支払い処理と保存のベストプラクティス
PCI コンプライアンスを維持するための主な原則の 1 つは、クレジットカードの支払いを適切に処理し、保存する戦略を持つことです。
Adobe Commerceへのカード会員データの保存は 厳しく禁止 されており、Payment Card Industry Data Security Standard (PCI-DSS)に基づくマーチャントとしての義務に違反する可能性があります。 共有責任モデルと加盟店債務のガイドラインについて詳しくは、Adobeのセキュリティ センターの Adobe Commerce共有責任モデル ガイドを参照してください。
以下のベストプラクティスに従って、e コマースサイトで支払い情報を適切に処理してください。 セキュリティのベストプラクティスに関するその他のガイダンスについては、 サイトとインフラストラクチャのセキュリティ保護を参照してください。
影響を受ける製品とバージョン
- クラウドインフラストラクチャー上のAdobe Commerce
- Adobe Commerce オンプレミス
カード所有者データの保護
カードホルダーデータの保存が必要な場合は、ストレージ保護機能を備えたカードホルダーデータをAdobe Commerce外に保存する必要があります。 クレジットカードのデータなど、支払いの詳細に対してストレージの保護策を講じることで、詐欺やその他の潜在的なセキュリティ問題を防ぐことができます。 他の PCI 標準と同様に、保護を適切に講じることが第 1 の防衛線です。 保存されたデータの保護を強化するために推奨される方法には、暗号化、トランケート、トークン化、一方向ハッシュ、マスキングなどがあります。
暗号化キーの保護は、データ保護戦略にとって不可欠です。 これらの鍵を管理するのは、熟練した信頼できるカストディアンであることが重要です。
最後に、プライマリアカウント番号(PAN)は、XXX でマスクされるなど、保存中に読み取り不可能にする必要があります。 これには、フラッシュドライブ、USB、外付けハードドライブなどのポータブルストレージとバックアップメディア、さらには監査ログが含まれます。
カード所有者データの暗号化された送信
カード所有者データなどの支払い情報を保護するには、送信時にデータを保護することが重要です。 この情報がオープンネットワークを介して送信されると、セキュリティの問題に対してより脆弱になる可能性があります。
安全な送信プロトコルを使用
次のような安全な転送プロトコルとプラクティスを使用して、カード所有者データを送信します。
- 信頼されたキーと証明書
- TLS、SSH、VPN などの安全な送信プロトコル
- 暗号化における非対称アルゴリズム
- PAN の送信および表示を使用したトークン化、マスキング、および侵入テスト
- カード所有者データへのアクセスを制限
- 機密情報へのアクセスは、必要に応じて制限し、ビジネスニーズを持つ権限のある担当者にのみ提供する必要があります
カードホルダーデータを処理する場合は、データを保存する代わりにトークン化することをお勧めします。 特定の支払い処理プロバイダーでカードをトークン化し、トークン、カードタイプおよび暗号化された有効期限を保存します。 トークンはマーチャントごとに一意なので、ファイルの資格情報として今後使用するために使用できます。 トークンは一意なので、セキュリティに問題がある場合、のトークンは無効化され、不正なアクティビティを防ぐのに役立ちます。