支払いのセキュリティと法令遵守:強力な RFP 作成のベストプラクティス

このガイドでは、提案依頼書 (RFP) で決済のセキュリティと法令遵守について質問する際のベストプラクティスについて説明します。

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. すべての支払い RFP に含めるべきセキュリティ要件とコンプライアンス要件とは?
    1. 業界認証と監査
    2. PCI DSS 準拠
    3. データ保護とプライバシー
    4. 不正利用防止
    5. インシデント対応と災害復旧
    6. グローバル法令遵守対応
    7. コアデータセキュリティ管理
    8. モバイルおよびアプリ内決済
    9. レポーティングと監査可能性
  3. PCI DSS 要件を支払い RFP に書き込むにはどうすればよいですか?
  4. ベンダーに質問すべきデータ保護とプライバシーの基本的な質問
    1. データはどこで保管・処理されますか?
    2. 個人データはどのように保護されますか?
    3. どの個人情報保護法に準拠し、どのような契約がそれを裏付けていますか?
    4. 保存と削除のポリシーについて教えてください。
    5. サブプロセッサーはどのような企業で、どのように審査されていますか?
    6. 違反通知プロセスとは何ですか?
  5. RFP でベンダーの不正利用防止を評価するには?
    1. 不正利用検知システム
    2. 強力な顧客認証 (SCA)
    3. 追跡指標
    4. カスタマイズ能力
    5. 決済手段間の保護
    6. 不審請求の申し立て処理
  6. ベンダーが提供すべきインシデント対応と災害復旧の詳細は?
  7. RFP でグローバルコンプライアンス要件について尋ねるには?
    1. PSD2 と SCA
    2. データ保護と GDPR
    3. 制裁遵守のためのスクリーニング
    4. 地域規制とローカライゼーション
    5. ライセンスおよび規制監督
  8. 暗号化、トークン化、認証に関して、ベンダーに何を要求すべきでしょうか?
    1. 暗号化
    2. トークン化
    3. 認証とアクセス制御
    4. 顧客向け認証
  9. モバイルおよびアプリ内決済のセキュリティ要件を RFP に含めるにはどうすればよいですか?
  10. 決済 RFP では、どのようなレポーティングや監査機能をリクエストすべきでしょうか?
    1. 取引および財務報告
    2. システムアクティビティの監査ログ
    3. 外部法令遵守監査のサポート
    4. リアルタイムの監視とアラート
    5. データアクセスと保存期間
  11. ベンダーの RFP 回答に見られる、セキュリティや法令遵守の弱さを示唆する警告サインとは?
  12. Stripe Payments でできること

2024 年には、世界のセキュリティ侵害の 35.5%がサードパーティーに関連していました。決済代行業者 と連携した場合、この種の侵害の影響はより深刻になる可能性があります。そのため、支払いに関する提案依頼書 (RFP) において、セキュリティと法令遵守は譲れません。RFP は、潜在的なペイメントプロバイダーに、機密データの保護方法、インシデントへの迅速な対応方法、およびビジネスが規制要件を満たすのにどのように役立つかを確立するように依頼する必要があります。

事前に 適切な質問 を行い、反証資料を添えて回答を求める必要があります。以下では、決済に関する RFP におけるセキュリティとコンプライアンスに関する質問に関するすべてのベストプラクティスについて説明します。

目次

  • すべての支払い RFP に含めるべきセキュリティ要件とコンプライアンス要件とは?
  • PCI DSS 要件を支払い RFP に書き込むにはどうすればよいですか?
  • ベンダーに質問すべきデータ保護とプライバシーの基本的な質問
  • RFP でベンダーの不正利用防止を評価するには?
  • ベンダーが提供すべきインシデント対応と災害復旧の詳細は?
  • RFP でグローバルコンプライアンス要件について尋ねるには?
  • 暗号化、トークン化、認証に関して、ベンダーに何を要求すべきでしょうか?
  • モバイルおよびアプリ内決済のセキュリティ要件を RFP に含めるにはどうすればよいですか?
  • 決済 RFP では、どのようなレポーティングや監査機能をリクエストすべきでしょうか?
  • ベンダーの RFP 回答に見られる、セキュリティや法令遵守の弱さを示唆する警告サインとは?
  • Stripe Payments でできること

すべての支払い RFP に含めるべきセキュリティ要件とコンプライアンス要件とは?

