アカウント名:
パスワード:
つーか、いい加減流出に耐性あるクレカシステムってできないものかネットバンキングで配ってる同期乱数機しか思いつかないが金かかるからサボッてるんだろうなセキュリティコードなんていう 笑 しかコメントできない、桁数を増やしただけでお茶を濁している現状を何とかしてほしい
ご存じないのかもしれませんが
カード決済したいだけならECサイトがクレカの番号を保存する必要はありません、再決済もカード番号無しで可能です。
ふつうにシステム組んでいればカード番号流出のリスクは本来ありません。
普通に組むというのが決済手続きの仕組みについてよく理解しないままシステムを組むことを指すためにこうなってしまうのでは?
普通に組んでカード情報が自社サーバを通らないようにしていたものを利便性向上のための改良(とセキュリティの改悪)のためカード情報が自社サーバを通ってログに書き出していたとリリースには書いてある。それにしても、流出したのはカード情報とグラフィック会員IDのみとあるのにログインパスワードの変更を求めているのはなぜに?
amazonなんかも、カード情報を自社保持しているように思えるけどあれは大丈夫なんですかね。
完全な番号+CVVを取り扱うのは初回だけで後はトークンで持ってんじゃない? 盗んでも使えない情報だけが残してあると思う
だいたいはサンプルプログラムがついてくるのでそのとおりにすればカード番号は保存しないですむはず。また、契約携帯にもよりますが「入力などで受け取ったカード番号は保存しないように」と決済会社から説明があると思います。
流出しても395×500=200万円弱とかペナルティがしょぼ過ぎるから間抜けな事例が後を絶たない。それすら払わん所もあるし。
取敢えずもう二桁上げれば、少しはマシになるんじゃないかな。
一件五百円は民事訴訟の金額で刑事罰ではありません。故に上げ下げするものでもありません。
裁判所に決める権限があるから、「判例より賠償を高くして」という話じゃない?
20万、じゃないの?
まぁ、額は問題じゃないし、その単価は事業者の自主的なお詫びの気持ちなので大した意味はないし。
利用する決済代行システムによって違うしパッケージのECシステム利用する時は決済代行選べない場合もある
カード情報登録型だと顧客からどのカード登録したか忘れたって問い合わせもあるので下4桁とかを保存しているところもある
「保存してはダメ」という考え方とその理由が末端の人員にまでちゃんと浸透していないとしれっと記録されちゃったりするんですよね
以前関与した某システムでは通常時はクレカ番号は保存されない仕様にも関わらず決済サーバとの通信がエラーになった時に限りクレカ番号を含む決済情報がエラーログに吐き出されていました
「オモラシをしたら親にゴメンなさい」と謝るルールがあります(下の文章は割賦販売法施行規則からの抜粋)。
販売業者等において漏えい等の事故が発生したときは当該事故の状況を当該クレジットカード等購入あつせん業者又は当該立替払取次業者に対して連絡すべき旨を通知することその他の当該クレジットカード等購入あつせん業者又は当該立替払取次業者が当該漏えい等の事故の状況を早期に把握するために必要な措置
業界の自主ルール [j-credit.or.jp]もあります。
鍵「かっこの位置がおか」しくない?
×鍵かっこ
keyじゃなくて、「かぎしっぽ」とかのかぎですよね。鉤。フック船長の手。
Google日本語入力はこういうのとか、嘘付きとか、明らかな誤字でもかまわず収録しているから困る。
Codesure(Visa)とかdisplaycard(master)とかOTP機能付カードはありますよあまり普及していないだけで。
実際3DSがあればある程度は防げるしそも決済代行会社はPCIDSSに準拠していても販売元がしていないのが問題なんですよねリンク型決済のみにするかstripe checkoutみたいな方式にするかでAPIを一度禁止してカード番号を入力さえない方向にするしかないかと。
根本的な解決じゃないけど、Paypal使え、ってことだと思う。自分で決済システム作ろうと思うな。情報保持しようと思うな。
現状でできることは、クレジットカード番号を渡す相手を極力少なくするのがベスト。企業側もリスクあるものを無駄に保持しない方針にした方がいい。氏名やメールアドレスの流出とクレジットカード番号の流出はダメージが違いすぎる。
まぁ情弱な日本の一般消費者がPaypal使えるとは思えないし難しいか。海外はどうやって普及させたんだろう。
paypalという安全な実装例があるなら、なぜそれをクレカ会社が提供しない?という点でおかしいと思うがpaypalって、本当に安全?パスワードが付いているだけな気がする
