JP5340938B2 - コンプライアンス評価報告サービス - Google Patents
コンプライアンス評価報告サービス Download PDFInfo
- Publication number
- JP5340938B2 JP5340938B2 JP2009524757A JP2009524757A JP5340938B2 JP 5340938 B2 JP5340938 B2 JP 5340938B2 JP 2009524757 A JP2009524757 A JP 2009524757A JP 2009524757 A JP2009524757 A JP 2009524757A JP 5340938 B2 JP5340938 B2 JP 5340938B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- compliance
- computer
- assessor
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000011156 evaluation Methods 0.000 title 1
- 238000000034 method Methods 0.000 claims description 70
- 230000036541 health Effects 0.000 claims description 7
- 230000000694 effects Effects 0.000 claims description 4
- 206010011224 Cough Diseases 0.000 claims 1
- 230000008569 process Effects 0.000 description 17
- 238000012550 audit Methods 0.000 description 14
- 238000004891 communication Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
Landscapes
- Business, Economics & Management (AREA)
- Marketing (AREA)
- Physics & Mathematics (AREA)
- Development Economics (AREA)
- Economics (AREA)
- Finance (AREA)
- Theoretical Computer Science (AREA)
- Strategic Management (AREA)
- Accounting & Taxation (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Engineering & Computer Science (AREA)
- Entrepreneurship & Innovation (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Description
(関連出願)
本出願は、2006年8月11日出願の米国仮出願番号60/822,155「コンプライアンス評価報告サービス」の優先権を主張するものである。
本出願は、2006年8月11日出願の米国仮出願番号60/822,155「コンプライアンス評価報告サービス」の優先権を主張するものである。
証明書はオンライン証明オーソリティによって与えられ、例えば、宛先ウェブサイトにおける消費者信頼性を高めるようになっている。例えば、セキュア・ソケット・レイヤー(SSL)は暗号プロトコルであり、これは電子メール、電子商取引、及び他のデータ転送等のためのインターネット上の安全な通信を可能にする。SSLは、暗号技術を用いてインターネット上のエンドポイント認証及び通信機密を実現する。典型的な使用法において、唯一サーバーが信頼できることが証明されるが(つまりサーバーの身元が保証されるが)、クライアントは信頼できることが証明されていないままであり、相互認証は、クライアントへの公開鍵基盤(PKI)の導入を必要とする。SSLプロトコルにより、クライアント/サーバーのアプリケーションは盗聴、改ざん、及びメッセージ偽造を防止するように意図された方法で通信を行うことができる。従って、企業体は、顧客に対してセキュリティレベルを示すために、SSL証明書又は他の信頼性付き証明書を申請する場合が多い。
企業体がウェブサーバーと向かい合う彼らの顧客に対する証明書の取得を望む場合、企業体は、証明書がインストールされることになるサーバーに関する証明書署名要求(CSR)を生成する。CSRは、一次自動化手順を用いて生成される。CSR生成手順は、サーバーに対応するRSA鍵ペアを作成する。公開鍵は、企業及びサーバー情報と一緒に証明オーソリティへ送付される。証明オーソリティは、証明オーソリティ鍵を用いて公開鍵に署名を行い証明書としての他のデータと一緒に署名付き鍵を返送する。
証明書を発行する場合、例えば、ベリサイン(VeriSign)等の証明オーソリティが、証明書が発行された団体を正しく特定できることは重要である。さらに、証明オーソリティが証明書の受取人は本物であることを証明書することは重要である。例えば、唯一ベリサインは、複数の認証手続きの実行後にオンラインビジネス目的でSSL証明書を発行する。このような認証手続きとしては、a)依頼人の身元を確認して依頼人が合法的な組織であることを確かめること、b)依頼人がSSL証明書に記載のドメイン名の利用権を有していることを確かめること、及びc)SSL証明書を要求した個人は企業体を代表してこれを行うことが許可されたことを確認することを挙げることができる。
前述のセーフガードにもかかわらず、証明書を発行するための既存のプロセスを用いると多数の問題が発生する可能性がある。1つの問題は、SSL証明書又は別の信頼性付き証明書の有効性が、企業体及び/又は事業主が証明オーソリティに提供した情報に基づいていることにある。従って、証明オーソリティは、依然として第三者依頼人の信憑性に依存している。さらに、信頼性付き証明書は、単に企業体のサーバーを認証してクライアントとサーバーとの間のデータ保護をもたらす。データは保護されるが、消費者は企業体及び/又は事業主が本物であるという保証を得られない。また、消費者には企業体に関連する他の保証情報も提供されない。従って、現在の証明書許可プロセスは不十分である。
