パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

必要性」記事へのコメント

  • 2018/6の改正割賦販売法の施行でカード情報非保持orPCIDSS準拠必須であり、後者は加盟店には負担が重いので大抵非保持にします。
    非保持化前の旧サーバから漏れたという事案は見ましたが、今年まで運営してたものとすると少なくとも旧サーバではない=非保持化非対応ではない
    とすると販売サイトがハッキングされててカード情報が随時吸われていたものと推測されます。

    決済代行会社契約してるのに更にカード情報も保持する阿呆な仕様にしてなければ、ですが。

    • by Anonymous Coward

      内容とあまり関係ないのにぶら下げて申し訳ないのですが
      PCIDSS取得した時のコンサル会社の説明では、ECサイトなどでカード情報を入力させる際
      決済代行会社(アクワイアラ)の入力画面へ画面遷移ではなく、自社サイト内の入力フォームに入力させてPOSTの場合例えDBやログに一切保存しなくても「保持」と見做されるとの説明を受けたのですが、自社サイトのフォームで入力させているECサイトはPCI DSSに準拠しているのだろうか・・・・
      ※この仕様のおかげで小売各社がレジでカードを読み込むことが出来なくなり、外付端末経由になったためレジ通過速度が低下し、下手をするとキャッシュレスの方が時間がかかるという酷い状態になったのもアレですが・・・

      改正割販法施行にあたりコンサルも入れず決済代行会社から提供される情報を独自解釈している所だとアホな仕様は沢山ありそう・・・

      • by Anonymous Coward on 2020年10月06日 13時50分 (#3901495)

        決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
        サイト上の入力フォームの見た目は変わりませんよ。
        経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。

        ただ、ここで防げるのは経路の盗聴による被害なのでフィッシングページを用意されるようなケースは防げません。
        まぁこれは決済代行の入力画面に似せられたページに飛ばされても同じことなのでどうしょうもないですが。

        親コメント
        • by Anonymous Coward

          >決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
          >サイト上の入力フォームの見た目は変わりませんよ。
          >経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
          3899824のACですがトークン決済の事では無く、
          自社サイト内の入力フォームにカードの生情報を入力させるサイトについて書いたつもりです
          自社サイト内の入力フォームに入力する以上HTTPSで通信しても一度は自社サーバで復号され決済会社へ連携されますよね
          PCIDSSの場合自社で復号できる場合は非保持・非通過に該当しない=未だに自社サイトにカード生情報を入力させる企業はPCIDSS準拠??と疑問が湧いたということです

          • by Anonymous Coward

            カード、セキュリティコードなどを入力するフォームのあるページには、カード番号などの秘匿すべき入力データをトークン化するJavaScriptコードが埋め込まれています。

            ECサイトのサーバに submit で送信される前に、フォームに入力された内容はトークナイズを行なうシステム(カード決済システムを提供する会社のサーバ)と通信を行なってトークン化されます。ECサイトにはこのトークンのみが送信されます。

            ECサイトはブラウザから送信されたトークン化された情報を使って決済システムとやりとりするため、カード情報そのものを必要としません。

            という事でECサイトにカード情報そのものが渡される事はありません(少なくとも私がからんでいる所の方法では)。 ユーザのブラウザと決済システム提供会社しか生のカード情報に触れられないようになっています(そのように実装するよう指示されます)。

          • by Anonymous Coward

            ですから、他の方もおっしゃってますが入力フォームが自社サイト上であっても
            自社サーバを通過する次点で決済代行にしか復元できない形でトークン化されてるから非通過なんですって。
            最初に受けた説明で先入観できちゃってませんか。
            通常ECサイトは決済フロー上外部サイトに遷移するのは嫌います。(そのまま離脱や切断されると在庫の引き当てや与信枠の状況をウォッチしければならないので)
            なので今時は自社フォーム上でカード情報を入力される実装の方が要望は多いです。
            情報をアップデートされた方がよいですよ。

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

処理中...