Magento PCIコンプライアンスとは何ですか?Magentoストアがそれを必要とする理由は何ですか?

公開: 2022-06-01

Eコマースは最近ますます急速に発展しています。 したがって、多くの企業は、Woocommerce、Shopify、特にMagentoなどのさまざまなプラットフォームでオンラインストアを開いています。これは、優れた機能があるためです。 ただし、大きなメリットに加えて、セキュリティは顧客と所有者の両方の主要な関心事でもあります。 購入者は、個人情報が第三者に開示されて害を及ぼす可能性があることを望んでおらず、企業は顧客からの信頼を得るためにプロのイメージを維持したいと考えています。 したがって、この記事では、困難な問題を解決するのに役立つ優れたソリューションであるMagentoPCIコンプライアンスを紹介します。

まず、PCIコンプライアンスに精通している必要があります

では、PCIコンプライアンスとは何ですか?

PCIコンプライアンスとは何ですか

PCIは、PaymentCardIndustryの略語です。 PCIコンプライアンスは、世界中の決済データのセキュリティを向上させることを目的とした基本的な標準と法律の集まりです。 ポリシー、セキュリティ管理、ネットワークアーキテクチャ、ソフトウェア設計、およびその他の制限がその中に含まれます。 PCI DSSは、機密データのための安全な環境をもたらすために、eコマースビジネスのベストプラクティスを確立します。 もう1つの知識は、PCIセキュリティ標準評議会がすべてのPCIコンプライアンス標準を開発および配布していることです。 PCI Security Standards Councilは、これらの規制を策定し、eコマース業界でのPCIコンプライアンスを監督するために2006年に設立されました。 Visa、Mastercard、JCB International、Discover Financial Services、およびAmerican Expressは、評議会に代表される最大のグローバルペイメントカードネットワークの1つです。

PCIコンプライアンスは、オンラインストアを運営するすべてのビジネスに必須です。 PCI DSS(Payment Card Industry Data Security Standards)に準拠し、それを達成する企業は、PCI準拠と呼ばれます。

知っておくべきさまざまなPCIDSSコンプライアンスレベルがあります

PCIコンプライアンスには4つの異なる段階があり、それぞれが資格のあるセキュリティ評価者による年次評価と、さまざまな範囲の承認されたスキャンベンダーによる四半期ごとのスキャンを指します。

PCIDSSコンプライアンスレベル1

これはeコマースのPCIコンプライアンスの初期レベルであり、数百万のトランザクションを処理する組織に使用されます。 次の種類のビジネスは、これらのルールの対象となります。

  • 毎年600万を超えるVisaまたはMastercardトランザクションを処理するeコマース企業は、オンライントランザクションとオフライントランザクションの両方で構成されています(企業がオフラインで存在する場合)
  • 毎年、支払いファシリテーターは約30万件のトランザクションを実行します。
  • Visaがレベル1と見なすすべてのオンラインストア
  • 毎年、認定されたPCI監査人が、コンプライアンスを検証するための監査を実施します。 レベル1の組織は、四半期ごとに、承認されたスキャンベンダー(ASV)によるPCIスキャンを実行する必要があります。

PCIDSSコンプライアンスレベル2

この形式の規制は通常、取引量が600万未満の大企業に適しています。

  • 年間100万から600万のVisa取引が加盟店によって行われ、オンラインと物理的な支払いの両方があります。
  • 年間30万件を超える取引があり、支払いファシリテーターの需要は高くなっています。
  • これらの企業は毎年、自己問診(SAQ)と、四半期ごとのPCIスキャンを完了する必要があります。

PCIDSSコンプライアンスレベル3

eコマースのこのレベルのPCIコンプライアンスは、年間20,000〜100万のVisaeコマーストランザクションを実行するマーチャント向けです。

これらの企業は、レベル2と同様に、年次SAQを完了する必要がありますが、特定の条件で四半期ごとのスキャンを実行する義務があるだけです。

PCIDSSコンプライアンスレベル4

レベル4は、トランザクションが少ない小規模なeコマースビジネスに関連しています。

  • 年間20,000件未満のVisa取引を行う販売者は対象外です。
  • 年間100万以上のVisaトランザクションを実行するマーチャント(オンラインおよびオフライン)

毎年のSAWが必要ですが、四半期ごとのPCIスキャンは「必要に応じて」実行されます。

上記の主なPCIDSSコンプライアンスレベルの概要は、会社が達成すべきコンプライアンスのレベルを決定するのに役立ちます。

MagentoPCIコンプライアンス

MagentoPCIコンプライアンス

Magento Commerce Edition

Magento 2 Commerce(Cloud)Edition、特に最新バージョンのMagento 2.4.4は、前任者のレガシーを継承し、レベル1ソリューションプロバイダーとしてPCI認定を受けています。 PCIコンプライアンスは、企業にとってますますアクセスしやすくなっています。 彼らは、基準を満たしていることを証明するために、MagentoのPCIコンプライアンス証明書に依存する場合があります。