さらに、店舗施設で保証情報を消費者に提供することは重大な欠点がある。例えば、歯科医院は、壁面に掲示された所要の信用証明書及び/又は証明書をもつことができる。しかしながら、信用証明書及び/又は証明書は本物であること、又は依然として有効であることを消費者に保証するものではない。
企業体及び/又は事業主の身元を確認する公知の方法としては、事業主に、確認文書と一緒に証明オーソリティに物理的にあらわれることを要求すること、企業体の法人設立約定等のコピーを証明オーソリティに物理的に配布すること、及び/又は同様に確認が必要であろう第三者身元保証人にコンタクトをとることを挙げることができる。しかしながら、このような手続きには時間がかかり企業体及び証明オーソリティには煩わしいものである。
証明書の署名要求で提供された企業体情報を用いて、証明オーソリティが発行する証明書の信頼性を高めるための方法及びシステムが必要である。
証明された企業体サーバーを用いた電子金融取引における消費者信頼性を高めるための方法及びシステムに対するニーズが存在する。
店舗取引における消費者信頼性を高めるための方法及びシステムに対するニーズが存在する。
証明された企業体サーバーを用いた電子金融取引における消費者信頼性を高めるための方法及びシステムに対するニーズが存在する。
店舗取引における消費者信頼性を高めるための方法及びシステムに対するニーズが存在する。
また、データ機密保護(又は別のポリシー)コンプライアンス証明書の第三者コンプライアンス情報をカプセル化するための方法及びシステムに対するニーズも存在する。
本発明は前述の1つ又はそれ以上の問題を解決するものである。
本方法を説明する前に、本発明は、開示された特定の方法論又はプロトコルに限定されるものではなく、これらは変更可能であることを理解されたい。また、本明細書で使用する用語は、特定の実施形態を説明することだけを目的としており、本開示内容の範囲を限定するものではなく、特許請求の範囲によってのみ限定されることを理解されたい。
本明細書及び特許請求の範囲に使用する場合、単数形「a」「an」「the」は特に断らない限り、複数形を含むことに留意されたい。従って、例えば、「証明書」を参照する場合、1つ又はそれ以上の証明書及び当業者には公知の均等物を参照するものである。特に定義されない場合、本明細書で使用する全ての技術用語及び科学用語は、当業者が一般に理解しているような意味を有している。しかしながら、本明細書で説明されているものと類似、又は均等な任意の方法及び構成要素を、本発明の実施又は試験のために使用でき、好適な方法、装置、及び構成要素は以下に説明される。本明細書に記載した全ての刊行物は、引用によって本明細書に組み込まれる。ここで、従来の発明によるそのような開示に対して、本発明が先行しないものであると自認すると解釈されるべきではない。
企業体は、有資格の査定人から特定のセキュリティ基準又はポリシーに対するコンプライアンスの査定を要求することができる。査定人は、保証ポリシーに基づいて企業体を監査して企業体活動の1つ又はそれ以上の脆弱性を判定することができる。監査プロセスの結果は、業界共同体に送ることができる。1つの実施形態において、業界共同体と査定人とは同じエンティティとすることができる。監査結果としては、限定されるものではないが、例えば、査定データ、企業体識別子、一連のコンプライアンス結果、及び主張された機器を示す情報を挙げることができる。有資格の査定人は査定結果に署名を行い、署名付き査定結果を企業体に返送することができる。次に、企業体は、CSR内に署名付き査定結果を含めることによって、証明オーソリティからの証明書を申請又は更新することができる。別の実施形態において、有資格の査定人は、直接、査定結果を証明オーソリティに送ることができる。証明オーソリティは署名付き査定結果を確認して、企業体サーバーに返送される証明書にデータを含めることができる。
1つの実施形態において、電子商取引のための企業体に関する保証情報を顧客に提供する方法は、有資格の査定人に対して、企業体の活動を評価して保証ポリシーを用いてコンプライアンスを判定するように要求する段階と、有資格の査定人から署名付き査定結果を受信する段階と、査定人の秘密鍵を用いて結果に署名してコンプライアンス・トークンを形成する段階と、証明オーソリティに対して証明書の署名要求の一部としてコンプライアンス・トークンを送出する段階と、証明オーソリティからの署名付き査定結果を含む高信頼性の証明書を受信する段階と、証明書を用いて電子商取引の一部として顧客に対してセキュリティ情報を提供する段階とを含む。
図1は、一実施形態による、高信頼性の証明書を取得するための例示的なプロセスのハイレベル概略図を示す。図1の種々の態様は、以下に詳細に示す。好適な実施形態によるコンプライアンス報告サービスは、企業体10、査定人20、コンプライアンス体30、及び証明オーソリティ40を備える。最初に、企業体10は、査定人20からのコンプライアンス査定を要求することができる(110)。次に、査定人20は査定を行い、査定結果を企業体10に送信する(120)。企業体10は、コンプライアンス体30に査定結果を送出することができる(130)。次に、コンプライアンス体30は、査定結果がコンプライアンス体30の要件を満たしている場合には、コンプライアンス・トークンを企業体10に送信することができる(140)。企業体10が証明オーソリティに対してコンプライアンスを立証しようとする場合、企業体10は、証明オーソリティ40にコンプライアンス・トークンを送信する(150)。次に、証明オーソリティ40は、コンプライアンス証明書の信憑性を確認して、次に、証明オーソリティ40は、企業体10に対して信頼性のある証明書を送信することができる(160)。
図2は、一実施形態による高信頼性の証明書を取得するための例示的なプロセスを示す。図2に示すように、企業体等の依頼人は、識別情報を安全に提供して、証明オーソリティの前に物理的に出現することなく又は物理的に証拠書類を提出することなく、依頼人の身元の確認を行うことができる。企業体の身元の確認を行うために、企業体は有資格の査定人を申請することができ、有資格の査定人は、業界及び/又はセキュリティーポリシーを用いてコンプライアンスを決定する(210)。例えば、企業体は、PCIデータセキュリティスタンダード(PCIDSS:Payment Card Industry Data Security Standard)に適合するように努めることができる。このようなコンプライアンスを求める企業体は、オンラインセキュリティー手続き監査を開始できる。例えば、医療保険の携行性と責任に関する法律(HIPAA)に関するコンプライアンスを判定する監査等の、他の方法による及び/又は追加的なコンプライアンス監査を行うこともできる。1又はそれ以上の有資格の査定人の各々は、企業体及び/又は企業体のサービスにアクセスする消費者のニーズ及び要望に基づいて、1つ又はそれ以上の企業体活動の監査を行うことができる。
