決済システムStripeのアカウントを作成後、セキュリティ・チェックリストに基づく対策処置状況申告書への回答を求められます。
申告書には以下のように回答してください。
[質問] 顧客はどのように決済を行いますか?
「その他」と回答します。
[質問] オンラインサイト上に商品・サービスを掲載してますか?
「はい」と回答します。
[質問] 管理者のアクセス可能な IP アドレスを制限する。IP アドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。
「はい」と回答します。
SelectTypeアカウントはIPアドレス制限機能を用意しています。
必要に応じてアクセス可能なIPアドレスを制限することが可能です。
[質問] 取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
「はい」と回答します。
SelectTypeアカウントはGoogleAuthenticatorによる多要素認証機能を用意しています。
必要に応じてGoogleAuthenticatorによる多要素認証が可能です。
[質問] 管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下のログイン失敗でアカウントをロックする。
「代替策: CAPTCHA 導入」と回答します。
SelectTypeへのログインはボット等のアクセスを防御するGooglereCAPTCHAを採用しています。
[質問] 公開ディレクトリには、重要なファイルを配置しない。公開ディレクトリには、重要なファイルを配置しない。
「はい」と回答します。
SelectTypeにはユーザーから重要ファイルをアップロードいただく仕組みはありません。
またSelectTypeのシステム上の重要ファイルも公開ディレクトリに配置はされていません。
[質問] Web サーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。
「該当なし: ファイルのアップロードはできません。」と回答します。
SelectTypeには画像ファイル以外のファイルをWebサーバやWebアプリケーションにアップロードして保管する仕組みはありません。
「ファイル提出機能」はユーザー自身の連携したGoogleドライブへの保管機能です。SelectTypeにはファイルは保管されません。
[質問] 脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
「はい」と回答します。
[質問] SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。
例えば、最新のプラグインの使用(当該脆弱性が無いものが望ましい)やソフトウェアのバージョンアップを行う。
「はい」と回答します。
[質問] Web アプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。
「はい」と回答します。
SelectTypeはセキュリティ診断の専門ベンダー各社の協力を仰ぎ定期的な脆弱性診断を実施しています。
[質問] マルウェア検知 / 除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。
「はい」と回答します。
SelectTypeはウィルス対策についてもベストエフォートにて対策を実施しています。
[質問] 悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施している。
「はい」と回答します。
Stripeシステムにて決済を行いますので、この質問要件は必然的にクリアします。
[質問] 各項目から少なくとも 1 つを実装する必要があります。
いずれも「不審な IP アドレスからのアクセス制限」「二要素認証等による本人確認」と回答します。
前述の通り、SelectTypeにはIPアドレス制限機能・GoogleAuthenticatorによる多要素認証・Google reCAPTCHAによるログイン保護が採用されています。
委託先企業名に「株式会社セレクトタイプ」と回答します。
ASP カート事業者名とPCI DSS 準拠の審査を行った QSA (Qualified Security Assessor)は「該当なし」と回答します。
クレジットカード情報をはじめとした決済関連の重要情報自体はSelectTypeには保管されずStripeシステムでセキュアに管理されます。
したがってSelectTypeのシステムについてのPCI DSS準拠審査は「該当なし」になります。
SELECTTYPEは予約システム/イベント管理システム付ホームページ作成サービスです。
