セキュリティへの取り組み

WebPayではお預かりしたクレジットカード情報を安全に取り扱えるよう、セキュリティ基準への準拠、セキュリティテストの定期的な実施をするなど、クレジットカード情報を守るための取り組みを続けています。 また、WebPayだけでなくWebPayを利用するサービス提供者、ECサイトの運営者においてもセキュリティ上のリスクが少なくなるよう、技術的な仕組みやサービスの提供に努めています。

PCI DSSへの完全準拠とその運用

PCI DSS(Payment Card Industry Data Security Standard)は、American Express、Discover、JCB、MasterCard、Visaの5つの国際カードブランドが共同で設立した PCI Security Standards Council(PCI SSC) によって策定されているクレジットカード情報漏洩防止の国際セキュリティ標準です。

クレジットカード情報を取り扱う全ての事業者は、PCI DSSに準拠する必要があります。 米国では、PCI DSS非準拠加盟店がクレジットカード情報を漏洩させた場合の罰則規定を明確化する動きがあり、 既にミネソタ州、ネバダ州、ワシントン州では州法として施行されています。

日本国内でも経済産業省が策定したクレジットカード情報利用のガイドラインでPCI DSS準拠を必須にしており、 昨今頻発している、大規模なクレジットカード情報の流出についてはPCI DSSに準拠せずにクレジットカード情報を取り扱っていた業者によるものがほとんどです。

PCI DSSの要件

PCI DSSではクレジットカード情報を取り扱う事業者が満たすべき要件を定めています。 この要件の中には、ファイアーウォールやデータベースの管理といった技術的な内容や情報セキュリティポリシーやプロセスの管理などの内容が含まれ、具体的な施策と定量的な基準が示されています。

また、基準自体も3年ごとに改定されており、セキュリティレベル向上のためのその時代に合わせたベストプラクティスが盛り込まれています。 現在の要件は以下の12項目から構成されており、要件の総数は300を越えます。

  • カード会員データを保護するために、ファイアーウォールをインストールして維持する
  • システムパスワードおよびその他のセキュリティパラメータにベンダ提供のデフォルト値を使用しない
  • 保存されるカード会員データを保護する
  • オープンな公共ネットワーク経由でカード会員データを伝送する場合、暗号化する
  • アンチウイルスソフトウェアまたはプログラムを使用し、定期的に更新する
  • 安全性の高いシステムとアプリケーションを開発し、保守する
  • カード会員データへのアクセスを、業務上必要な範囲内に制限する
  • システムコンポーネントへのアクセスを識別、認証する
  • カード会員データへの物理アクセスを制限する
  • ネットワークリソースおよびカード会員データへのすべてのアクセスを追跡および監視する
  • セキュリティシステムおよびプロセスを定期的にテストする
  • すべての担当者の情報セキュリティに対応するポリシーを整備する

現在、WebPayはPCI DSS v3.0に完全準拠しており、 国際マネジメントシステム認証機構 により監査の上、認証された決済ゲートウェイシステムのサービスプロバイダとして上記の要件を全て満たしています。

保存・取得しないデータ

PCI DSSでの要件に則り、セキュリティコード(CVC/CVV)の保存は行っておりません。 また、クレジットカードの磁気データや暗証番号については一切取得を行っておりません。

データの暗号化

WebPayでは、ブログなどを除いたほぼすべての通信においてHTTPSを利用しており、トークン決済などWebPayとして提供しているカード情報の伝送における情報は更に公開鍵暗号を施し、漏洩のリスクの低減を図っています。

お預かりした、すべてのカード番号はAES-256を利用して暗号化して保存しており、更に暗号解読のための鍵は、物理的に別の場所で保管しています。 それぞれの暗号化に用いる暗号方式は、CRYPTREC暗号リストを参考に定期的に見直しを行っており、セキュリティ上危険であると判断される場合には即時で問題の無い暗号化方式への変更に取り組んでいます。

トークン決済機能の提供

カード情報漏洩の三大リスクポイントは以下の3つだと言われています。

  • ストレージなどに「保存」する
  • プログラムなどで「処理」する
  • ネットワーク上を「伝送」する
WebPayの利用者は、課金の際に トークン決済 の機能を正しく利用することで、上述したクレジットカード情報の「保存」「処理」「伝送」を行わずにクレジットカード決済を利用できるようになるため 利用者のサービス側での情報漏洩のリスクが軽減されます。

クライアントサイドでは、右図のとおり、クレジットカード情報を購入者から直接WebPayとやり取りを行い、代替の情報(トークン)に変換することで、 利用者のサーバやネットワーク上を生のクレジットカードの情報が「伝送」「処理」されないように出来ます。

また、サーバサイドに1度保存されたクレジットカード情報は顧客情報に結びつけて保存することができ、該当の顧客のIDを控えておくことで、 後から何度でも保存されたカードに対して決済を発生させることが可能です。

Payments_with_token

セキュリティテストの定期的な実施

WebPayでは、セキュリティテストを各種実施しています。 アプリケーションやネットワークのペネトレーションテスト、内部/外部ネットワークの脆弱性スキャンを定期的に行っています。