有資格の査定人は、企業体のサーバーを監査する際に、満たすべき1つ又はそれ以上の基準を設定することができる。監査の一部として、査定人は、企業体のサーバー上のコンプライアンス証明書に関連する特定の情報にアクセスしようとする場合がある。例えば、HIPAAコンプライアンスの有資格の査定人は、企業体のサーバーに格納された健康管理関連の情報にアクセスしようとする場合、及び/又はどのユーザも他のユーザの健康管理関連の情報にアクセスできないことを確認しようとする場合がある。類似の監査は、例えば、金融取引業界に関連する監査を申請する場合、会計情報に関連して行うことができる。前述のように、追加的な及び/又は別の方法による監査を行って、異なる要件に対するコンプライアンスを判定することができる。
企業体システムの監査が正常に終了すると、有資格の査定人は、企業体に対してデジタル・コンプライアンス・トークンを発行することができる(220)。デジタル・コンプライアンス・トークンは、例えば、有資格の査定人の秘密鍵を使用して、署名されたコンプライアンス証明書を含むことができる。さらに、コンプライアンス・トークンは、トークンを発行する有資格の査定人の身元情報、及び/又は企業体のサーバーに組み込まれた特定のプロセス及び/又はセーフガードを含むことができ、これにより有資格の査定人は監査が正常であったことを判定できる。
次に、企業体は、証明オーソリティに送出した証明書の署名要求内に、各々のコンプライアンス・トークンを含めることができ、適切な基準のコンプライアンスを示すようになっている(230)。別の実施形態において、有資格の査定人は、直接、デジタル・コンプライアンス・トークンを証明オーソリティに送信することができる。このような実施形態は、例えば、第三者コンプライアンス・トークンが要求される場合に、企業体が有資格の査定人にそうするように指示した場合に実施される場合がある。
証明オーソリティは、コンプライアンス・トークンが本物であることを確認することができる(240)。さらに、証明オーソリティは、企業体のウェブサイトを監査して、それぞれの要件に対するコンプライアンスを判定することができる。コンプライアンス・トークンが本物と判定された場合、及び/又は証明オーソリティが企業体のウェブサイトがその要件に適合していると判定した場合、証明オーソリティは、証明オーソリティの秘密鍵を用いてトークンに署名すること(250)、及び信頼性のある証明書の情報の一部としてコンプライアンス・トークンを含めることができる(260)。
前述の例示的なプロセスは、企業体のサーバーに関する、信頼性のある証明書だけを提供するよりも実質的に有用な情報を提供できる。例えば、コンプライアンス・トークンを含むSSL証明書は、企業体の第三者確認をもたらすことができ、結果的に企業体との相互通信に対するハイレベルな顧客保証を実現することができる。このような確認は、特定の企業体を「信用」するために消費者が要求する複数の規制及び/又は他のデータコンプライアンス基準に拡張することができる。
信頼性のある証明書を参照して、例示的なプロセスを説明する。しかしながら、当業者であれば、最終的な証明オーソリティは、任意の基準を用いてコンプライアンスを保証することを理解できるはずである。従って、本発明は、本明細書の実施形態に限定されるものではなく、任意のコンプライアンス組織が、コンプライアンス・トークンをカプセル化した証明書を発行できることが意図されている。
図3は、一実施形態による、コンプライアンス査定人と証明オーソリティとの間のセットアップ・プロセスを示す。図3に示すように、第三者の有資格の査定人は、査定人の鍵ペアを生成することができる(310)。例えば、RSAアルゴリズムを用いて公開鍵及び秘密鍵を作ることができる。第三者の有資格の査定人は、随意的に、公開鍵にデジタル署名を行い(320)、署名付き公開鍵を証明オーソリティに送信する(330)。証明オーソリティは、有資格の査定人が秘密鍵を用いて署名したメッセージを、公開鍵を用いて復号することができる(340)。当業者であれば理解できるように、別の公開鍵暗号化/復号化アルゴリズムを本開示の範囲で用いることもできる。さらに、秘密鍵の暗号化/復号化アルゴリズムを用いることもできる。または、コンプライアンス査定人は、署名に使用する証明鍵ペアを1つ又はそれ以上の証明オーソリティから受け取ることもできる。
図4は、一実施形態による、クライアントブラウザによって企業体に関するコンプライアンス情報を表示する例示的なプロセスを示す。図4に示すように、例えば、限定されるものではないが、Microsoft Internet Explorer(登録商標)又はNetscape Navigator(登録商標)等のクライアントブラウザは、コンプライアンス証明書が組み込まれた企業体のウェブサイトにアクセスするために使用できる(410)。クライアントブラウザは、1つ又はそれ以上の証明オーソリティに関連する、1つ又はそれ以上のルート鍵を含むことができる。各々のルート鍵は、クライアントブラウザのインストール時点でクライアントのコンピュータに格納することができる。クライアントブラウザが企業体のウェブサイトにアクセスする際に、企業体は、クライアントブラウザに対して信頼性付き証明書を送信することができる(420)。信頼性のある証明書に署名する証明オーソリティに関するルート鍵は、証明書を復号するために使用できる(430)。次に、証明書は、クライアントブラウザによって確認することができる(340)。確認済み証明書が、高信頼性の証明書ではないと判定された場合、クライアントブラウザは、クライアントに対して、企業体のウェブサイトが第三者確認を含んでおらず、特定の好適なセーフガードが企業体ウェブサイトに組み込まれていない等の警告メッセージを表示できる。逆に、確認済み証明書が、高信頼性の証明書であると判定された場合、クライアントブラウザは、1つ又はそれ以上の第三者の有資格の査定人及び/又は業界共同体の監査によって生じるコンプライアンス・トークンに対応するコンプライアンス・データを表示できる。
