ニュース
iPhone(製品・サービス)
iPad(製品・サービス)
blippy

今週立ち上がるモバイル簡易支払いサービスSquareのセキュリティはどうなってる?

次の記事

あなたのユーモアのスキルは大丈夫?–Microsoftが4段階の自己評価リストを作成

今朝(米国時間5/2)、モバイルの新支払いサービスSquareのテスターの背筋が、一瞬凍った。

ユーザが銀行の口座を変えたのでSquareはそれらの新しい口座番号等を検証した、というメールが送られてきたのだ(複数のユーザ==テスターに)。ところが、これらのユーザは誰も口座を変えていなかったのだ。メールの最後にはこんな注意書きがあった: “あなたがこの変更をリクエストしていなかったら、support@squareupまでご一報ください“。これも、あやしい。問い合わせのメールが殺到したのでSquareは、第二のメールで、何も問題ない、システムのバックエンドを手直ししていたのだが、そのときメールの通知機能をoffにするのを忘れたままだった、という説明を送った。”あなたの銀行口座には何の影響も及んでいません。Squareにもあなたのデータにも、何も被害は生じていません”、とそのメールは言っている。

今夜この騒動についてSquareの協同ファウンダJack Dorseyと話をしたが、彼は、セキュリティの事故ではまったくないと言った。しかし先週は、Blippyクレジットカード情報の一部がGoogleの検索結果に出るという事件があっただけに、ユーザ(==テスター)が神経をとがらせるのも当然だ。ただし今回のSquareの事件は、出す必要のないメールが出ていった、というだけのことだったようだ。

でも、せっかくDorseyと電話で話せるチャンスだし、Blippyの事故もあったことだし、Squareのセキュリティについてちょっと話を聞いておこう。Dorseyも確認したが、このサービスは実は今週が立ち上げなのだ。

Squareがシステムに保存する情報は何か? ”保存する唯一の数値は口座番号だが、それはユーザが一度入力したら誰も見ることはない“。しかも番号は暗号化されるし、キーは貸金庫に入れてある。クレジットカードの情報は、絶対に保存しない。モバイルデバイスの上にもSquareのシステムにも保存されず、通り抜けるだけだ、とDorseyは言った。

Dorseyによれば、SquareはPCI Level 1に準拠している(PCIはデータセキュリティのスタンダードだ)。だから6か月ごとに第三者の監査人にセキュリティを検査してもらう義務がある。クレジットカードを扱う企業はどこでもその義務があるから、当然Squareにもある。監査はシステムの現状をチェックするだけだなく、過去のトランザクションの記録も見てセキュリティの遺漏を検査する。

つまり、Squareのセキュリティのレベルはふつうのスタートアップよりも高い。ただし競合相手のVeriFoneは、うちは加盟店口座システムがあるからもっと安全だ、と言うだろう。

今日のSquareのメール事故の原因は、システムのバックエンドを近々に迫った一般公開に備えて手直ししていて起きた。正確な公開日は、App Storeの認可次第だからDorseyにも分からない。iPad用バージョンもあるが、それは実は汎用バージョンで、iPadとiPhoneとiPod touchで使える。

しかし重要なのはiPhoneとiPod touchだ。Squareは、誰もが携帯電話とクレジットカードだけを使って簡単に支払いができるサービスだ。そのためにはiPhone(等)のヘッドフォーンジャックに小さなカードリーダーを差し込む。そのリーダーは今では白で(TechCrunchのイベントで使ったテスト用は黒だった)、カードをもっと読みやすくするためのスプリングが加わったそうだ(前の黒いやつでは、カードを何度もリーダーに通す必要があった)。

リーダーは、アプリがApp Storeで承認され次第ユーザに送られる。そして誰でも無料でSquareの登録会員==ユーザになれる。リーダーもその送料も無料だ。会員登録は、アプリをダウンロードしたときに、そのおすすめメッセージが出る。

今週後半にはSquareをApp Storeが承認するだろう。ダウンロードは無料だ。

[原文へ]
[米TechCrunch最新記事サムネイル集]

(翻訳:iwatani(a.k.a. hiwa))