支払いに関する RFP を作成する際、セキュリティと法令遵守のセクションは、すべての真剣なベンダーが満たすべき基本的な期待を定義する場所です。RFP では、ベンダーに対して、これらすべての領域にわたって、独立機関による検証を経た強固なセキュリティを実証するよう求める必要があります。

業界認証と監査

プロバイダーに対して、認証や監査の証明を提示してもらいましょう。カードデータに関する Payment Card Industry Data Security Standard (PCI DSS)、情報セキュリティについては ISO (国際標準化機構) 27001、業務管理については SOC (システムおよび組織管理) 2 タイプ 2 です。これらは、外部監査人がプロバイダーの運用実務を確認したことを示す証明となります。

PCI DSS 準拠

サービスプロバイダーに関連する最高レベル (レベル 1) で PCI に準拠していることを要求します。正式な証明として、認定セキュリティ評価機関 (QSA) による現在の法令遵守証明の提出を求めます。

データ保護とプライバシー

プロバイダーが、個人情報、請求先住所、識別子など、すべての顧客情報をどのように保護しているかを確認しましょう。データの保存場所 (地理的な位置)、暗号化方法、アクセス制御の仕組みについて質問します。また、プロバイダーがデータ処理契約 (DPA) に署名し、EU の一般データ保護規則 (GDPR)カリフォルニア州消費者プライバシー法 (CCPA) などのプライバシー法に対応していることを確認してください。

不正利用防止

プロバイダーの 不正利用防止 機能についても問い合わせしてください。機械学習、ルールエンジン、3D セキュア認証を使用しているか?不正利用の防止と高い承認率の維持のバランスをどのように取っていますか?RFP の回答は、正当な顧客をイライラさせることなく、チャージバックや不正利用による損失を削減できることを確信させるものでなければなりません。

インシデント対応と災害復旧

すべてのベンダーは、侵害やシステム停止に対する計画を立てる必要があります。プロバイダーがインシデントをどのように検出して対応するか、データが関与している場合はどのくらいの時間で通知するか、およびデータリカバリの主な目標 (目標復旧時間) (RTO) または目標復旧時点 (RPO) を尋ねます。

グローバル法令遵守対応

自社が国際的に事業を展開している場合、プロバイダーは各国の規制に対応できる必要があります。予期せぬ問題を避けるため、EU の改正支払いサービス指令 (PSD2) への準拠、米国の制裁スクリーニング、インドなどの国のデータローカリゼーション規制への対応を求めましょう。

コアデータセキュリティ管理

暗号化、トークン化、認証に対する期待を明確にすること。データは最新の標準で転送中と静止時に暗号化し、機密データは直接触れることのないようトークン化し、プロバイダーシステムは社内ユーザーに対して強力な認証を実施する必要があります。

モバイルおよびアプリ内決済

モバイルでビジネスを展開している場合は、その環境に特化した要件を含めます。プロバイダーのソフトウェア開発キット (SDK) のセキュリティ、PCI スコープを減らすために機密データがサーバーをバイパスするかどうか、Apple Pay や Google Pay などのデジタルウォレットにどのように対応しているかなどを尋ねてください。

レポーティングと監査可能性

取引レポート、不正利用および不審請求の申し立てに関する分析、管理者操作を追跡するシステム監査ログを必須条件としましょう。自社で監査を実施し、独自のコンプライアンス義務を満たせるだけの十分なデータアクセス権を確保することが重要です。

PCI DSS 要件を支払い RFP に書き込むにはどうすればよいですか?

PCI DSS はカードデータに関する世界共通のルールブックです。RFP では、PCI 準拠について契約条項のように明記する必要があります。レベル 1 認証の取得証明を求めるとともに、標準の改訂に応じて継続的に準拠し続けることをプロバイダーに約束させましょう。

ここでは、RFP の文言に混乱や誤解の余地を残さないようにする方法を説明します。

  • レベルと証明について明確にする: プロバイダーが PCI レベル 1 の認定を受けている必要があることを明記します。これは準拠の最も信頼できる証拠です。

  • 継続的な準拠を求める: プロバイダーが変化する PCI DSS 要件にどのように対応するかを確認してください。例えば、「契約期間中、PCI 準拠を維持することを確認し、新しいPCI DSS のバージョンにどのように適応しているかを説明してください」と尋ねることができます。回答には、年次監査、四半期ごとのスキャン、継続的なモニタリングについての言及が含まれるべきです。

  • 責任分担の明確化: どの PCI 義務がお客様に課せられるかを話し合います。たとえば、「当社の責任として残っている PCI DSS 要件と、その要件の遵守をどのようにサポートしていますか」と尋ねます。PCI 自己評価質問票の事前入力支援や詳細なガイダンスを提供するなど、負担を軽減してくれるプロバイダーを選ぶことが重要です。

ベンダーに質問すべきデータ保護とプライバシーの基本的な質問

名前、住所、メール、デバイス ID もすべて機密情報です。適切なベンダーであれば、顧客のデータがどこに保存されるか、その保護方法、保管期間、何か問題が発生した場合の対応などを正確に伝えることができます。

以下は、確認しておく価値のある質問例です。

データはどこで保管・処理されますか?

管轄地域は重要です。プロバイダーに対して、顧客データが保存されている国や、地域ごとのホスティングオプションがあるかを確認しましょう。透明性のある回答では、保存場所を明示し、適用される法的枠組みを説明し、越境データ移転の取り扱い方法についても述べられるはずです。

個人データはどのように保護されますか?

