アカウント名:
パスワード:
2018/6の改正割賦販売法の施行でカード情報非保持orPCIDSS準拠必須であり、後者は加盟店には負担が重いので大抵非保持にします。非保持化前の旧サーバから漏れたという事案は見ましたが、今年まで運営してたものとすると少なくとも旧サーバではない=非保持化非対応ではないとすると販売サイトがハッキングされててカード情報が随時吸われていたものと推測されます。
決済代行会社契約してるのに更にカード情報も保持する阿呆な仕様にしてなければ、ですが。
内容とあまり関係ないのにぶら下げて申し訳ないのですがPCIDSS取得した時のコンサル会社の説明では、ECサイトなどでカード情報を入力させる際決済代行会社(アクワイアラ)の入力画面へ画面遷移ではなく、自社サイト内の入力フォームに入力させてPOSTの場合例えDBやログに一切保存しなくても「保持」と見做されるとの説明を受けたのですが、自社サイトのフォームで入力させているECサイトはPCI DSSに準拠しているのだろうか・・・・※この仕様のおかげで小売各社がレジでカードを読み込むことが出来なくなり、外付端末経由になったためレジ通過速度が低下し、下手をするとキャッシュレスの方が時間がかかるという酷い状態になったのもアレですが・・・
改正割販法施行にあたりコンサルも入れず決済代行会社から提供される情報を独自解釈している所だとアホな仕様は沢山ありそう・・・
決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなのでサイト上の入力フォームの見た目は変わりませんよ。経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
ただ、ここで防げるのは経路の盗聴による被害なのでフィッシングページを用意されるようなケースは防げません。まぁこれは決済代行の入力画面に似せられたページに飛ばされても同じことなのでどうしょうもないですが。
>決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので>サイト上の入力フォームの見た目は変わりませんよ。>経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。3899824のACですがトークン決済の事では無く、自社サイト内の入力フォームにカードの生情報を入力させるサイトについて書いたつもりです自社サイト内の入力フォームに入力する以上HTTPSで通信しても一度は自社サーバで復号され決済会社へ連携されますよねPCIDSSの場合自社で復号できる場合は非保持・非通過に該当しない=未だに自社サイトにカード生情報を入力させる企業はPCIDSS準拠??と疑問が湧いたということです
カード、セキュリティコードなどを入力するフォームのあるページには、カード番号などの秘匿すべき入力データをトークン化するJavaScriptコードが埋め込まれています。
ECサイトのサーバに submit で送信される前に、フォームに入力された内容はトークナイズを行なうシステム(カード決済システムを提供する会社のサーバ)と通信を行なってトークン化されます。ECサイトにはこのトークンのみが送信されます。
ECサイトはブラウザから送信されたトークン化された情報を使って決済システムとやりとりするため、カード情報そのものを必要としません。
という事でECサイトにカード情報そのものが渡される事はありません(少なくとも私がからんでいる所の方法では)。 ユーザのブラウザと決済システム提供会社しか生のカード情報に触れられないようになっています(そのように実装するよう指示されます)。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
加盟店はカード番号非保持の筈 (スコア:0)
2018/6の改正割賦販売法の施行でカード情報非保持orPCIDSS準拠必須であり、後者は加盟店には負担が重いので大抵非保持にします。
非保持化前の旧サーバから漏れたという事案は見ましたが、今年まで運営してたものとすると少なくとも旧サーバではない=非保持化非対応ではない
とすると販売サイトがハッキングされててカード情報が随時吸われていたものと推測されます。
決済代行会社契約してるのに更にカード情報も保持する阿呆な仕様にしてなければ、ですが。
Re: (スコア:0)
内容とあまり関係ないのにぶら下げて申し訳ないのですが
PCIDSS取得した時のコンサル会社の説明では、ECサイトなどでカード情報を入力させる際
決済代行会社(アクワイアラ)の入力画面へ画面遷移ではなく、自社サイト内の入力フォームに入力させてPOSTの場合例えDBやログに一切保存しなくても「保持」と見做されるとの説明を受けたのですが、自社サイトのフォームで入力させているECサイトはPCI DSSに準拠しているのだろうか・・・・
※この仕様のおかげで小売各社がレジでカードを読み込むことが出来なくなり、外付端末経由になったためレジ通過速度が低下し、下手をするとキャッシュレスの方が時間がかかるという酷い状態になったのもアレですが・・・
改正割販法施行にあたりコンサルも入れず決済代行会社から提供される情報を独自解釈している所だとアホな仕様は沢山ありそう・・・
Re: (スコア:0)
決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
サイト上の入力フォームの見た目は変わりませんよ。
経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
ただ、ここで防げるのは経路の盗聴による被害なのでフィッシングページを用意されるようなケースは防げません。
まぁこれは決済代行の入力画面に似せられたページに飛ばされても同じことなのでどうしょうもないですが。
Re: (スコア:0)
>決済代行が暗号鍵を発行して通信するトークン決済であればPCIDSS準拠で裏側の通信が変わるだけなので
>サイト上の入力フォームの見た目は変わりませんよ。
>経路上は暗号化されているためいわゆるカード情報の非保持・非通過が実現されます。
3899824のACですがトークン決済の事では無く、
自社サイト内の入力フォームにカードの生情報を入力させるサイトについて書いたつもりです
自社サイト内の入力フォームに入力する以上HTTPSで通信しても一度は自社サーバで復号され決済会社へ連携されますよね
PCIDSSの場合自社で復号できる場合は非保持・非通過に該当しない=未だに自社サイトにカード生情報を入力させる企業はPCIDSS準拠??と疑問が湧いたということです
Re:加盟店はカード番号非保持の筈 (スコア:0)
カード、セキュリティコードなどを入力するフォームのあるページには、カード番号などの秘匿すべき入力データをトークン化するJavaScriptコードが埋め込まれています。
ECサイトのサーバに submit で送信される前に、フォームに入力された内容はトークナイズを行なうシステム(カード決済システムを提供する会社のサーバ)と通信を行なってトークン化されます。ECサイトにはこのトークンのみが送信されます。
ECサイトはブラウザから送信されたトークン化された情報を使って決済システムとやりとりするため、カード情報そのものを必要としません。
という事でECサイトにカード情報そのものが渡される事はありません(少なくとも私がからんでいる所の方法では)。 ユーザのブラウザと決済システム提供会社しか生のカード情報に触れられないようになっています(そのように実装するよう指示されます)。