Embedded Files
決済システムStripeのアカウントを作成後、セキュリティ・チェックリストに基づく対策処置状況申告書への回答を求められます。
申告書には以下のように回答してください。
導入する方法について詳細をお知らせください
導入する方法について詳細をお知らせください
[質問] 顧客はどのように決済を行いますか?
→「その他(例えば、Stripe CheckoutやPayment Element)」と回答します。
[質問] オンラインサイト上に商品・サービスを掲載してますか?
→「はい」と回答します。
1. 管理者画面のアクセス制限と管理者の ID / PW 管理
1. 管理者画面のアクセス制限と管理者の ID / PW 管理
[質問] 管理者のアクセス可能な IP アドレスを制限する。IP アドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。
→「はい」と回答します。
WTEアカウントはIPアドレス制限機能を用意しています。
必要に応じてアクセス可能なIPアドレスを制限することが可能です。
[質問] 取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
→「はい」と回答します。
[質問] 管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下のログイン失敗でアカウントをロックする。
→「はい」と回答します。
管理画面の設定よりロックされる回数が設定できます。
2. データディレクトリの露見に伴う設定不備への対策
2. データディレクトリの露見に伴う設定不備への対策
[質問] 公開ディレクトリには、重要なファイルを配置しない。公開ディレクトリには、重要なファイルを配置しない。
→「はい」と回答します。
[質問] Web サーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。
→「はい」と回答します。
3. Web アプリケーションの脆弱性対策
3. Web アプリケーションの脆弱性対策
[質問] 脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
→「はい」と回答します。
[質問] SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。
例えば、最新のプラグインの使用(当該脆弱性が無いものが望ましい)やソフトウェアのバージョンアップを行う。
→「はい」と回答します。
[質問] Web アプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。
→「はい」と回答します。
4. マルウェア対策としてのウイルス対策ソフトの導入、運用
4. マルウェア対策としてのウイルス対策ソフトの導入、運用
[質問] マルウェア検知 / 除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。
→「はい」と回答します。
5. 悪質な有効性確認、クレジットマスターへの対策
5. 悪質な有効性確認、クレジットマスターへの対策
[質問] 悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施している。
→「はい」と回答します。
Stripeシステムにて決済を行いますので、この質問要件は必然的にクリアします。
6. 不正ログイン対策
6. 不正ログイン対策
[質問] 各項目から少なくとも 1 つを実装する必要があります。
会員登録時は、「会員登録字の個人情報確認」「不審な IP アドレスからのアクセス制限」「二要素認証等による本人確認」と回答します。
ログイン認証時と、属性変更時は「不審な IP アドレスからのアクセス制限」「二要素認証等による本人確認」と回答します。
委託先情報
委託先情報
委託先企業名に「株式会社ライトアップ」と回答します。
ASP カート事業者名とPCI DSS 準拠の審査を行った QSA (Qualified Security Assessor)は「該当なし」と回答します。
Page updated
Google Sites
Report abuse