Magento PCI コンプライアンスとは何ですか? また、Magento ストアでそれが必要な理由は何ですか?

公開: 2022-06-01

E コマースは、最近ますます急速に発展しています。 そのため、多くの企業が Woocommerce、Shopify、…特に Magento などのさまざまなプラットフォームでオンライン ストアを開設しています。 ただし、大きな利点に加えて、セキュリティは顧客と所有者の両方にとって最大の関心事でもあります。 買い手は、彼らに危害を加える可能性のある第三者に個人情報が明らかにされることを望んでおらず、企業は顧客からの信頼を得るためにプロフェッショナルなイメージを維持したいと考えています. したがって、この記事では、困難な問題を解決するのに役立つ優れたソリューションを紹介します: Magento PCI コンプライアンス.

まず、PCI コンプライアンスに精通している必要があります。

では、PCI コンプライアンスとは何ですか?

PCI コンプライアンスとは

PCI は Payment Card Industry の略です。 PCIコンプライアンスは、世界中の決済データのセキュリティを向上させることを目的とした基本的な基準と法律の集まりです。 ポリシー、セキュリティ管理、ネットワーク アーキテクチャ、ソフトウェア設計、およびその他の制限が含まれます。 PCI DSS は、e コマース ビジネスが機密データに安全な環境をもたらすためのベスト プラクティスを確立します。 もう 1 つの知識は、PCI Security Standards Council がすべての PCI コンプライアンス標準を開発および配布しているということです。 PCI Security Standards Council は、これらの規制を策定し、e コマース業界における PCI コンプライアンスを監督するために 2006 年に設立されました。 Visa、Mastercard、JCB International、Discover Financial Services、American Express は、カウンシルに代表される最大のグローバル ペイメント カード ネットワークです。

PCI コンプライアンスは、オンライン ストアを運営するすべての企業にとって必須です。 PCI DSS (Payment Card Industry Data Security Standards) コンプライアンスを順守し、達成している企業は、PCI 準拠と呼ばれます。

知っておくべきさまざまな PCI DSS 準拠レベルがあります

PCI コンプライアンスには 4 つのさまざまな段階があり、それぞれの段階で、認定セキュリティ評価者による年次評価と、さまざまな範囲の認定スキャン ベンダーによる四半期ごとのスキャンが参照されます。

PCI DSS 準拠レベル 1

これは、e コマースの PCI コンプライアンスの初期レベルであり、数百万のトランザクションを処理する組織に使用されます。 以下の種類の事業は、これらの規則の対象となります。

  • 毎年 600 万件以上の Visa または Mastercard 取引を処理する e コマース企業は、オンライン取引とオフライン取引の両方で構成されています (会社がオフラインで存在している場合)。
  • 支払いファシリテーターは、毎年約 300,000 件の取引を実行しています。
  • Visaがレベル1とみなすすべてのオンラインストア
  • 毎年、承認された PCI 監査人が監査を実施して、コンプライアンスを検証します。 四半期ごとに、レベル 1 の組織は、認定スキャン ベンダー (ASV) による PCI スキャンを実行する必要があります。

PCI DSS 準拠レベル 2

この形式の規制は通常、取引量が 600 万未満の大企業に適しています。

  • 100 万から 600 万の Visa トランザクションが、オンラインと物理的な支払いの両方で加盟店によって毎年行われています。
  • 年間 300,000 件以上の取引があり、支払いファシリテーターの需要は非常に高くなっています。
  • これらの企業は毎年、四半期ごとに自己問診 (SAQ) と PCI スキャンを完了する必要があります。

PCI DSS 準拠レベル 3

このレベルの e コマースの PCI 準拠は、年間 20,000 ~ 100 万件の Visa e コマース トランザクションを行うマーチャント向けです。 これらの企業は、レベル 2 と同様に、年次 SAQ を完了する必要がありますが、特定の条件で四半期ごとのスキャンを実行する義務があるだけです。

