PCIに準拠

ペイメントカード業界のセキュリティ基準協議会(Payment Card Industry Security Standards Council)は、クレジットカード情報の保護のためのセキュリティ水準を規定しており、これはPCIデータセキュリティスタンダード(PCI-DSSまたはPCI)と呼ばれます。クレジットカード情報を送信・処理・保存する場合、PCIへの準拠が期待されることとなります。

ホスティングを用いてオンラインでのプレゼンスや製品カタログの設定をすることができます。サードパーティのプロバイダにより自分に代わって支払処理を行うことで、クレジットカードを自分のサーバーに留めないことも可能です(PayPal Checkout、Square、Online Checkout、Stripe Checkoutなど)。事業をPCIに準拠した状態に保つための追加の要項についても注意しましょう。

サイト上で直接支払を受けたい場合、弊社は、管理WordPress EコマースホスティングオンラインストアオンラインアポイントメントといったPCIに準拠した製品を提供しております。PCI準拠には協働での取り組みが必要です。そのため、弊社のPCI準拠ソリューションが用いられるとき、弊社は、顧客のクレジットカード情報を保護するための弊社のプロセスやシステムをデザインし、アカウントを守って頂けるように致します。

オンラインストアとオンラインアポイントメント

オンラインストアやオンラインアポイントメントを通じての支払は、クレジットカード情報を安全な環境で処理するサードパーティに統合されます。これらの製品はお客様のWebサイトで少量のコードを用いて顧客がクレジットカード情報をサイトに直接入力できるようにします。これにより、アカウントを守るための数ステップでPCI準拠を実現できます。

  • ユーザー管理
    • ユーザーには常にユニークIDを割り当て、強いパスワードを用いてください。
    • 共有IDやパスワードの類いは用いないでください。
    • 現在アクセスがないユーザーは除外してください。
  • 紙記録(非デジタル)
    • クレジットカード情報を書面で収集する場合、情報へのアクセス権を管理し、不要になったら破棄してください。
  • サービスプロバイダコンプライアンス
    • 紙記録やアカウントを管理するサービスを利用する場合、そのサービスプロバイダーが、クレジットカードの情報を安全に扱うことについて責任を負うことについて確認し、そのプロバイダが職務を全うする上で不安がないようにしてください。
  • インシデント対応プラン
    • データ侵犯があった場合に連絡を取るべき人員のリストと、どのように顧客とやり取りをするかについて確認しておきましょう。
  • プロセッサとSubmit PCI Self-Assessment Questionnaire A (PCI SAQ-A) (Stripe、Square、PayPal)

注意:電話で支払を受ける場合、電話システムやコールセンターで用いられるコンピュータを安全に保つための追加の要項の影響を受ける場合があります。

WooCommerce付き管理WordPress

管理WordPressによる支払はWooCommerceプラグインを介して導入することが可能です。これにより、安全な環境でクレジットカードを処理するサードパーティとの統合が可能です。お客様のWebサイトで少量のコードを用いることで、顧客がクレジットカード情報をサイトに直接入力できるようになります。アカウントにインストールされたプラグインを管理するため、PCI準拠を実現するべく多少のステップが必要になります。

  • 支払実行
    • 支払のためのWooCommerceプラグインをインストールするだけです。その他の支払プラグインが利用可能である場合もありますが、弊社が認証しているのはWooCommerceプラグインのみです。
    • クレジットカード情報を処理するコードや機能などは追加しないでください。サーバーに登録されたカスタムされた支払プロセスは認証できません。
    • プラグインをアップデートし続けましょう(30日以内のプロセスアップデート)
  • ユーザー管理
    • ユーザーには常にユニークIDを割り当て、強いパスワードを用いてください。
    • 共有IDやパスワードの類いは用いないでください。
    • 現在アクセスがないユーザーは除外してください。
  • 紙記録(非デジタル)
    • クレジットカード情報を書面で収集する場合、情報へのアクセス権を管理し、不要になったら破棄してください。
  • サービスプロバイダコンプライアンス
    • 紙記録やアカウントを管理するサービスを利用する場合、そのサービスプロバイダーが、クレジットカードの情報を安全に扱うことについて責任を負うことについて確認し、そのプロバイダが職務を全うする上で不安がないようにしてください。
  • インシデント対応プラン
    • データ侵犯があった場合に連絡を取るべき人員のリストと、どのように顧客とやり取りをするかについて確認しておきましょう。
  • プロセッサとSubmit PCI Self-Assessment Questionnaire A (PCI SAQ-A) (WooCommerce Payments、Stripe、PayPal、Square、Klarna、PayFast)

注意:電話で支払を受ける場合、電話システムやコールセンターで用いられるコンピュータを安全に保つための追加の要項の影響を受ける場合があります。

追加の質問がある場合、銀行にお問い合わせ頂くか、または Qualified Security Assessor (QSA)までご連絡ください。

詳細


この記事は役に立ちましたか。
フィードバックへのご協力ありがとうございました。 お客様サービススタッフとお話しになりたい場合は、上記のサポート用電話番号またはチャット機能をご利用ください。
お役にたてて光栄です! 何か他にできることはありませんか。
それはすみません。 わかりにくい点や、解決策で問題が解決できなかった理由等を教えてください。