クレカ会社は安全な実装例を提供しています。弱小ECサイトがアホな独自開発をしているだけで。
そうだとすると、消費者からすると、Paypalって決済手数料の二重取りっていう印象になっちゃうんだよなあ…。実際Paypalの方が生のクレジットカードより高いこともあるし。決済を二重にして余計なお金をPaypalに渡すのはなんかやだな。
# Paypalのメリットは、カード番号漏えいなどに対するシステム上の安全性というよりも、# 変な業者に引っかかって支払い拒否する場合のやりやすさ、だと思う。# 番号漏えいによる不正利用はカード会社が全額補償してくれるけど、変な業者との対応は渋いから。# Paypalはその点楽。# 業者側にも、客に「なんか知らない会社だけどPaypalだからまあいっか。試しに買ってみよう」と思ってもらえる。
クレジットカード番号を教える必要があるのはPaypalだけ、ってだけでも大きな安全性になる。各ECサイトに教えて漏洩リスクを増大させる必要がない。Paypal自身の安全性は別として、機密情報を預ける相手が少ないほど安全なのは確かかと。
Paypalはもう少し2段階認証を進めて欲しいところ。日本からじゃダメだった気が。今はできるのかな。
私もPaypalに一票。日本で普及しないのは知名度の問題でしょう。e-TAXで3000円貰った人なら、あれくらいは大丈夫と思います。
20世紀末だと自前で通販サイト作ってもクレジットカード会社がそんな小口の通販なんて相手にしてくれないという時代があり、仕方なく振り込みのみで対応していた所を知っていますが、そこもPaypalが出来てからはPaypalでやってますね。
日本以外からの購入でも支払いの対応が簡単というのもメリットのようです。海外向けは送料の計算が入るので、かごに入れてすぐ出荷は無理のようですけど。
普及した後でeBayが手を出したイメージがある。どっちかって言うとBIDPAYがオークションから手を引いたのが一番の要因でないかなと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
流出したときのガイドラインってあるのかな (スコア:0)
つーか、いい加減流出に耐性あるクレカシステムってできないものか
ネットバンキングで配ってる同期乱数機しか思いつかないが
金かかるからサボッてるんだろうな
セキュリティコードなんていう 笑 しかコメントできない、桁数を増やしただけで
お茶を濁している現状を何とかしてほしい
Re:流出したときのガイドラインってあるのかな (スコア:1)
ご存じないのかもしれませんが
カード決済したいだけならECサイトがクレカの番号を保存する必要はありません、
再決済もカード番号無しで可能です。
ふつうにシステム組んでいればカード番号流出のリスクは本来ありません。
Re: (スコア:0)
普通に組むというのが決済手続きの仕組みについてよく理解しないままシステムを組むことを指すためにこうなってしまうのでは?
Re:流出したときのガイドラインってあるのかな (スコア:2)
普通に組んでカード情報が自社サーバを通らないようにしていたものを利便性向上のための改良(とセキュリティの改悪)のためカード情報が自社サーバを通ってログに書き出していたとリリースには書いてある。
それにしても、流出したのはカード情報とグラフィック会員IDのみとあるのにログインパスワードの変更を求めているのはなぜに?
Re: (スコア:0)
amazonなんかも、カード情報を自社保持しているように思えるけど
あれは大丈夫なんですかね。
Re:流出したときのガイドラインってあるのかな (スコア:2)
Re: (スコア:0)
完全な番号+CVVを取り扱うのは初回だけで後はトークンで持ってんじゃない? 盗んでも使えない情報だけが残してあると思う
Re:流出したときのガイドラインってあるのかな (スコア:1)
だいたいはサンプルプログラムがついてくるのでそのとおりにすればカード番号は保存しないですむはず。
また、契約携帯にもよりますが「入力などで受け取ったカード番号は保存しないように」と決済会社から説明があると思います。
Re: (スコア:0)
流出しても395×500=200万円弱とかペナルティがしょぼ過ぎるから間抜けな事例が後を絶たない。それすら払わん所もあるし。
取敢えずもう二桁上げれば、少しはマシになるんじゃないかな。
Re: (スコア:0)
一件五百円は民事訴訟の金額で刑事罰ではありません。故に上げ下げするものでもありません。
Re: (スコア:0)
裁判所に決める権限があるから、「判例より賠償を高くして」という話じゃない?
Re: (スコア:0)
20万、じゃないの?