本発明の別の実施形態において、店舗施設の顧客に保証情報を与えることができる。図5を参照すると、有資格の査定人は、業界及び/又はセキュリティーポリシーでもって、店舗施設のコンプライアンスを判定できる(510)。次に、有資格の査定人は、査定結果に基づいて、証明オーソリティに対してデジタル・コンプライアンス・トークンを発行することができる(520)。デジタル・コンプライアンス・トークンは、有資格の査定人の秘密鍵を用いて署名されたコンプライアンス結果を含むことが好ましい。さらに、コンプライアンス・トークンは、例えば、トークンを発行した有資格の査定人の身元情報、及び/又は店舗施設が実行し、監査が正常であったことを有資格の査定人が判定することを可能にする特定のプロセス及び/又はセーフガードを含むことができる。さらに、コンプライアンス・トークンは、有資格の査定人の公開鍵を含むことができる。証明オーソリティは、有資格の査定人の公開鍵を用いて、コンプライアンス・トークンが本物であることを確認することができる(530)。コンプライアンス・トークンが本物であると判定された場合、証明オーソリティは、証明オーソリティの秘密鍵を用いてコンプライアンス・トークンに署名することができ(540)、結果的に、信頼性のある証明書を生成する(550)。次に、信頼性のある証明書は、セキュリティデカール(security decal)又は類似のデバイスに組み込まれている無線トークンに組み入れることができる(560)。無線トークンは、近接通信、無線個体識別、又は類似の通信プロトコル等の無線通信プロトコルを実行することができる。次に、セキュリティデカールは、店舗施設に配置することができる(570)。セキュリティデカールは、入口又は前方の窓等の目立つ場所に配置することが好ましい。
携帯電子機器は、図6を参照すると、顧客は、業界及び/又はセキュリティーポリシーを用いて、店舗施設のコンプライアンスを確認することができる。顧客の携帯電子機器は、証明オーソリティの公開鍵を受信することができる(610)。顧客の携帯電子機器としては、例えば、携帯電話、携帯情報端末、携帯電子メール機器等を挙げることができる。次に、顧客が店舗施設に到着すると、携帯電子機器によって無線トークンからの信頼性付き証明書を読み取ることができる(620)。次に、携帯電子機器は、証明オーソリティの公開鍵を使用して、信頼性付き証明書が証明オーソリティによって署名されていることを確認することができる(630)。次に、携帯電子機器は、有資格の査定人の公開鍵を使用して、有資格の査定人の公開鍵を使用するコンプライアンス結果の信憑性を確認することができる(640)。最後に、携帯電子機器は、顧客に対してコンプライアンス結果を表示することができる(650)。以上の方法により、既存のオンライン証明オーソリティ/有資格の査定人システムを店舗施設に拡張することができる。
前述の及び別の種々の特徴及び機能又はその代替例は、好適に多数の他の異なるシステムに組み合わせることができることを理解されたい。また、種々の現在予見できない又は不測の代替例、変更例、変形例、又はその改良例は、当業者であればその後に作ることができ、これらは開示された実施形態に包含されることを理解されたい。
Claims (24)
- 顧客に対して電子商取引のための企業体に関する保証情報を提供するコンピュータに実装された方法であって、前記コンピュータが、
証明書の署名要求の一部として証明オーソリティサーバにコンプライアンス・トークンデータを送信する段階であって、前記コンプライアンス・トークンデータは、コンプライアンスレベルを保証ポリシーであらわした査定結果を有する少なくとも1つのデータ要素を含み、
前記証明オーソリティサーバに前記コンプライアンス・トークンデータを送信することに応答して、前記送信されたコンプライアンス・トークンデータの少なくとも一部が前記証明オーソリティサーバによって認証されていることを示すデータ要素を含む信頼性付き証明書データを、前記証明オーソリティサーバから受信する段階であって、前記コンプライアンス・トークンデータの認証は、前記コンプライアンス・トークンデータの少なくとも1つのデータ要素が前記保証ポリシーに準拠するレベルで、査定人のコンピュータで暗号化署名されていることを示し、
電子商取引の一部としてセキュリティ情報を前記顧客に提供するために、前記顧客のコンピュータに前記信頼性付き証明書データを送信する段階と、
を実行することを特徴とする方法。 - 前記保証ポリシーが、クレジットカード業界のセキュリティ基準(Payment Card Industry Data Security Standard)であることを特徴とする請求項1に記載のコンピュータに実装された方法。
- 前記保証ポリシーが、医療保険の相互運用性と責任に関する法律(Health Insurance Portability and Accountability Act)を用いてコンプライアンスを保証することを特徴とする請求項1に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータが、前記査定人の身元情報を示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項1に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータが、査定データをあらわす少なくとも1つのデータ要素及び企業体の身元情報をあらわす少なくとも1つのデータ要素をさらに含むことを特徴とする請求項1に記載のコンピュータに実装された方法。
- 前記査定人が、保証ポリシーを規定していることを特徴とする請求項1に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータは、前記査定人が優良であることを示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項1に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータが、査定結果が所要の手順又は手続きに従って生成されたことを示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項1に記載のコンピュータに実装された方法。