Commerce Editionを使用する人の大多数は、年間600万件を超えるトランザクションを処理する中規模および大企業であるため、これは非常に重要です。

さらに、Magentoストアは支払いゲートウェイにリンクされています。支払いゲートウェイは、データをMagentoサーバーに保存するのではなく、支払いゲートウェイに直接送信します。 MagentoオープンソースエディションとCommerceエディションの両方にこの機能があります。

Magentoオープンソースエディション

Open Source Editionには、機能としてPCI準拠が含まれていません。 ただし、MagentoWebサイトをPCIに準拠させるためのオプションがいくつかあります。

1.サードパーティのサービス(PayPal Expressなど)を介して支払いを行う

これは、コマースエディションのセクションで述べた方法です。

このオプションを選択した場合、クレジットカード情報はサーバーに保存されないため、PCIに準拠する必要はありません。 過去にサードパーティの支払いゲートウェイを使用すると、顧客のチェックアウトプロセスが中断される可能性がありました。 ただし、これはもはや問題ではありません。

Magento Stripe統合などのサードパーティの支払いゲートウェイにより、マーチャントはシームレスなチェックアウトエクスペリエンスを提供できるようになりました。 機密データがMagentoサーバーに保存されていない場合は、PCIに準拠するために再評価を行うことなく、コアのMagentoeコマースアプリケーションに変更を加えることができます。

2.PCI準拠のSaaS決済アプリケーションを使用します。

例として、PCI準拠のCREセキュアを利用できます。 顧客は別のWebサイトに誘導されます(URLが変更されます)が、フォームはストアのデザインに合わせて調整できます。

そして問題は、なぜPCIに準拠する必要があるのか​​ということです。

PCIDSSコンプライアンス要件チェックリスト

eコマースが過去数年間市場を支配してきたと言っても過言ではありません。 この開発に伴い、オンライン金融取引に関連するクライアントのデータセキュリティに対する関心が高まっています。 PCIコンプライアンスは法律で義務付けられていないという事実にもかかわらず、先例ではそう考えられています。 これは、カードによる支払いを受け入れる際に、クライアントの機密性の高い財務情報を保護する責任があるために発生します。

eコマースビジネスは、次のようなさまざまな方法でPCIに準拠することでメリットが得られます。

データ侵害

  • PCIに準拠していないと、ビジネスはデータ侵害、リーク、ハッカーのリスクにさらされ、深刻な収益の損失につながる可能性があります。
  • PCIコンプライアンスは、サイバー犯罪に対する防御を強化し、データ侵害の防止に役立ちます。
  • その上、あなたの会社は訴訟、カード交換料金、および顧客補償費用に直面する可能性があります。
  • データ侵害が発見され、会社がPCIに準拠している場合、侵害のコストは削減されます。
  • データ侵害の数を減らします。 最も重要な、サイバー攻撃からカード所有者(顧客)のデータを保護します。

罰則と多額の罰金

  • PCI規則に従わないと、さまざまな罰金が科せられ、財源が完全に枯渇する可能性があります。
  • トランザクションの量とコンプライアンス違反の長さを考慮すると、ペナルティは月額5,000ドルから100,000ドルの範囲になる可能性があります。
  • 政府のコンプライアンス違反は、支払いプロバイダーによって課される罰則に加えて、多額の罰金をもたらす可能性があります。
  • 重大な違反の場合、罰金は2,000万ユーロに達する可能性があります。
  • 会社が再び法律に違反した場合、詐欺罪、法医学検査、および追加の罰則が課される可能性があります

評判と収益の喪失

  • 最近のベライゾンの調査によると、顧客の69%は、ライバルよりも優れた取引を提供したとしても、データ侵害を経験した企業との取引を避けます。
  • 消費者は、消費者データのプライバシー問題に関する知識が増えたおかげで、セキュリティに対する期待が高く、データプライバシーの脆弱性に対する許容度が低くなっています。
  • データ侵害は、ブランドの評判を損なうと同時に、顧客の忠誠心を低下させる可能性があります。

Magentoストアでのクレジットカードの使用を停止する

  • データ侵害後、PCIコンプライアンスに準拠しなかった場合、クレジットカードによる支払いを取り消すことができなくなる可能性があります。
  • クレジットカードアカウントの停止は、ストアが将来クレジットカードを処理できなくなるため、ビジネスにとってより深刻な損失になります。
  • このような損失を回避するには、PCIガイドラインに準拠した厳格なセキュリティポリシーが必要です。

次に、PCIDSSコンプライアンス要件のチェックリストに移ります

12主な要件

カード会員データを管理し、支払い処理ネットワークを維持している企業向けに、PCISSCは6つのセクションに分割された12の標準を設定しています。 これらの要件はすべて、準拠したい企業が満たす必要があります。