まぁ、額は問題じゃないし、その単価は事業者の自主的なお詫びの気持ちなので大した意味はないし。
Re: (スコア:0)
利用する決済代行システムによって違うし
パッケージのECシステム利用する時は決済代行選べない場合もある
カード情報登録型だと顧客からどのカード登録したか忘れたって問い合わせもあるので下4桁とかを保存しているところもある
Re: (スコア:0)
「保存してはダメ」という考え方とその理由が
末端の人員にまでちゃんと浸透していないと
しれっと記録されちゃったりするんですよね
以前関与した某システムでは
通常時はクレカ番号は保存されない仕様にも関わらず
決済サーバとの通信がエラーになった時に限り
クレカ番号を含む決済情報がエラーログに吐き出されていました
Re: (スコア:0)
「オモラシをしたら親にゴメンなさい」と謝るルールがあります(下の文章は割賦販売法施行規則からの抜粋)。
業界の自主ルール [j-credit.or.jp]もあります。
Re: (スコア:0)
鍵「かっこの位置がおか」しくない?
Re: (スコア:0)
×鍵かっこ
Re:流出したときのガイドラインってあるのかな (スコア:2)
keyじゃなくて、「かぎしっぽ」とかのかぎですよね。鉤。フック船長の手。
Re: (スコア:0)
Google日本語入力はこういうのとか、嘘付きとか、明らかな誤字でもかまわず収録しているから困る。
Re: (スコア:0)
Codesure(Visa)とかdisplaycard(master)とかOTP機能付カードはありますよ
あまり普及していないだけで。
実際3DSがあればある程度は防げるしそも決済代行会社はPCIDSSに準拠していても
販売元がしていないのが問題なんですよね
リンク型決済のみにするかstripe checkoutみたいな方式にするかでAPIを一度禁止して
カード番号を入力さえない方向にするしかないかと。
Re: (スコア:0)
根本的な解決じゃないけど、Paypal使え、ってことだと思う。
自分で決済システム作ろうと思うな。情報保持しようと思うな。
現状でできることは、クレジットカード番号を渡す相手を極力少なくするのがベスト。
企業側もリスクあるものを無駄に保持しない方針にした方がいい。
氏名やメールアドレスの流出とクレジットカード番号の流出はダメージが違いすぎる。
まぁ情弱な日本の一般消費者がPaypal使えるとは思えないし難しいか。
海外はどうやって普及させたんだろう。
Re: (スコア:0)
paypalという安全な実装例があるなら、なぜそれをクレカ会社が提供しない?
という点でおかしいと思うが
paypalって、本当に安全?
パスワードが付いているだけな気がする
Re: (スコア:0)
クレカ会社は安全な実装例を提供しています。弱小ECサイトがアホな独自開発をしているだけで。
Re: (スコア:0)
そうだとすると、消費者からすると、Paypalって決済手数料の二重取りっていう印象になっちゃうんだよなあ…。
実際Paypalの方が生のクレジットカードより高いこともあるし。決済を二重にして余計なお金をPaypalに渡すのはなんかやだな。
# Paypalのメリットは、カード番号漏えいなどに対するシステム上の安全性というよりも、
# 変な業者に引っかかって支払い拒否する場合のやりやすさ、だと思う。
# 番号漏えいによる不正利用はカード会社が全額補償してくれるけど、変な業者との対応は渋いから。
# Paypalはその点楽。
# 業者側にも、客に「なんか知らない会社だけどPaypalだからまあいっか。試しに買ってみよう」と思ってもらえる。
Re: (スコア:0)
クレジットカード番号を教える必要があるのはPaypalだけ、ってだけでも大きな安全性になる。
各ECサイトに教えて漏洩リスクを増大させる必要がない。
Paypal自身の安全性は別として、機密情報を預ける相手が少ないほど安全なのは確かかと。
Paypalはもう少し2段階認証を進めて欲しいところ。日本からじゃダメだった気が。今はできるのかな。
Re: (スコア:0)
私もPaypalに一票。
日本で普及しないのは知名度の問題でしょう。
e-TAXで3000円貰った人なら、あれくらいは大丈夫と思います。
20世紀末だと自前で通販サイト作ってもクレジットカード会社がそんな小口の通販なんて相手にしてくれないという時代があり、仕方なく振り込みのみで対応していた所を知っていますが、
そこもPaypalが出来てからはPaypalでやってますね。
日本以外からの購入でも支払いの対応が簡単というのもメリットのようです。
海外向けは送料の計算が入るので、かごに入れてすぐ出荷は無理のようですけど。
Re:流出したときのガイドラインってあるのかな (スコア:1)
一方で eBay は、日本市場では Yahoo!オークションに太刀打ちできず、撤退を余儀なくされた。
Re: (スコア:0)
普及した後でeBayが手を出したイメージがある。
どっちかって言うとBIDPAYがオークションから手を引いたのが一番の要因でないかなと。