- 顧客に対して電子商取引のための企業体に関する保証情報を提供するコンピュータに実装された方法であって、前記コンピュータが、
企業体の活動の見直しを実行するための要求を査定人のコンピュータに送信し、前記要求が特定する保証ポリシーを用いてコンプライアンスを判定する段階と、
前記査定人のコンピュータから、前記見直しに基づき且つ該査定人の秘密鍵で暗号化署名された査定結果データを受信する段階と、
コンプライアンス・サーバに前記査定結果データを送信する段階と、
前記コンプライアンス・サーバに前記査定結果データを送信することに応答して、前記コンプライアンス・サーバから、前記査定結果データを示す少なくとも1つのデータ要素を含み且つ該コンプライアンス・サーバの秘密鍵で暗号化署名されたコンプライアンス・トークンを受信する段階と、
証明書の署名要求の一部として前記コンプライアンス・トークンデータを証明オーソリティサーバへ送信する段階と、
前記証明オーソリティサーバに前記コンプライアンス・トークンデータを送信することに応答して、前記証明オーソリティサーバから前記コンプライアンス・トークンデータの少なくとも1つのデータ要素を含む信頼性付き証明書データを受信する段階と、
前記顧客と前記企業体との間の電子商取引の一部としてセキュリティ情報を前記顧客に提供するために、前記信頼性付き証明書データを前記顧客のコンピュータへ送信する段階と、
を実行することを特徴とする方法。 - 前記保証ポリシーが、クレジットカード業界のセキュリティ基準(Payment Card Industry Data Security Standard)であることを特徴とする請求項9に記載のコンピュータに実装された方法。
- 前記保証ポリシーが、医療保険の相互運用性と責任に関する法律(Health Insurance Portability and Accountability Act)を用いてコンプライアンスを保証することを特徴とする請求項9に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータが、前記査定人の身元情報を示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項9に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータが、査定データをあらわす少なくとも1つのデータ要素及び企業体の身元情報をあらわす少なくとも1つのデータ要素をさらに含むことを特徴とする請求項9に記載のコンピュータに実装された方法。
- 前記査定人と前記コンプライアンス・サーバが同じエンティティであることを特徴とする請求項9に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータは、前記査定人が優良であることを示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項9に記載のコンピュータに実装された方法。
- 前記コンプライアンス・トークンデータは、コンプライアンス・サーバが要求する所要の手順従って査定結果が生成されたことを示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項9に記載のコンピュータに実装された方法。
- 携帯電子機器を使用して商取引を行う顧客に対して店舗施設に関する保証情報を提供する方法であって、前記携帯電子機器が、
前記携帯電子機器上で証明オーソリティの公開鍵を受信する段階と、
前記店舗施設に配置された無線トークンから、有資格の査定人のコンピュータを介して送信されたコンプライアンス結果を示す少なくとも1つのデータ要素を含む信頼性付き証明書データを、前記携帯電子機器内に読み出す段階と、
前記携帯電子機器は、前記無線トークンから前記信頼性付き証明書データを読み出すことに応答して、前記信頼性付き証明書データが証明オーソリティによって暗号化署名されていることを確認する段階と、
前記携帯電子機器は、前記信頼性付き証明書データが前記証明オーソリティによって暗号化署名されていることを確認することに応じて、前記顧客に対し、前記信頼性付き証明書データにおけるコンプライアンスを示すデータ要素の少なくとも一部に基づくコンプライアンス結果に関する情報を前記携帯電子機器上に表示する段階と、
を実行することを特徴とする方法。 - 前記携帯電子機器は、前記無線トークンから前記信頼性付き証明書データを読み出すことに応答して、前記有資格の査定人の公開鍵を用いて、前記コンプライアンス結果の信憑性を確認する段階をさらに実行することを特徴とする請求項17に記載の方法。
- 前記信頼性付き証明書データが、前記有資格の査定人の身元情報を示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項17に記載の方法。
- 前記信頼性付き証明書データが、査定データをあらわす少なくとも1つのデータ要素及び前記店舗施設の身元情報をあらわす少なくとも1つのデータ要素をさらに含むことを特徴とする請求項17に記載の方法。
- 前記有資格の査定人及び前記証明オーソリティが、同じエンティティであることを特徴とする請求項17に記載の方法。
- 前記信頼性付き証明書データは、前記有資格の査定人が優良であることを示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項17に記載の方法。
- 前記信頼性付き証明書データは、コンプライアンス機関が要求する手順に従って、査定結果が生成されたことを示す少なくとも1つのデータ要素をさらに含むことを特徴とする請求項17に記載の方法。
- 携帯電子機器を使用して商取引を行う顧客に対して店舗施設に関する保証情報を提供する手順をコンピュータに実行させるためのプログラムを記録したコンピュータ読み取り可能な記録媒体であって、前記コンピュータに、
前記携帯電子機器上で証明オーソリティの公開鍵を受信する手順と、
前記店舗施設に配置された無線トークンから、コンプライアンス機関が要求する手順に従って査定結果が生成されたことを示し且つ有資格の査定人のコンピュータを介して送信されたコンプライアンス結果を示す少なくとも1つのデータ要素を含む信頼性付き証明書データを、前記携帯電子機器に読み出す手順と、
前記無線トークンから前記信頼性付き証明書データを読み出すことに応答して、前記携帯電子機器は、前記信頼性付き証明書データが証明オーソリティによって暗号化署名されていることを確認する手順と、
