情報セキュリティガイドライン

はじめに

Stripe はインターネットでの決済処理をサポートするコスト効率のよいプラットフォームを構築することによって、インターネットの GDP を拡大することを目指しているテクノロジー企業です。Stripe は創業したばかりのスタートアップから公開会社まで、あらゆる規模の企業をサポートしており、そうした企業は Stripe のサービスを利用して、支払いを受け付け、オンラインビジネスの取引を管理しています。

Stripe はインターネットの決済プラットフォームになるという目標の一環として、ユーザーとその顧客に関連する重要な情報を処理しています。ユーザーとの信頼関係を築くためには、Stripe が自社の決済サービスプラットフォームと、そのプラットフォームを通るデータを保護することが極めて重要になります。

Stripe はこのことを非常に重視しており、セキュリティファーストの文化を築いて維持するよう取り組んでいます。

Stripe のセキュリティ

Stripe のセキュリティに対する取り組みの中心にあるのが、グローバル情報セキュリティポリシー (以下、「ポリシー」と呼びます) です。このポリシーでは、Stripe が自社の決済サービスプラットフォームとそのデータを保護する方法を規定しています。

ポリシーは年に一度、情報セキュリティ部門の上級役員と取締役会によって審査され承認を受けます。

Stripe の情報セキュリティポリシーには、次の重要な情報セキュリティ原則が含まれています。

  • 「機密保持」: 権限のない人や企業が情報にアクセスしたり、権限のない人や企業に情報を公開したりしないようにする
  • 「完全性」: 情報が不正に改ざんされないようにし、情報の正確性と完全性を維持する
  • 「可用性」: 権限を持つ人が必要なときにいつでも情報を利用できるようにする

目標

Stripe は自社が掲げる情報セキュリティの目標とポリシーを満たすために、従業員、プロセス、プラットフォームに焦点を当てた強固な情報セキュリティプログラムを実施してきました。

Stripe の情報セキュリティプログラムでは、次の問題に対処するために統制を設けています。

「従業員」: Stripe のすべての従業員は、Stripe のセキュリティファースト目標を後押しするよう支援する必要があります。Stripe はチームがこのような期待事項に応えられる態勢を整えられるように、トレーニングと啓蒙を通じて全員にセキュリティリスクとセキュリティ事案を周知し、取り組みを進めています。次のような統制が設けられています。 - 専任の情報セキュリティチームと責任者 - テクノロジーリスク管理プログラム - 個人身元調査 - セキュリティ啓蒙プログラム - セキュアコーディングのガイドラインとアプローチを文書化

「プロセス」: Stripe はセキュリティガバナンス、セキュア開発、セキュリティオペレーションを通じて、情報セキュリティ目標が満たされていることを確認するためのビジネスプロセスを定義しています。次のようなプロセスがあります。 - 最小権限の概念をサポートするユーザーアクセスプロセス - セキュリティ分析とテストが組み込まれた公式の開発プレイブック - 脆弱性管理プロセス - マルウェア対策 - セキュリティモニタリングプロセスおよびアラートプロセス - 第三者によるセキュリティリスク評価 - インシデント管理および対応

「プラットフォーム」: Stripe の本番環境インフラストラクチャーは、安全で可用性の高いシステムをサポートしており、Stripe のサービスを保護するとともに顧客のニーズを満たす可用性を確保するように設計されています。Stripe のプラットフォームは次のもので構成されています。 - 産業用クラウドインフラストラクチャーサービス (IAAS) プロバイダー - 複数のデータセンターにまたがる、災害に強い分散型インフラストラクチャー - 常にセキュアなシステムを開発するための自動化されたレバレッジシステム開発プロセス - データレプリケーション - 内部および外部への暗号化されたネットワーク接続

情報セキュリティコンプライアンス

決済取引代行業者である Stripe には、業界および世界各国の多数の規制基準が課せられます。これらの義務に対処するために、Stripe は課せられている多数のさまざまな情報セキュリティ要件を特定、追跡し、対応する際に役立つセキュリティコンプライアンスプログラムを設けました。Stripe の情報セキュリティコンプライアンスプログラムは次のような第三者機関の認定を取得し、維持しています。 - PCI DSS レベル 1 認定 - SOC2 Type 2 認証 - 必須のサイバーセキュリティ認定 - イギリス

これらの認証と認定は年に一度行われ、結果はリクエストに応じて Stripe の顧客に公開されています。