安全なネットワークの構築と維持

最初の一連の要件は、安全なネットワークの維持に言及し、企業が次のことを行う必要があることを指定しています。

  • ファイアウォールをインストールして最新の状態に保ちます。
  • 顧客データでは、ベンダー提供のパスワードではなく、ユーザーが選択した元のパスワードを使用します。

カード会員データを保護する

保存されたカード所有者に関する情報を保護します。

  • 保存されたカード会員データを処理するために、いくつかのレベルのセキュリティが使用されます。
  • カード会員データを必要以上に長く保持しないようにすることで、このPCIコンプライアンス要件を満たすことが重要です。
  • 顧客が支払いゲートウェイを介してクレジットカード情報を入力できるようにし、堅牢な暗号化なしで支払い情報を送信しないようにします。

インターネット経由で送信されるカード所有者に関するデータを暗号化します。

  • オープンネットワークとパブリックネットワークを介したカード会員データの送信を暗号化します。
  • 機密性の高いカードデータを複数のシステムに転送する前に、暗号化することが重要です。 SSLおよびTLSテクノロジーを使用すると、これを実現できます。
  • 転送中にネットワークが侵害された場合でも消費者データを保護するため、転送中のデータの暗号化は非常に重要です。
  • SSL証明書は、安全なデータ転送を承認しながら、消費者の信念を高めます。

脆弱性の管理

3番目のカテゴリは、企業がネットワークの脆弱性を管理する方法に関するものであり、企業は次のことを行う必要があります。

  • ウイルス対策ソフトウェアを定期的に使用および更新する必要があります。
  • 安全なソフトウェアとシステムを作成および維持します。

強力なアクセス制御手段を実装する

カードデータへのアクセスを制限する

カード会員データへのアクセスは、ビジネスで知る必要のある人への制限となるはずです。

カード会員のデータアクセスを少数の人に制限することで、詐欺やデータの盗難を減らすことができます。

承認された資格情報を持つ管理者にアクセスを許可できます。

また、アクセス制御を監視および文書化することにより、すべてのシステム変更を追跡するのに役立ちます。

エントリが制限されているため、誰が知る必要があるかに基づいてセキュリティ手順を分類でき、すべての管理タスクを明確に把握できます。

データアクセス用の一意のID

コンピューターにアクセスできる各ユーザーには、一意のIDを付与する必要があります。

一意のIDを使用して、許可された各個人のアクティビティを追跡できます。

保護を強化するために2要素認証を実行し、アクセスパスワードを定期的に変更し、詳細なログを保持します。

一意のIDは、ユーザーアカウントを制御し、すべてのレベルでユーザーアクセスを保護するのにも役立ち、IDおよびアクセス管理(IAM)を容易にします。

データへの物理的なアクセスを制限する

カード会員データへの物理的なアクセスは制限する必要があります

データセキュリティは、物理的な世界のデータセンターとサーバーにまで拡大しています。

データは、オンサイトかオフサイトかにかかわらず、許可されたアクセス権を持つ安全な環境に保持する必要があります。

社内のデータセンターは、違法な労働者や訪問者を監視する必要があります。 データセンターへのアクセスを許可する前に、セキュリティチェックを定期的に更新することもできます。

データをオフサイトに保管している場合は、ストレージプロバイダーが使用しているセキュリティ上の注意事項を調べて、信頼できるMagentoホスティングサービスを選択してください。

ネットワークを定期的に監視およびテストする

5番目の一連の標準は、企業がネットワークを監視および検査する方法に焦点を当てており、企業は次のことを義務付けています。

  • カード会員データとネットワークリソースへのすべてのアクセスが追跡および監視されます。
  • セキュリティシステムとプロトコルを定期的に評価します。

情報セキュリティポリシーを維持する

そして最後に、セキュリティが維持されていることを確認するために、PCI DSSの要求に応じて、すべてのシステムと手順を定期的にテストする必要があります。

では、どのようにしてPCIコンプライアンスを取得しますか? Pythonについての簡単な説明(17)

カード支払いをオンラインで行う、またはクレジットカードデータを保持する企業または組織は、PCIコンプライアンスセキュリティ標準評議会を介してPCIに準拠する必要があります。

企業は通常、専門の評価者または企業を雇用して、トランザクションが正しく行われているかどうかを確認することにより、PCIコンプライアンスを毎年または四半期ごとにチェックする必要があります。

では、PCIにどのように準拠しますか?