前記信頼性付き証明書データが前記証明オーソリティによって暗号化署名されていることを確認することに応じて、前記携帯電子機器上で前記顧客に対し、前記信頼性付き証明書データにおけるコンプライアンスを示すデータ要素の少なくとも一部に基づくコンプライアンス結果に関する情報を表示する手順と、
を実行させるコンピュータ読み取り可能な記録媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US82215506P | 2006-08-11 | 2006-08-11 | |
| US60/822,155 | 2006-08-11 | ||
| PCT/US2007/075835 WO2008022086A2 (en) | 2006-08-11 | 2007-08-13 | Compliance assessment reporting service |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010500851A JP2010500851A (ja) | 2010-01-07 |
| JP5340938B2 true JP5340938B2 (ja) | 2013-11-13 |
Family
ID=39083035
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009524757A Expired - Fee Related JP5340938B2 (ja) | 2006-08-11 | 2007-08-13 | コンプライアンス評価報告サービス |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US20080082354A1 (ja) |
| JP (1) | JP5340938B2 (ja) |
| KR (1) | KR20090051748A (ja) |
| AU (1) | AU2007286004B2 (ja) |
| BR (1) | BRPI0715920A2 (ja) |
| CA (1) | CA2660185A1 (ja) |
| MX (1) | MX2009001592A (ja) |
| RU (1) | RU2451425C2 (ja) |
| WO (1) | WO2008022086A2 (ja) |
| ZA (1) | ZA200901699B (ja) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4128610B1 (ja) * | 2007-10-05 | 2008-07-30 | グローバルサイン株式会社 | サーバ証明書発行システム |
| US20110238587A1 (en) * | 2008-09-23 | 2011-09-29 | Savvis, Inc. | Policy management system and method |
| US8656452B2 (en) * | 2010-07-20 | 2014-02-18 | Hewlett-Packard Development Company, L.P. | Data assurance |
| US8621649B1 (en) * | 2011-03-31 | 2013-12-31 | Emc Corporation | Providing a security-sensitive environment |
| US9210051B2 (en) * | 2012-09-12 | 2015-12-08 | Empire Technology Development Llc | Compound certifications for assurance without revealing infrastructure |
| US20140259003A1 (en) * | 2013-03-07 | 2014-09-11 | Go Daddy Operating Company, LLC | Method for trusted application deployment |
| US20140259004A1 (en) * | 2013-03-07 | 2014-09-11 | Go Daddy Operating Company, LLC | System for trusted application deployment |
| US10235676B2 (en) * | 2015-05-12 | 2019-03-19 | The Toronto-Dominion Bank | Systems and methods for accessing computational resources in an open environment |
| US10878427B2 (en) * | 2016-04-26 | 2020-12-29 | ISMS Solutions, LLC | System and method to ensure compliance with standards |
| US11494783B2 (en) * | 2017-01-18 | 2022-11-08 | International Business Machines Corporation | Display and shelf space audit system |
| US10505918B2 (en) * | 2017-06-28 | 2019-12-10 | Cisco Technology, Inc. | Cloud application fingerprint |
| KR102504361B1 (ko) * | 2017-12-13 | 2023-02-28 | 비자 인터네셔널 서비스 어소시에이션 | 보안 트랜잭션용 장치의 자가 인증 |
| US10735198B1 (en) | 2019-11-13 | 2020-08-04 | Capital One Services, Llc | Systems and methods for tokenized data delegation and protection |