PCI DSS 準拠レベル 4

レベル 4 は、トランザクションの少ない小規模な e コマース ビジネスに関係します。

  • 年間の Visa 取引が 20,000 件未満のセラーは対象外です。
  • 年間 100 万件以上の Visa トランザクションを実行する加盟店 (オンラインおよびオフライン)

毎年の SAW が必要ですが、四半期ごとの PCI スキャンは「必要に応じて」実行されます。 上記の主な PCI DSS コンプライアンス レベルの概要は、会社が達成すべきコンプライアンス レベルを決定するのに役立ちます。

Magento PCI コンプライアンス

Magento PCI コンプライアンス

まず、 Magento Commerce Edition

ご存知のように、 Magento 2 Commerce (Cloud) Edition、特に最新バージョンのMagento 2.4.4は、前身の遺産を引き継いでレベル 1 ソリューション プロバイダーとして PCI 認定を受けています。 PCI コンプライアンスは、企業にとってますます利用しやすくなっています。 Magento の PCI Attestation of Compliance を利用して、基準を満たしていることを証明することができます。

Commerce Edition を使用するユーザーの大半は、年間 600 万件を超えるトランザクションを処理する中規模および大規模な企業であるため、これは非常に重要です。

さらに、Magento ストアは支払いゲートウェイにリンクされており、Magento サーバーにデータを保存するのではなく、直接支払いゲートウェイにデータを送信します。 Magento オープン ソース エディションとコマース エディションの両方にこの機能があります。

次は、 Magento オープンソース版

オープン ソース エディションには、機能として PCI 準拠は含まれていません。 ただし、Magento Web サイトを PCI 準拠にするためのオプションがいくつかあります。

1. サードパーティのサービス (PayPal エクスプレスなど) を介して支払いを行う

これは、コマース エディションのセクションで述べた方法です。

このオプションを選択すると、クレジット カード情報がサーバーに保存されないため、PCI 準拠である必要はありません。 過去にサードパーティの支払いゲートウェイを使用すると、顧客のチェックアウト プロセスが中断される可能性がありました。 ただし、これはもはや問題ではありません。

Magento Stripe 統合などのサードパーティの支払いゲートウェイにより、マーチャントはシームレスなチェックアウト エクスペリエンスを提供できるようになりました。 機密データが Magento サーバーに保存されていない場合、PCI 準拠であることを再評価することなく、コアの Magento eCommerce アプリケーションに変更を加えることができます。

2. PCI 準拠の SaaS 支払いアプリケーションを使用します。

例として、PCI 準拠の CRE Secure を利用できます。 顧客は別の Web サイトに誘導されますが (URL が変更されます)、フォームはストアのデザインに合わせて調整できます。

問題は、なぜ PCI に準拠する必要があるのか​​ということです。

PCI 準拠チェックリスト

過去数年間、e コマースが市場を支配してきたと言っても過言ではありません。 このような展開に伴い、オンライン金融取引に関連するクライアント データのセキュリティに対する関心が高まっています。 PCI への準拠は法律では義務付けられていませんが、先例ではそう考えられています。 これは、カードによる支払いを受け付けている間、クライアントの機密の財務情報を保護する責任があるためです。

e コマース ビジネスは、次のようなさまざまな方法で PCI に準拠することでメリットを得ることができます。

データ侵害

  • PCI に準拠していないと、ビジネスはデータ侵害、漏洩、およびハッカーのリスクにさらされ、深刻な収益の損失につながる可能性があります。
  • PCI コンプライアンスは、サイバー犯罪に対する防御を強化し、データ侵害の防止に役立ちます。
  • さらに、あなたの会社は、訴訟、カード交換費用、および顧客補償費用に直面する可能性があります。
  • データ侵害が発見され、会社が PCI に準拠している場合、侵害のコストが削減されます。
  • データ侵害の数を減らします。 最も重要なことは、カード所有者 (お客様) のデータをサイバー攻撃から保護することです。

