「カード情報非保持化またはPCI DSS準拠」ってどうしたらいいの?

この記事はMagento Advent Calendar 2016の20日目のものです。
今回は2018年3月までに全てのECサイトで対応が求められる「カード情報非保持化またはPCI DSS準拠」の話を少しMagentoをからめてしたいと思います。

「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」として、以下の内容を発表しています。

以下、抜粋です。

①カード情報保護対策については、カード情報を取扱う事業者のうち、カード会社は 2018年3月末までにデータセキュリティの国際基準である PCIDSS 準拠を完了すること、カード情報の漏えい頻度の高い EC 加盟店は 2018 年 3 月末までに、対面加盟店は 2020 年 3 月末までにそれぞれカード情報そのものを保持し ないか、保持する場合はPCIDSS準拠を完了すること

②カード偽造防止対策について は、IC取引における新たな運用ルールや、POSシステムのIC対応コスト低減策を踏ま え、加盟店は 2020 年 3 月末までに IC 対応を完了すること

③EC における不正使用対策については、被害の傾向と攻撃手口等を踏まえ、EC 加盟店は 2018年3月末までに 本人認証の導入などの多面的・重層的な対策を講じることを、それぞれ目指すこととしており、各主体が協働しながら取り組むこととしている。

参考URL:http://www.j-credit.or.jp/download/160223a1_news.pdf 【日本クレジット協会】

PCIDSSってなんだよ?とか、具体的に何をしなきゃいけないの?って話が気になると思います。

簡単に言ってしまうと、
ECショップサイトにクレジットカードの入力をしてもらうのはNG、
通販などでお客様にはがきや電話などでクレジットカードをいただくのはNG、
とにもかくにも、一時的に番号を知り得てしまう環境を作ってはNG、
ってことなんです。

EC黎明期は、APIなどが発達しておらず、画面遷移型の決済が多かったと思います。
MagentoですとPaypalのウェブペイメントスタンダードやエクスプレスチェックアウトがそうです。

他の決済でもたくさんあるんですが、Magento初心者の方はまずはPaypalで見てみてください。

この画面遷移型が2018年3月以降に推奨されます。

え?めっちゃ離脱増えそうじゃない?と思ったあなた。

そうなんです。不安ですよね。
なので、他の方法でやることが可能です。

それがPaypalでいうウェブペイメントプラスの方ですね。
iframeでサイトに組み込む形なので対応可能です。

実現方法は色々出てくると思いますが、iframeやjavascriptで決済入力画面で
いろいろやるんじゃないかな〜と思います。
今後各社がその対応をするので、エクステンション更新がたくさん走りますね。

早めに情報を認識し、事業者様に提供する必要があります。

また、不正対策においては、
既に実施されている会社さんが多いと思います。
クレジットカード番号と有効期限と名義人を入れる以外に
3Dセキュア、もしくはセキュリティコードを入れる対応です。

こちらは既にセキュリティコードの入力が一般的となっていますね。
まだ実施していないところはぜひ対応してください。

まとめます。

要点として3点です。

  • ・クレジットカードは一瞬でも持ってはいけない。
  • ・クレジットカード決済の時はセキュリティコードの入力もしくは3Dセキュアを使う
  • ・クレジットカード入力画面は、決済代行会社への画面遷移もしくはカード情報を通信に載せずにのiframeやjavascriptで決済代行会社の画面を呼び出すものを使う
  • ということにつきます。
    PCIDSSを取得するのは、Pマークを取るレベルの話ではないので、
    一般事業者が取得するものではないです。

    もし、よくわかんないから話し聞かせて!ってことがあればどしどしお問い合わせください。
    もっと勉強しておきます☆

    以上です。

    ということで、次は21日目のborileさんの「Magento 2 Remote Debugging: Xdebug x Vagrant x PhpStorm」です。よろしくお願いします!

    株式会社CLAVES 代表 堀内文雄