| US20240171406A1 (en) * | 2022-11-22 | 2024-05-23 | Microsoft Technology Licensing, Llc | Sharing security settings between entities using verifiable credentials |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6108788A (en) * | 1997-12-08 | 2000-08-22 | Entrust Technologies Limited | Certificate management system and method for a communication security system |
| US6957334B1 (en) * | 1999-06-23 | 2005-10-18 | Mastercard International Incorporated | Method and system for secure guaranteed transactions over a computer network |
| JP4098455B2 (ja) * | 2000-03-10 | 2008-06-11 | 株式会社日立製作所 | マーク画像中の電子透かし情報の参照方法及び計算機 |
| WO2001084446A1 (en) * | 2000-05-04 | 2001-11-08 | General Electric Capital Corporation | Methods and systems for compliance program assessment |
| WO2002007110A2 (en) * | 2000-07-17 | 2002-01-24 | Connell Richard O | System and methods of validating an authorized user of a payment card and authorization of a payment card transaction |
| EP1323061A1 (en) * | 2000-08-14 | 2003-07-02 | Peter H. Gien | System and method for facilitating signing by buyers in electronic commerce |
| BR0203323A (pt) * | 2001-04-19 | 2003-04-08 | Ntt Docomo Inc | Aperfeiçoamento introduzido em sistema de terminal de comunicação |
| US20040243802A1 (en) * | 2001-07-16 | 2004-12-02 | Jorba Andreu Riera | System and method employed to enable a user to securely validate that an internet retail site satisfied pre-determined conditions |
| US20030078987A1 (en) * | 2001-10-24 | 2003-04-24 | Oleg Serebrennikov | Navigating network communications resources based on telephone-number metadata |
| EP1738239A1 (en) * | 2004-04-12 | 2007-01-03 | Intercomputer Corporation | Secure messaging system |
| AU2005241560A1 (en) * | 2004-05-05 | 2005-11-17 | Ims Software Services, Ltd. | Data encryption applications for multi-source longitudinal patient-level data integration |
| US7627896B2 (en) * | 2004-12-24 | 2009-12-01 | Check Point Software Technologies, Inc. | Security system providing methodology for cooperative enforcement of security policies during SSL sessions |
| US8365293B2 (en) * | 2005-01-25 | 2013-01-29 | Redphone Security, Inc. | Securing computer network interactions between entities with authorization assurances |
| DE602006015806D1 (de) * | 2005-05-20 | 2010-09-09 | Nxp Bv | Verfahren zum sicheren lesen von daten von einem transponder |
-
2007
- 2007-08-13 WO PCT/US2007/075835 patent/WO2008022086A2/en active Application Filing
- 2007-08-13 RU RU2009104736/08A patent/RU2451425C2/ru not_active IP Right Cessation
- 2007-08-13 US US11/838,146 patent/US20080082354A1/en not_active Abandoned
- 2007-08-13 BR BRPI0715920-0A patent/BRPI0715920A2/pt not_active IP Right Cessation
- 2007-08-13 CA CA002660185A patent/CA2660185A1/en not_active Abandoned
- 2007-08-13 KR KR1020097004898A patent/KR20090051748A/ko active IP Right Grant
- 2007-08-13 JP JP2009524757A patent/JP5340938B2/ja not_active Expired - Fee Related