罰則と多額の罰金

  • PCI 規則を順守しないと、さまざまな罰金が科せられ、財源が完全に枯渇する可能性があります。
  • トランザクションの量と違反の長さを考慮して、罰金は月額 5,000 ドルから 100,000 ドルの範囲になる可能性があります。
  • 政府のコンプライアンス違反は、支払いプロバイダーによって課せられる罰則に加えて、多額の罰金を科す可能性があります。
  • 重大な違反の場合、罰金は 2,000 万ユーロに達する可能性があります。
  • 会社が再び法律に違反した場合、詐欺罪、法医学的検査、および追加の罰則が課される可能性があります

評判と収益の損失

  • 最近の Verizon の調査によると、顧客の 69% は、競合他社よりも有利な取引を提供したとしても、データ侵害を経験した企業との取引を避けると答えています。
  • 消費者データのプライバシー問題に関する知識が増えたおかげで、消費者は現在、セキュリティに対する期待が高く、データ プライバシーの脆弱性に対する許容度が低くなっています。
  • データ侵害は、ブランドの評判を損なうだけでなく、顧客ロイヤルティを低下させる可能性があります。

Magento ストアでのクレジット カードの使用の一時停止

  • データ侵害の後、PCI コンプライアンスに準拠していないと、クレジット カードによる支払いが取り消される可能性があります。
  • クレジット カード アカウントの一時停止は、ストアが今後クレジット カードを処理できなくなるため、ビジネスにとってより深刻な損失となります。
  • このような損失を回避するには、PCI ガイドラインに準拠した厳格なセキュリティ ポリシーが必要です。

次に、PCI DSS コンプライアンス要件チェックリストに進みます

12の主要な要件

カード会員データを管理し、支払い処理ネットワークを維持する企業のために、PCI SSC は 6 つのセクションに分かれた 12 の基準を設定しました。 これらの要件はすべて、コンプライアンスを希望する企業が満たす必要があります。

安全なネットワークの構築と維持

最初の一連の要件は、安全なネットワークの維持に言及し、企業が以下を行う必要があることを指定します。

  • ファイアウォールをインストールして最新の状態に保ちます。
  • 顧客データでは、ベンダー提供のパスワードではなく、ユーザーが選択したオリジナルのパスワードを使用します。

カード会員データの保護

保存されているカード所有者に関する情報を保護します。

  • 保存されたカード会員データを処理するために、いくつかのレベルのセキュリティが使用されます。
  • カード会員データを必要以上に長く保持しないようにして、この PCI コンプライアンス要件を満たすことが重要です。
  • 顧客が支払いゲートウェイを介してクレジット カード情報を入力できるようにし、堅牢な暗号化なしで支払い情報を送信しないようにします。

インターネット経由で転送されるカード所有者に関するデータを暗号化します。

  • オープン ネットワークとパブリック ネットワークを介したカード所有者のデータ転送を暗号化します。
  • 機密性の高いカード データを複数のシステムに転送する前に、暗号化することが重要です。 SSL および TLS テクノロジーを使用すると、これを実現できます。
  • 転送中にネットワークが侵害された場合でも消費者データを保護するため、転送中にデータを暗号化することは非常に重要です。
  • SSL 証明書は、安全なデータ転送を承認すると同時に、消費者の信頼を高めます。

脆弱性の管理

3 番目のカテゴリは、企業がネットワークの脆弱性を管理する方法に関するものであり、企業は次のことを行う必要があります。

  • ウイルス対策ソフトウェアには、アプリケーションと定期的な更新が必要です。
  • 安全なソフトウェアとシステムを作成および維持します。

強力なアクセス制御手段を実装する

カードデータへのアクセスを制限する

  • カード所有者データへのアクセスは、業務上知る必要のある人に制限する必要があります。
  • カード会員データへのアクセスを少数の人に制限することで、詐欺やデータの盗難を減らすことができます。
  • 資格情報の承認を受けた管理者はアクセスできます。
  • また、アクセス制御を監視および文書化することで、すべてのシステム変更を追跡するのにも役立ちます。
  • 制限されたエントリにより、誰が知る必要があるかに基づいてセキュリティ手順を分類できるため、すべての管理タスクを明確に把握できます。

データ アクセス用の一意の ID

  • コンピュータにアクセスできる各人は、一意の ID を受け取る必要があります。
  • 一意の ID を使用して、許可された各個人のアクティビティを追跡できます。
  • 保護を強化するために 2 要素認証を実行し、定期的にアクセス パスワードを変更し、詳細なログを保持します。
  • また、一意の ID は、ユーザー アカウントを制御し、すべてのレベルでユーザー アクセスを保護するのに役立ち、ID およびアクセス管理 (IAM) を容易にします。

データへの物理アクセスを制限する

  • カード会員データへの物理的なアクセスは制限する必要があります
  • データ セキュリティは、物理的な世界のデータ センターやサーバーにまで拡大しています。
  • データは、オンサイトであろうとオフサイトであろうと、認証アクセスを備えた安全な環境にある必要があります
  • 社内データセンターは、不法就労者や訪問者に注意を払う必要があります。 データセンターへのアクセスを許可する前に、セキュリティ チェックを定期的に更新することもできます。
  • データをオフサイトに保管している場合は、ストレージ プロバイダーが使用するセキュリティ対策を調べて、評判の良い Magento ホスティング サービスを選択してください。

ネットワークを定期的に監視およびテストする

5 番目の標準セットは、企業がネットワークを監視および検査する方法に焦点を当てており、企業に次のことを義務付けています。

  • カード所有者のデータとネットワーク リソースへのすべてのアクセスには、追跡と監視があります。
  • セキュリティ システムとプロトコルを定期的に評価します。

情報セキュリティ ポリシーの維持

最後に、PCI DSS の要件として、すべてのシステムと手順を定期的にチェックして、セキュリティが維持されていることを確認する必要があります。

では、どのようにして PCI コンプライアンスを取得しますか?

PCI コンプライアンス

オンラインでカード決済を行う、またはクレジット カード データを保持する企業または組織は、PCI コンプライアンス セキュリティ スタンダード カウンシルを通じて、PCI に準拠する必要があります。

企業は通常、毎年または四半期ごとに、専門の評価者または企業を雇って、取引が正しく行われているかどうかを確認することにより、PCI コンプライアンスを確認する必要があります。

では、どのように PCI に準拠しているのでしょうか?

  • 使用する PCI レベルを決定します。 組織が毎年処理するカード取引の量によって、4 つのレベルのいずれが割り当てられるかが決まります。 これらは、PCI DSS コンプライアンスへのアプローチに影響を与えます。
  • 自己評価 (SAQ) 用のアンケートを選択します。 マーチャント レベルとクレジット カード情報の処理方法に基づいて、7 つの異なるタイプを誘導します。 各クラスは、 PCI に準拠するために十分な標準が必要な個別の標準セットを示しています。
  • PCI DSS認定基準を満たす安全なネットワークを構築します。 脆弱性スキャンからセキュリティのメンテナンスと修復まで、この方法ですべて処理できます。 すべての重労働に対処するには、情報技術請負業者の支援が必要です。
  • Attestation of Compliance (AOC) フォームに記入します – PCI DSS 監査の結果を検証する文書です。
  • PCI コンプライアンスへの道のりは、ナビゲートするのが難しい場合があります。 ただし、ハッカーからあなたとあなたの重要なデータに対する顧客の認識を確保したい場合は、旅行する価値があります.

Magento ストアのオーナーとして、PCI DSS 準拠の SecurePay プラグインを設定することをお勧めします。 小売業者にとって、これは処理のためにトランザクション情報を SecurePay に送信するためのよりコスト効果の高い方法です。

また、PCI コンプライアンスにかかる費用が気になる場合があります。

PCI 準拠のコストは、会社の規模、カード処理手順、およびその他の考慮事項によって異なります。

PCI DSS コンプライアンスは、次の要因に応じて、小規模企業の場合、年間わずか 300 ドルの費用で済みます。

  • 自己問診 (SAQ) は 50 ~ 200 ドル。
  • 脆弱性スキャンの費用は、IP アドレスあたり 100 ~ 200 ドルです。
  • トレーニングとポリシーの策定には、従業員 1 人あたり約 70 ドル。
  • 修復に 100 ドルから 10,000 ドル (コンプライアンスとセキュリティを満たすために必要な作業量に応じて)。

主要な企業の PCI DSS 試験の総費用は、予想で約 70,000 ドルです。

  • オンサイト監査: 約 $40,000
  • 脆弱性スキャンの費用は約 1,000 ドルです。
  • 侵入テストに約 15,000 ドル
  • ポリシーの策定とトレーニングに 5,000 ドル。
  • 修復 (ソフトウェアやハードウェアの更新など): 10,000 ~ 500,000 ドル

エンタープライズ レベルで PCI に準拠するための価格は安くはありません。 それでも、PCI コンプライアンス料金は、顧客の情報や会社の長期的なイメージを危険にさらす価値はありません。

最後に、Magento PCI コンプライアンスのベスト プラクティスを紹介します。

どのようにして PCI コンプライアンスを取得しますか?

従業員研修

Magento PCI コンプライアンスは、実装前に広範な知識とトレーニングを必要とする技術要件です。

専門家チームのおかげで、Magento プラットフォームが優れたセキュリティであることを確認してください。

従業員のトレーニングに専念するか、業界の専門家を雇用して、Magento のコンプライアンスとセキュリティを支援します。

自己評価アンケート (SAQ)

PCI DSS は、小規模な小売業者に対して 9 つの自己評価アンケートをリリースしました。

SAQ は、基本的な yes/no セキュリティ評価試験であり、セキュリティを評価し、効果的な修復アクションを実行することができます。

どのアンケートが会社に適しているかを判断したら、評価を完了し、準拠証明書を追加できます。

PCI SAQ は、コンプライアンスとセキュリティの検証として機能します。 サードパーティ企業と連携する場合に有利です。

ドキュメント ポリシーとコンプライアンス レポート

社内の変更や運用プロセスを定期的に文書化することで、セキュリティ規制を記録します。

コンプライアンスおよびコンプライアンスの証明に関する PCI レポート (RoC/AoC) は、セキュリティ コンプライアンス評価です。

これは、資格のあるセキュリティ評価者 (QSA) または資格のある内部評価者によって実行され、Magento ストアがカード所有者データを安全に処理できるかどうかを判断します。

定期的なメンテナンスを行う

Magento PCI コンプライアンスは、1 回限りの評価ではなく、継続的な管理プロセスです。

脆弱性スキャンを定期的に実行し、セキュリティを更新し、コンプライアンス手順を完全に文書化する必要があります。

Magento のシステム構成は常に変更されており、それらに対応していないと、コンプライアンス制御が失われ、データ セキュリティが危険にさらされます。

結論

インターネット環境におけるセキュリティ問題への対応は、企業にとっても顧客にとっても容易なことではありません。 したがって、Magento PCI コンプライアンスは、企業がオンライン環境から生じるリスクを軽減するのに役立ちます。 それは、バイヤーがあなたの店で買い物をするときに安心できるようにするだけでなく、ブランドのイメージを高め、より多くの顧客を引き付けることができる顧客の信念を築くことができます. 次に、Magento ストアの所有者である場合は、Magento PCI コンプライアンスを実装することを躊躇しないでください。 何をすべきかわからない場合は、当社のサービス: Magento 開発にアクセスして解決策を見つけるか、直接お問い合わせください