セキュリティ対策

クレジットカード情報の取得

Omise.jsを導入すると、エンドユーザーがブラウザ上で入力したクレジットカード情報を安全かつ簡単に取得することができます。カード番号など機密情報の処理をOmise側のサーバーで行えるため、加盟店様サーバーが機密情報を保持するリスクが無くなります。
また、標準装備されている不正検出機能を通して、決済時に利用されたIPアドレス、ユーザーエージェント、履歴などエンドユーザーに関する追加情報を使ってチャージバックリスクを低減させています。

Token overview

詳細はトークンAPIをご参照ください。

クレジットカード情報の取扱

Omiseでは、決済のセキュリティ向上のため、加盟店様がご自身のサーバー上でクレジットカード情報の伝送、処理、保管を行うことをおすすめしておりません。代わりにブラウザからOmiseサーバーへ直接データを送信していただく形になります。
加盟店様サーバーを通してカードデータの送信を行う場合は、国際セキュリティ基準PCI-DSSコンプライアンスに準拠している必要がございます。こちらの方法をご検討いただく際は、Omiseまでご相談ください。

セキュリティ上のメリット

  1. Omiseでは、エンドユーザーが使用しているブラウザから必要な情報を取得し、各々の決済毎のリスクスコアを算出します。ユーザーIP、ブラウザのユーザーエージェント、Omiseデータベースに蓄積された過去のブラウザ履歴等の情報は、不正取引を回避するために重要な役割を果たします。
    例えば、IPがホスティングサーバーやTorネットワーク、あるいは公開プロキシに属している場合は、エンドユーザーが特定しにくく透明性が低いため不正利用の可能性が高いと考えられます。一方、IPがADSLユーザーに属しておりエンドユーザーがカードを利用した国と一致する場合は、不正利用の可能性は低いためリスクスコアは低くなります。
    加盟店様側のサーバーから直接送信を行うとOmiseの不正検知システムのパフォーマンスを低下させることとなり、お使いのアカウントへの不正が増加し、損失を引き起こしやすくなります。

  2. クレジットカード情報がご利用のサーバーを経由する場合、そのフォームデータはサーバーのログに蓄積されます。TcpdumpなどのLinuxツールを使っても、簡単に記録される可能性がございます。決済フォーム上のパラメータ等を含むカードデータがログに記録されないよう設定をご確認ください。
    ご利用のサーバーが危殆化した場合、そのサーバーを通過するクレジットカード情報が記録・漏洩のリスクにさらされます。このリスクを未然に回避するため、PCI-DSSに準拠していることが非常に大切です。VisaとMasterCardはPCI-DSSに準拠していない加盟店が自己サーバーでクレジットカード情報の送信する行為を許可していません。

HTTPSの有効化

Omiseでは、顧客の機密データ保護やアカウントの危殆化防止の観点から、エンドユーザーに信頼感を与えられるHTTPS(TLS)を使用することを推奨しています。Google検索エンジンでも、HTTPSが有効化されたサイトの方がヒット率が高くなります。

HTTPS有効化の際は、必ず最新版TLSをお使いください。SSLv3はセキュリティ上の欠点が多い脆弱なプロトコルであるため、比較的新しいブラウザではSSLv3をお使いいただけない場合もあります。

シークレットキーの保管

アカウントに付与されたシークレットキーは課金、返金、振込、顧客データのダウンロード等ありとあらゆる重要なAPI操作に必要となるため、他人に知られないよう厳重に保管してください。

  1. コードレポジトリ(git, svn, hg)上ではシークレットキーを保管しないでください。複数のプログラミング言語に対応しているクラウドサービス Heroku environment variables を使うとシークレットキーを安全に保管できます。

  2. シークレットキーを保管するために入力フォームのバックエンドを構築する場合、その入力をパスワード入力欄にすることが推奨されます。 <input type='password'>

  3. シークレットキーの危殆化が確認された場合は、迅速にダッシュボード上でキーを更新してください。 また、その様なトラブル発生時はOmiseまでご報告ください。

不正取引防止

業種、業態によっては不正取引発生率が他よりも高い傾向がみられます。発送の必要がなく即ダウンロード可能なデジタルコンテンツはその一例です。また、送金、モバイル入金、プリペイドカード入金等も高リスクな事業モデルとされており、実際に、返金や取引キャンセルが発生した時には金銭的価値を失っているといった財務上の損失が生じた事例が発生しております。

これらのビジネスモデルの場合、クレジットカード表面の写真やカード所有者の氏名と一致する身分証明書の提出を求める等セキュリティを強化し、細心の注意を払うことをおすすめします。

仮に高リスクな取引や不正取引が発生した場合、直ちに措置をとれるよう常にログを確認しておくことをおすすめします。ログの確認はダッシュボードの [ログ] からアクセスできます。

最新情報

更新されたライブラリやセキュリティに関する最新情報を確認するため、Omiseドキュメントを定期的に確認することを忘れないようにしてください。最新版ライブラリのリリース時などは、加盟店様にメールを配信しております。

Facebook
Twitter
Blog
Medium