2015年1月7日水曜日

オンラインショップは、何が大変なのか?⑤ PCI準拠

(U.S. FrontLine誌 2012年10月20日号 掲載分)

前回、SEOライティングは、制約や項目数がとても多く て、頭と時間をかなり使う作業であること、大量データの 登録作業では、作業効率向上のために、一覧画面上で一括 入力・編集をしたくなるかもしれないが、Webの技術的・ コスト的な問題で、一般的なパッケージソフトでは、なか なかそういった画面構成にはなっておらず、1レコードの単 票形式による入力・編集画面が一般的であり、我が社のよ うに完全カスタムのシステムを持っていなければ、そうい ったものはなかなかないことをお話ししました。今回はシ ョップがカード決済を実装する上での話です。

PCIコンプライアンスとは?

VISAやMASTER CARDといったカード会社が、世界的な セキュリティ基準として、PCI DSS(Payment Card Industry Data Security Standard=PCI準拠)というものを 提唱するようになったのは、今から5〜6年前のことです。 世の中的に個人機密情報の漏洩やハッキングなどが取り沙 汰され、その防御策として、カード決済など機密情報を取 り扱っているサイトや実店舗などで、このPCI DSSを満た していることを義務付けるようになったのです。ちなみに このPCI DSSの内容は、年々厳しくなってきています。

カード決済を実装するには

オンラインショップや実店舗が、カード決済を行うために 必要な基本的仕組みを、念のためご説明しておきます。通 常はカード決済代行会社と契約をし、マーチャントアカウ ント(銀行口座のようなもの)を取得します。直接VISAや MASTER CARDといったカード会社と個別に契約できなく もないのでしょうが、決済代行会社がそういった複数のカ ード会社とすでに契約しているので、中間マージンは取ら れるにしても、ショップ側としては一元管理ができる上、 色んなメリットが得られます。

ちなみにオンラインショップの場合、オンライン決済専用 のマーチャントアカウントを取得する必要があります。さ らに、Authorize.netなどに代表されるPayment Gateway と呼ばれる、ショップと決済代行会社とをつなぐ仕組みも 別途必要になります。なお、どこのPayment Gatewayが使 えるのかは、決済代行会社により異なります。 前述のPCIコンプライアンス(準拠)を要求しているのは カード会社ですが、その直接の要求相手は決済代行会社に なります。ただ決済代行会社もそれを受けて、ショップに 対してサービスを提供するために、PCIコンプライアンスを 要求しなければならなくなった、ということです。

ですから特に厳しくなった近年では、マーチャントアカウ ント取得申請時の審査だけでなく、取得後も毎月、決済代 行会社からソフトウェアのスキャンなどで、ショップや環 境がPCIコンプライアンスしているかを審査されるようにな ってきています。以前はルーズな決済代行会社は、こうい った審査が甘かったのですが、近年のアメリカでは、どこ でも必須になってきたようです。>

PCIコンプライアンスでないとどうなる?

ただ、例えば日本はまだ遅れており、そういった審査もな く、PCIコンプライアンスでないショップが、実はいまだに 山のようにあります。ですから日本の業者さんは、PCIコン プライアンスの存在すら、知らないというのも珍しくはあ りません。またアメリカの日系業者さんでも、ほとんど日 本語圏の仕事しかされていないと、やはり知識も経験もな く、そういう業者さんがアメリカのショップ開設に携わっ ている場合、注意が必要です。

もしもPCIコンプライアンスでないとみなされた場合、期限 内に改善を求められ、それをクリアできなければ、高い罰 則金を課金され続けるか、最悪はサービスを停止されます。 勿論それらの責任はショップ側にすべて掛かってきます。 本当に細かい規定まであるのですが、勿論内容的に妥当な ものばかりです。ファイヤウォールやアンチウィルスソフ トを実装しろとか、常に最新のパッチを適用せよとか、通 信は暗号化して行えとか、データは暗号化して保管せよな ど、当然のことがかなり含まれています。

ただそれこそ決済代行会社が要求されているようなPCIを 実現するには、単純にハード的なコストだけでもかなりな ものになります。

ショップ側への要求は多少緩いのですが、それでもメール サーバーのあるバージョンのパッチを適用した際、こうい う設定になっていなければNGのような細かい話も入ってき ます。また同じサーバー内で主要機能を複数持たせている のもNGで、例えばウェブサーバー内で、データベースやメ ールサーバーを兼用してはダメ、というシンプルながら、 おそらく多くの日系IT業者さんが知れば、冷や汗をかきそう な要件もあるのです。

0 件のコメント:

コメントを投稿