが、どのようになっているかは気になるところだろう。クレジットカード加盟店でスマートフォン決済に遭遇し、いざ自身のカードを使う際に店員の個人のスマホにカード情報が残ってしまうのではないか？そのスマホに悪意のあるアプリがインストールされていてカード番号を含む個人情報が意図せず漏えいしてしまうのではないかなど、いろいろなリスクを想定するだろう。

スマートフォン決済の標準暗号ソリューション”DUKPT” | PCI DSS Ready Cloud

この点については既に標準的な暗号ソリューションにより解決されているといえる。スマートフォン決済を展開する決済事業者や、それらの事業者と包括代理契約するカード会社（アクワイヤラ）の指導により、スマホに接続するドングル型のカードリーダーにDUKPTという暗号形式が採用されている。この暗号形式を使用すれば論理的にドングルからカード情報を抜き取ったり、他のアプリから漏れたりする心配はほぼないと言える。（もちろんセキュリティに完璧はない）

スマートフォン決済の標準暗号ソリューション”DUKPT” | PCI DSS Ready Cloud

“DUKPT”を利用した暗号化ソリューション

DUKPTは、Delivered Unique Key Per Transactionの略で文字通りトランザクション毎にユニークな暗号鍵を生成する仕組みである。この方式は米国ではANSI（米国工業規格） X9.24 part1として規格化されている。図の通りドングルにカードをスワイプするとDUKPTのHSM（ハードウェアセキュリティモジュール）やソフトウェアが一意の暗号鍵の生成を指示し、その鍵によって取引承認のためのカード会員データを暗号化する。暗号化されたデータが決済代行に送信され、オーソリ処理される。この仕組みを利用すれば例え悪意をもって、スマートフォンからその暗号鍵を盗んでも、次回以降の取引では別の鍵が生成され続けるため復号化することはできないということになる。

スマートフォン決済の標準暗号ソリューション”DUKPT” | PCI DSS Ready Cloud

スマートフォン決済の標準暗号ソリューション”DUKPT” | PCI DSS Ready Cloud

DUKPTは共通鍵暗号方式で、暗号のアルゴリズムがDESやTripleDESといった一般的な共通鍵暗号方式が取られています。さらに最近は共通鍵暗号方式にAESが使われることが多いのですが、それも標準化に向けて検討されています。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

もう1つの特徴はトランザクションごとに異なる鍵を使うことです。毎度同じ鍵を使っていると、通信を見ている人にどんな法則があるのか気づかれてしまうので、それを防ぐためにトランザクションごとに異なる鍵を使うことができます。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

その仕組みは、シードから端末に入れる初期鍵を作りますが、初期鍵から鍵1ができる、鍵1から鍵2ができる、というかたちで100万個の鍵を作れるというものです。サーバ側がシードを持っており、端末は次から次に鍵を作って捨ててということを繰り返します。端末側には鍵は残っておらず、サーバ側がシードを持っているので、この方式でどの鍵でも作れる仕組みになっています。シードを持っていればどの鍵でも作れるので、シードを暗号保持していくことが必要であり、ここでHSMが重要になってきます。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

DUKPTの範囲外ですが、伝送路の暗号化は規格で決まっているわけではありません。しかし、一般的にはインターネットを使う場合、VPN、SSLなどの通信暗号方式が用いられることが多く、その中をさらにDUKPTで暗号化された情報がやりとりされるイメージです。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

また、一端末で100万個の鍵を生成できますが、100万回生成したら端末の中にある初期鍵を新しいものに交換する必要があります。その交換方法は規格に入っているわけではなく、例えば、HSMを使う場合はベンダごとに実装が異なるので、そこは新たな仕組みで行う必要があります。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

DUKPT・P2PEを利用した時にコンプライアンス的にはどのような有用性があるのか。加盟店における非保持化を実現するためにまず分けなさい、カード情報が加盟店のネットワークに入らないようにしなさい、という方式として外回り方式があります。これは加盟店のネットワークでカード情報の保存・処理・通過を一切させないというものです。スワイプする端末はPSP（決済処理事業者）のもので、そこでは金額と決済結果しかやり取りしないので、加盟店のPOSではカード情報の保存・処理・通過させないというかたちにすれば完全に切り離しができます。ただし、実際にそうすると、ポイントの連携システムや顧客データベースなどの一切を変えなければならないので、実現が難しい場合があります。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

一方、内回り方式は、スワイプする端末とPOSが結び付いており、同じネットワークを使って自社やPSPのセンターにつなぎます。その時にDUKPTを利用すれば、コンプライアンス的なメリットとして、非保持と同等相当のセキュリティが確保されたと扱われ、PCI DSS準拠が必要となったときに、負担が大幅に軽減されます。

安心・簡単な“カード情報非保持化”実現ソリューションのご紹介 ～PCI P2PEソリューション、非保持化ソリューションの事例～（上） | ペイメントナビ

6.1  必要なセキュリテュ対策内容とは

割賦販売法の改正により拡充されたクレジットカード番号等取扱業者に対するクレジットカード・セキュリティガイドラインにおけるセキュリティ対策の一覧(『クレジットカード・セキュリティガイドライン【3.0版】』P15より) 　以下は抜粋した図です。

【図解付き】PCI DSSとは？準拠が必要な企業とセキュリティ対策をガイダンス | PCI DSS Ready Cloud

【図解付き】PCI DSSとは？準拠が必要な企業とセキュリティ対策をガイダンス | PCI DSS Ready Cloud

https://www.jnsa.org/jnsapress/vol36/3_kikou.pdf

https://listings.pcisecuritystandards.org/pdfs/best_practices_securing_ecommerce.pdf

https://github.com/search?q=dukpt&type=repositories

https://www.jnsa.org/jnsapress/vol36/3_kikou.pdf

DUKPTによる暗号化の仕組み | PCI DSS Ready Cloud

DUKPTとは何か？ #暗号 - Qiita

A hardware security module (HSM) is a physical computing device that safeguards and manages secrets (most importantly digital keys), performs encryption and decryption functions for digital signatures, strong authentication and other cryptographic functions. These modules traditionally come in the form of a plug-in card or an external device that attaches directly to a computer or network server. A hardware security module contains one or more secure cryptoprocessor chips.

https://en.wikipedia.org/wiki/Hardware_security_module

Uses

Card payment system HSMs (bank HSMs)

Specialized HSMs are used in the payment card industry. HSMs support both general-purpose functions and specialized functions required to process transactions and comply with industry standards. They normally do not feature a standard API.

Typical applications are transaction authorization and payment card personalization, requiring functions such as:

• verify that a user-entered PIN matches the reference PIN known to the card issuer
• verify credit/debit card transactions by checking card security codes or by performing host processing components of an EMV based transaction in conjunction with an ATM controller or POS terminal
• support a crypto-API with a smart card (such as an EMV)
• re-encrypt a PIN block to send it to another authorization host
• perform secure key management
• support a protocol of POS ATM network management
• support de facto standards of host-host key | data exchange API
• generate and print a "PIN mailer"
• generate data for a magnetic stripe card (PVV, CVV)
• generate a card keyset and support the personalization process for smart cards

The major organizations that produce and maintain standards for HSMs on the banking market are the Payment Card Industry Security Standards Council, ANS X9, and ISO.

https://en.wikipedia.org/wiki/Hardware_security_module

https://www.soumu.go.jp/main_content/000761489.pdf

まとめ | 政府のお仕事 | ミミズク博士と社会科を学ぼう！ | 首相官邸きっず