- 2007-08-13 MX MX2009001592A patent/MX2009001592A/es unknown
- 2007-08-13 AU AU2007286004A patent/AU2007286004B2/en active Active
-
2009
- 2009-03-10 ZA ZA2009/01699A patent/ZA200901699B/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| RU2451425C2 (ru) | 2012-05-20 |
| BRPI0715920A2 (pt) | 2013-07-30 |
| RU2009104736A (ru) | 2010-08-20 |
| WO2008022086A2 (en) | 2008-02-21 |
| ZA200901699B (en) | 2011-08-31 |
| US20080082354A1 (en) | 2008-04-03 |
| MX2009001592A (es) | 2009-06-03 |
| AU2007286004B2 (en) | 2011-11-10 |
| JP2010500851A (ja) | 2010-01-07 |
| AU2007286004A1 (en) | 2008-02-21 |
| CA2660185A1 (en) | 2008-02-21 |
| KR20090051748A (ko) | 2009-05-22 |
| WO2008022086A3 (en) | 2008-12-18 |
| WO2008022086A4 (en) | 2009-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5340938B2 (ja) | コンプライアンス評価報告サービス | |
| JP4109548B2 (ja) | 端末通信システム | |
| CA2531533C (en) | Session-based public key infrastructure | |
| US7231659B2 (en) | Entity authentication in a shared hosting computer network environment | |
| JP4503794B2 (ja) | コンテンツ提供方法及び装置 | |
| CN110874464A (zh) | 用户身份认证数据的管理方法和设备 | |
| CN101546407B (zh) | 基于数字证书的电子商务系统及其管理方法 | |
| US20080201575A1 (en) | Systems and methods for automating certification authority practices | |
| US20110055556A1 (en) | Method for providing anonymous public key infrastructure and method for providing service using the same | |
| JP2004023796A (ja) | 選択的に開示可能なデジタル証明書 | |
| JPH10504150A (ja) | 商用暗号システムにおけるディジタル署名を安全に使用するための方法 | |
| CN112199721A (zh) | 认证信息处理方法、装置、设备及存储介质 | |
| Hunt | Technological infrastructure for PKI and digital certification | |
| Bhiogade | Secure socket layer | |
| Rattan et al. | E-Commerce Security using PKI approach | |
| CN100377525C (zh) | 流媒体业务服务实现方法、业务提供系统及运营支撑系统 | |
| Romao et al. | Secure mobile agent digital signatures with proxy certificates | |
| KR20090017839A (ko) | 모바일 단말 이용한 전자서명 무선공인인증서비스 시스템및 제공방법 | |
| JP2003188873A (ja) | 認証方法、およびその方法を利用可能な認証装置、ユーザシステムおよび認証システム | |
| JP2002132996A (ja) | 情報存在証明サーバ、情報存在証明方法、および情報存在証明制御プログラム | |
| JP2013236185A (ja) | 電子署名代行サーバ、電子署名代行システム及び電子署名代行方法 | |
| JP2007164639A (ja) | 時刻監査サーバ及び時刻監査方法 | |
| Crispo et al. | WWW security and trusted third party services | |
| CN107360003A (zh) | 数字证书的签发方法、系统、存储介质以及移动终端 | |
| KR20180088106A (ko) | 인증서 발급 시스템 및 이를 이용한 전자 거래 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20100809 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121029 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130129 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130205 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20130226 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20130708 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20130807 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |