当記事を読む前に、以前投稿したクレジットカードの仕組みを先に読むとスンナリ理解出来ますよ。
決済の流れ
最近のタッチ決済では、ピッと読み取り後、クレカは「トークン(代替番号)とP2PE暗号化」という偽物の番号を端末に渡します。一度きりしか使えない「ワンタイムトークン(暗号化された代わりの番号)」に変えてそれをゲートウェイ(情報を翻訳して整理する中継サーバー)へ飛ばす仕組みが主流です。トークン化されたデータは、端末の中でさらに強力にパッキングされます。これがP2PE(Point-to-Point Encryption)という仕組みです。
このP2PEを解くための「鍵」は、お店のレジにもパソコンにもなく、「ゲートウェイ(または決済センター)」にしかありません。お店の端末からゲートウェイまでは、「もともと偽物の番号(トークン)を、さらに誰にも解けない暗号の箱(P2PE)に入れて」運んでいます。これにより、もし通信が盗み見られても、そのデータは全く使えないため、安全性が格段に高まっています。(もちろん店側の端末にカード番号は残らない)
ゲートウェイで一度お店の暗号(P2PE)を解いた後、そのまま送るのではなく、「アクワイアラ専用の鍵」HSM(ハードウェア・セキュリティ・モジュール)でかけ直してアクワイアラへ送ります「絶対に中身を盗み見られない金庫箱」のような物です。
ゲートウェイ(中継拠点)からアクワイアラ(加盟店管理会社)へデータを送る際は、インターネットという公道ではなく、許可された者しか通れない「専用の地下道(専用線)」や、公道の中に作られた「暗号化された特急レーン(VPN)」を通ります。データを送る前に、お互いに「間違いなく本物のゲートウェイだ」「間違いなく本物のアクワイアラだ」という確認を突き合わせます。
国際ブランドは、インターネットとは別に、自前の(あるいは専用に借り上げた)世界規模のプライベートネットワークを持っています。光の速さでデータが飛ぶため、日本からアメリカのサーバーを往復しても、通信時間はコンマ数秒です。インターネットのような渋滞(遅延)がほぼ発生しません。アクワイアラと国際ブランドの間では、「ISO 8583」というクレジットカード決済の世界共通規格に基づいたデータ通信が行われます。この通信路自体が、銀行間取引でも使われるような極めて強固な暗号技術で保護されています。
最後に国際ブランドからイシュア(カード発行会社)へ来た道とほぼ同じルートを通ります。もちろん強固な暗号化をして。イシュイシュアでは、「このカードは本物か?」「お金は足りているか?」という確認が行われています。その審査を通過した証拠として発行される6〜7桁程度の英数字がオーソリゼーションコードです。イシュアが「OK」を出せば、「オーソリゼーションコード(承認番号)」をレジの端末に送り返します。ここまでわずか1〜2秒です。
まとめ
端末 ↔ ゲートウェイ: P2PE暗号
ゲートウェイ ↔ アクワイアラ: 専用線・VPN暗号
アクワイアラ ↔ 国際ブランド: 世界共通規格の高度暗号
国際ブランド ↔ イシュア: ブランド専用回線での高度暗号
ザックリまとめると、「ピッ」とすると、「暗号化されたあなたの信用データ」が、海を越えてアメリカ(日本や中国もある)の巨大ネットワークを往復し、承認番号を引っ提げて戻ってくるのです。現代決済は店を信用しなくていい設計なのです。機会があれば、スマホのウォレットアプリに入れたクレカ(コチラの方がより強固)やPayPayなどのQRコード決済も解説したいと思います。
