セキュリティとコンプライアンス

Payment Servicesではセキュリティが最も重要であり、プライベートまたは支払いカード業界（PCI）で規制された情報がPayment Servicesに渡されることはありません。

Commerce セキュリティ

Adobe CommerceとMagento Open Sourceには、いくつかのセキュリティ機能のサポートが含まれています。

セキュリティのベストプラクティスを確認するには、コアユーザーガイドの「​ セキュリティ ​」を参照し、管理者セッションと資格情報の管理方法、CAPTCHAの実装およびweb サイト制限の管理方法について説明します。

PCI認定

PCI （Payment Card Insutry）は、インターネット上でクレジットカードによる支払いを受け付ける企業に一連の要件を定めました。 顧客のクレジットカード情報を扱うマーチャントは、安全な環境を維持することに加えて、いくつかの標準的なガイドラインを満たす責任があります。

詳しくは、PCI認定ガイドライン ​を参照してください。

加盟店は、自己評価アンケート（SAQ） ​に回答できます。これは、クレジットカード情報のセキュリティを評価するための自己検証ツールです。

クレジットカード情報フィールド

クレジットカードのフィールドでは、PCIで規制されたデータがサービス間で渡されることはありません。 データを保存したり維持したりする必要がないため、PCI認定に関する懸念を大幅に軽減できます。

3DS

PCI 3-D Secure （3DS）は、オンラインでクレジットカードを購入する際に、クレジットカード発行元による購入者認証を可能にします。 この追加のセキュリティレイヤーは、オンラインでの不正行為の防止に役立ち、EU （欧州連合）のコンプライアンス規制の一部として必須です。

Payment Servicesは、加盟店がEUの規制に準拠し、顧客と加盟店をストアでの不正行為から保護するための3DS機能を提供します。

3DSの準拠が必要なEUまたは英国内の加盟店である場合は、構成管理で3DSを手動で有効にする必要があります（デフォルトではOffです）。

3DSは、クレジットカードのフィールド​と​ Google Pay ​の両方でサポートされています。 各支払い方法には、管理画面で独自の3D セキュア認証設定があります。この設定は、Always、When required、またはOffに設定できます。

加盟店または店舗の担当者が購入者に対して行う注文は、3DS コンプライアンス対策で設定されません。 ただし、カード発行者が3DSを必要とする場合、Payment Services設定に関係なく、この手順を回避することはできません。

カード保管

買い物客が店舗で今後の購入のために自分のクレジットカード情報を保管（保存）すると、最小限のクレジットカード情報が買い物客と共有されます（最後の4桁、カードの有効期限、カードのブランド）。 クレジットカード情報は決済代行会社と共に保存されます。 カードの有効期限が切れた場合、または情報を保存する必要がなくなった場合は、そのトークンを削除して、情報が支払いプロバイダーによって保存されないようにすることができます。

詳しくは、​ クレジットカードの保管を参照してください。

PayPal支払いボタン

PayPalの支払いボタンを使用すれば、PCIで規制されたデータがサービスをまたいで渡されることはありません。 データを保存したり維持したりする必要がないため、PCI認定に関する懸念を大幅に軽減できます。

セキュリティ上の理由から、PayPalはチェックアウト時に請求先住所を渡しません。使用される請求情報は、国、メールアドレス、名前のみです。 オプションで、サイトのPayPal チェックアウトを有効にして、PayPalに連絡して検証プロセスを完了することで、完全な請求先住所を返すことができます。

PayPalには、マシンラーニング（機械学習）を利用した不正防止も統合されています。 詳しくは、PayPalの販売者保護ドキュメント ​を参照してください。

不正行為の防止

Signifyd拡張機能を使用すると、決済サービスの自動不正防止を有効にできます。 詳しくは、Signifyd詐欺防止を参照してください。

PayPalは、開発者ドキュメントで詐欺防止の他のオプションを提供しています。