  • 使用するPCIレベルを決定します。 組織が毎年処理するカードトランザクションの量によって、4つのレベルのどれが割り当てられるかが決まります。 これらは、PCIDSSコンプライアンスへのアプローチに影響を与えます。
  • 自己評価(SAQ)用の質問票を選択してください。 販売者レベルとクレジットカード情報の処理方法に基づいて、7つの異なるタイプを誘導します。 各クラスは、PCIに準拠するために満たす必要のある個別の標準セットを示します。
  • PCIDSS認証基準を満たす安全なネットワークを作成します。 脆弱性スキャンからセキュリティの保守と修復まで、この方法ですべてを処理できます。 すべての重労働に対処するには、情報技術請負業者の支援が必要になります。
  • コンプライアンス証明書(AOC)フォームに記入する–PCIDSS監査の結果を検証するドキュメント。
  • PCIコンプライアンスへの道はナビゲートするのが難しいかもしれません。 ただし、ハッカーからの顧客の認識と重要なデータを保護したい場合は、一見の価値があります。

Magentoストアの所有者として、PCIDSSに準拠したSecurePayプラグインを設定することをお勧めします。 小売業者にとって、これは処理のために取引情報をSecurePayに送信するためのより費用効果の高い方法になります。

また、PCIコンプライアンスのコストについて心配することはできますか?

PCIコンプライアンスのコストは、会社の規模、カード処理手順、およびその他の考慮事項によって異なります。

PCI DSSコンプライアンスは、以下の要因に応じて、中小企業の場合、年間わずか300ドルの費用がかかる可能性があります。

  • 自己問診(SAQ)の場合は50ドルから200ドル。
  • 脆弱性スキャンのコストは、IPアドレスごとに100ドルから200ドルの間です。
  • トレーニングとポリシー策定のために、従業員1人あたり約70ドル。
  • 修復に100ドルから10,000ドル(コンプライアンスとセキュリティを満たすために必要な作業量によって異なります)。

主要企業のPCIDSS試験の総費用は、以下を含めて約70.000ドルになると予想されます。

  • オンサイト監査:約40,000ドル
  • 脆弱性スキャンの費用は約1,000ドルです。
  • ペネトレーションテストに約15,000ドル
  • ポリシーの策定とトレーニングに5,000ドル。
  • 修復(ソフトウェアやハードウェアの更新など):$ 10,000 – $ 500,000

エンタープライズレベルでPCIに準拠することの代償は、安価ではありません。 それでも、PCIコンプライアンス料金は、顧客の情報や会社の長期的なイメージを危険にさらす価値はありません。

最後になりましたが、MagentoPCIコンプライアンスのベストプラクティスをいくつか紹介します。

どのようにしてPCIコンプライアンスを取得しますか?

従業員研修

Magento PCIコンプライアンスは、実装前に広範な知識とトレーニングを必要とする技術要件です。

Magentoプラットフォームが専門家のチームによって保護されていることを確認します。

Magentoのコンプライアンスとセキュリティを支援するために、従業員のトレーニングに専念するか、業界の専門家を雇用してください。

自己評価アンケート(SAQ)

小規模な小売業者向けに、PCIDSSは9つの自己問診をリリースしました。

SAQは、基本的なyes / noセキュリティ評価試験であり、セキュリティを評価して効果的な修復アクションを実行できます。

会社に適した質問票を決定したら、評価を完了してコンプライアンス証明書を追加できます。

PCI SAQは、コンプライアンスとセキュリティの検証として機能します。 サードパーティ企業とのコラボレーションには有利です。

ポリシーとコンプライアンスレポートを文書化する

定期的に会社の変更と運用プロセスを文書化することにより、セキュリティ規制の記録を保持します。

コンプライアンスとコンプライアンスの証明に関するPCIレポート(RoC / AoC)は、セキュリティコンプライアンスの評価です。

これは、資格のあるセキュリティ評価者(QSA)または資格のある内部評価者によって実行され、Magentoストアがカード会員データを処理するのに安全かどうかを判断します。

定期的なメンテナンスを行う

Magento PCIコンプライアンスは継続的な管理プロセスであり、1回限りの評価ではありません。

脆弱性スキャンを定期的に実行し、セキュリティを更新し、コンプライアンス手順を完全に文書化する必要があります。

Magentoのシステム構成は常に変化しており、それに追いついていないと、コンプライアンス管理が失われ、データのセキュリティが危険にさらされます。

結論

インターネット環境では、セキュリティの問題に対処することは、ビジネスと顧客の両方にとって簡単ではありません。 したがって、Magento PCIコンプライアンスは、企業がオンライン環境から生じるリスクを軽減するのに役立ちます。 購入者が店舗で買い物をする際の安心感を高めるだけでなく、ブランドのイメージを高め、より多くの顧客を引き付けることができる顧客の信念を構築することができます。 次に、Magentoストアの所有者である場合は、MagentoPCI準拠を実装することを躊躇しないでください。 何をすべきかわからない場合は、当社のサービス:Magento開発にアクセスして解決策を見つけるか、便利な場合は直接お問い合わせください。