決済処理と保存のベストプラクティス
PCI コンプライアンス を維持する際の重要な原則のひとつは、クレジットカード支払いを適切に処理して保存するための戦略を持つことです。
Adobe Commerceへのクレジットカード情報の保存は固く禁止されています。これは、PCI-DSS (Payment Card Industry Data Security Standard)に基づく販売者としての義務に違反する可能性があります。 加盟店の義務に関する共有責任モデルとガイドラインについて詳しくは、Adobe Trust CenterのAdobe Commerce共有責任モデルガイド を参照してください。
コマースサイトの決済情報を適切に処理するには、次のベストプラクティスに従ってください。 セキュリティのベストプラクティスに関する追加のガイダンスについては、 サイトとインフラストラクチャの保護を参照してください。
影響を受ける製品とバージョン
- Adobe Commerce on cloud infrastructure
- Adobe Commerce オンプレミス
クレジットカード情報の保護
クレジットカード情報の保存が必要な場合は、保管セーフガードにより、クレジットカード情報をAdobe Commerceの外部に保存する必要があります。 クレジットカード情報などの支払い情報を保存するための保護措置を講じることで、不正行為やセキュリティ上の潜在的な問題を防ぐことができます。 他のPCI基準に沿って、保護を実施することが防御の第一線です。 保存データの保護を強化するための推奨される方法には、暗号化、切り捨て、トークン化、一方向ハッシュ、マスキングなどがあります。
暗号化キーの保護は、データ保護戦略に不可欠です。 熟練した信頼できる顧客がこれらのキーを管理することは非常に重要です。
最後に、プライマリアカウント番号(PAN)は、ストレージ中に読み取れないことが必要です(例:XXX)。 これには、フラッシュドライブ、USB、外付けハードドライブなどのポータブルストレージおよびバックアップメディア、さらには監査ログが含まれます。
クレジットカード情報の暗号化
クレジットカード情報のような支払い情報を保護するには、送信中にデータを保護することが重要です。 この情報がオープンネットワークを介して送信されると、セキュリティ問題に対してより脆弱になる可能性があります。
安全な転送プロトコルを使用する
以下のような安全な転送プロトコルと実践を使用して、クレジットカード情報を送信します。
- 信頼できるキーと証明書
- TLS、SSH、VPNなどのセキュアな送信プロトコル
- 暗号化の非対称アルゴリズム
- PANを送出表示するトークン化、マスキング、および侵入テスト
- クレジットカード情報へのアクセス制限
- 機密情報へのアクセスは知る必要に応じて制限し、ビジネスニーズを持つ許可された関係者のみに許可する必要があります
クレジットカード情報を処理する推奨される方法は、データを保存する代わりにトークン化することです。 特定の決済処理プロバイダーを使用してカードをトークン化し、トークン、カードタイプ、暗号化された有効期限を保存します。 このトークンは、各販売者に対してのみ一意であるため、今後の使用のためにファイルの資格情報として使用できます。 トークンは一意であるため、セキュリティの問題がある場合、トークンは無効化され、不正行為を防ぐのに役立ちます。