PCI DSS v3.0に準拠しました

PCI DSS

PCI DSSはAmerican Express、Discover、JCB、MasterCard、Visaの5つの国際カードブランドが共同で設立したPCI SSCにより策定され3年の周期で基準が改定されています。 2014年1月1日より、PDI DSSの新バージョンである3.0の適用が開始となりました。 WebPayではこれまでPCI DSS v2.0に準拠していましたが、 国際マネジメントシステム認証機構によるオンサイト監査を受け、PCI DSS v3.0に準拠しましたのでご報告いたします。

PCI DSSに関連する法律

クレジットカード情報を取り扱う全ての事業者は、PCI DSSに準拠する必要があります。 米国では、PCI DSS非準拠加盟店がクレジットカード情報を漏洩させた場合の罰則規定を明確化する動きがあります。 既にミネソタ州、ネバダ州、ワシントン州では州法として施行されています。

日本では、平成20年12月に改正割賦販売法が施行されました。 クレジットカード情報の適切な管理をするための規則を、認定割賦販売協会が制定することとなっています。 カード会社に対し、個人情報保護法では保護対象外になっているクレジットカード情報の保護のために必要な措置を講じることを義務付けるよう、施行規則が改正されました。 経済産業省により認定割賦販売協会として、「社団法人日本クレジット協会」が認定されています。 「社団法人日本クレジット協会」が情報保護のために定めた実行計画で、PCI DSSを基準とする旨が書かれています。 上記をまとめますと、日本でもクレジットカード情報を保護するための基準はPCI DSSに置かれており、保護の監督責任はカード会社にあるということになります。

v2.0からv3.0の変更点

PCI DSS v3.0では、

  • Education and Awareness(教育と啓蒙)
  • Increased Flexibility(柔軟性の向上)
  • Security as a Shared Reponsibility(共有責任としてのセキュリティ)

の3点が重要視されています。

「教育と啓蒙」として、セキュリティやPCI DSSについての理解をより深めてもらうため、要件の補足やガイダンスの追加などが行われています。 「柔軟性の向上」として、PCI DSSの要件が要求する実装方法に柔軟性が持たされています。 「共有責任としてのセキュリティ」では、ビジネスパートナーとクレジットカード情報を共有する際に、クレジットカード情報保護の責任についても共有することを要求しています。

WebPayの安全な利用方法

PCI DSS準拠をはじめとして、安全な決済の実現のために様々な工夫をこらしています。 しかし、正しく利用しなければ安全性は担保できません。 安全性を担保するために気をつけていただきたいポイントをガイドラインにまとめています。 ガイドラインの中でも、PCI DSS関連でセキュリティ確保のために気をつけていただきたい点を抜粋してご紹介します。

カード情報を自前のサービス、サイトのサーバに送信しない

カード情報を保存することや、自前のサービス等に送信することはとてもリスクが高い行為です。 また、カード情報漏洩の三大リスクポイントは以下の3つだと言われています。

  • ストレージなどに「保存」する
  • プログラムなどで「処理」する
  • ネットワーク上を「伝送」する

以下の3点を確認して下さい。カード情報に関するデータフロー図を書いてみることをおすすめします。 「処理」・「伝送」・「保存」のうち、何を行っているのか把握し開発チームで意識とリスクを共有しましょう。

  • カード情報の送信先を明らかにすること
  • カード情報の保存が行われていないこと
  • ログなどにカード情報がないこと

これを実現するために、WebPayではカードの情報を一切自前のサーバ側に送信せず、ユーザのクライアントサイドとWebPayの間でのみ通信を行う トークン決済の仕組みを提供していますので、そちらを利用するようにして下さい。

通信をすべて暗号化する

カード情報をそのまま送信するしないに関わらず、決済に関わる全ての通信をSSLを用いて暗号化してください。安全性に優れたSSLの暗号化アルゴリズムの使用を推奨します。 安全性に優れた暗号化については、電子政府推奨暗号を参照するとよいでしょう。

メンテナンスされていないバージョンやライブラリを使用しない

メンテナンスが終了しているバージョンのソフトウェアは使用しないでください。危険な脆弱性が発見されていても対処されていない可能性があります。 お使いのソフトウェアを定期的に最新バージョンへ更新してください。 ここで指すソフトウェアは例えば、以下のものを含みます。

  • OS
  • OpenSSLやOpenSSHなど、暗号化に関わるライブラリ
  • glibcなどの標準的なライブラリ
  • MySQLやPostgreSQLなどデータベースソフトウェア
  • NginxなどWebサーバソフトウェアと周辺ライブラリ
  • Rubyなどプログラミング言語と周辺ライブラリ

WebPayが配布しているライブラリやツールは古い環境での動作を保証しておりません。 WebPayはアップデートや公式のサポートが終了した環境から利用できなくなるような変更を予告なく行うことがあります。

不要になった顧客・カード情報を破棄する

上述のとおり、カード情報の保存はリスクが伴います。サービスから利用者が退会した場合や、一定期間(例えば1年)利用がなかった場合など、不要になった顧客・カード情報はWebPayから削除してください。 方法はAPIドキュメントを参照してください。 ダッシュボードからでも同等の操作を実行できますが、確実に運用するためにAPIを利用してプログラムに組込むことをお勧めします。