セキュリティを本気で考えた事ありますか?

2017.04.12

  • セキュリティー

お陰様で当社も今では実に様々な業種のクライアント様がいらっしゃいますが、導入の際に
このタイトルにあるセキュリティついて積極的に聞かれた事が非常に少ないです。

このセキュリティに関しまして、当社含め決済業界では常日頃意識する問題なので加盟店様
との温度差が意外とあり、驚かされる事が多々あります。

たまにニュースで見かけるカード情報漏洩という問題は実は損するのは漏洩されたカード
所持者だけでないのです。
漏洩をさせてしまった事業者は直接的にはその損害賠償といった損害はもちろん、「カード情報漏洩
問題を起こした会社」というレッテルが貼られ、その後の事業運営にも多大なる影響があるのです。

最近では経済産業省が主導し「クレジット取引セキュリティ対策協議会」なるものも組織され、
このセキュリティ問題にまつわる会社はこの問題への対策を国際水準のセキュリティ環境を整備
しているところなのです。

当社のクライアント様の多くは非対面加盟店となりまして、所謂EC等のWEBサイト運営者で、
サイトユーザーが実際にクレジットカード情報の入力を行う際はWEB画面上に用意された
入力フォームに沿って行う事になります。
ところが実はここに大きな問題が存在するのです。
当社ではクレジットカード情報入力画面は運営サイトから当社のサーバへ遷移して頂き、
PCIDSSという国際水準のセキュリティに準拠した当社のページに情報を入力して頂くよう
にさせて頂いております。これを業界用語でリンク型と呼びます。
しかし、現在でもサイト運営者ページの中に決済会社の入力フォームを組み込んで、
そこにカード情報を入力させるモジュール型と呼ばれるサイトもあるのです。

一時期まではモジュール型決済も多くありましたが、このタイプはセキュリティに大きな
問題があります。それはカード情報を「保持」せずとも「通過」をする事になる為、外部から
不正なアクセスでそれをハッキングされる可能性があるのです。
よってこのモジュール型を採用しているサイトは当社が準拠している国際水準のセキュリティ
であるPCIDSSに準拠しなくてはならない事案なのです。しかし、このPCIDSSへの準拠は
基準が厳しいうえに多額のコストがかかる為、一サイト運営会社が準拠するのは非常にハードル
が高いのです。よって既にPCIDSSに準拠している決済会社にその部分を全て託す「リンク型」へ
移行する必要があります。

先述の「クレジット取引セキュリティ対策協議会」は非対面加盟店において2018年3月までにカード
情報の非保持化又は PCI DSS 準拠完了を目指すとしています。

もしまだモジュール型の決済を採用されている事業者様、もしくはどうなっているかわからない、
という事業者様はお気軽にテレコムクレジットまでご相談下さいませ。
専任担当者がサイトを診断させて頂き、必要があれば対応方法についてアドバイスをさせて頂きます。
セキュリティが甘かったが故に大きな問題になる前に今一度自社サイトを見直してみてはいかがで
しょうか?

クレジットカード決済代行なら
テレコムクレジットにお任せください。

セキュリティへの取り組み
PCI DSS Pマーク Trustwave VeriSign