暗号化、アクセス制御、監視は最初に確認すべき項目です。具体的な方法について質問しましょう:保存データにはAES 256 (Advanced Encryption Standard) を使用しているか、転送データには TLS 1.2以上 (Transport Layer Security) を使用しているか、役割ベースのアクセス制御で最小権限の原則を適用しているかなどです。また、監査ログの詳細も求めましょう。誰が、いつ、どのレコードにアクセスし、どの目的で利用したかを確認できることが重要です。すべての操作が追跡されていることを証明できる必要があります。

どの個人情報保護法に準拠し、どのような契約がそれを裏付けていますか?

プロバイダーは、GDPR、CCPA、およびその他の関連法について明示する必要があります。GDPR に準拠したデータ処理契約書と、アクセスや削除などデータ主体の権利をどのように扱うかの反証資料を要求すべきです。プロバイダーが認定資格を保持しているか、認知されたフレームワークに参加している場合は、評価に含める価値があります。

保存と削除のポリシーについて教えてください。

プロバイダーが取引データや個人データをどのくらいの期間保持するか、また削除や匿名化のプロセスがどのように整備されているかを確認しましょう。具体的な方針があることが望ましく、保持期間の明示、自動削除の仕組み、削除リクエストへの迅速な対応が可能であることがポイントです。

サブプロセッサーはどのような企業で、どのように審査されていますか?

プロバイダーがクラウドサービスや第三者に依存している場合、どの事業者を利用しているかを開示し、これらのパートナーも同じ基準に従っていることを示す必要があります。優れた回答では、サブプロセッサーに対するデューデリジェンスの実施、契約上の義務、認証取得状況などが具体的に説明されます。

違反通知プロセスとは何ですか?

インシデント報告に関するプロバイダーの書面のポリシーをリクエストしてください。タイムライン (侵害が発生してから何時間以内に報告されるか) と、どのような詳細を共有するかについて尋ねてください。最適な回答には、連絡経路やインシデント発生後の報告、改善策などが含まれます。

RFP でベンダーの不正利用防止を評価するには?

捕捉されなかった不正行為は収益を減少させ、顧客の信頼を損なう可能性があります。一方、正当な取引を誤ってブロックする誤検知は、売上の損失につながります。不正防止について議論する際、適切なベンダーは具体的であるべきです。例えば、数十億件のデータに基づく機械学習モデル、カスタマイズ可能なダッシュボード、具体的な不正率、組み込みの認証フローなどが挙げられます。また、ベンダーは不正防止とコンバージョンのバランスを理解し、それを管理する方法を示すことが求められます。

ここでは、判断すべき点について説明します。

不正利用検知システム

ベンダーに対して、不正検知システム の詳細を説明するよう求めましょう。多層的なアプローチを持つプロバイダーを探します。大規模データセットで学習した機械学習、カスタマイズ可能なルール、デバイスフィンガープリンティング、速度チェック、行動シグナルなどです。最も優れたプロバイダーは、自動スコアリングを手動レビューやフィードバックループのオプションと組み合わせています。もしプロバイダーがコンソーシアムデータ(複数の企業から収集されたシグナル)に言及する場合、それは自社の取引を超えた広範なデータからモデルが学習していることの証です。

たとえば、Stripe は高度な不正利用検出機能を備えており、Stripe ネットワークで 以前にクレジットカードを使用されたことがある確率は 92%です。不正利用評価のための豊富なデータを提供します。また、Stripe は不正利用スコアを安全に共有して、カード発行会社がより正確な承認決定を行えるようにします。

強力な顧客認証 (SCA)

不正防止は認証と密接に関連しています。プロバイダーに対して、3D セキュア、ワンタイムパスコード、生体認証などの方法をどのようにサポートしているかを説明させましょう。欧州で事業を行う場合、これは PSD2 の要件です。欧州以外でも、ハイリスクや疑わしい取引には高度な認証が必要です。理想的なプロバイダーは、これらのフローを自社で構築することなく利用できるように提供できることが望ましいです。

追跡指標

不正利用率、チャージバック 比率、誤検知率、承認率などの指標の説明を求めましょう。高い承認率と低い不正利用率、最小限の摩擦といったトレードオフを明確にできるプロバイダーを探しているはずです。チャージバック保証やライアビリティシフトプログラムを提供している場合は、そのシステムに対する信頼の証ですが、それでも、どのようにしてその結果を得ているのかを理解する必要があります。

カスタマイズ能力

ビジネスにはそれぞれリスク許容度があります。不審請求の申し立てを受けても最大限の購入完了率を求める企業もいれば、不正利用を減らすためにより多くの顧客にチャレンジする企業もいます。不正利用ルールのカスタマイズ、リスク閾値の調整、特定のシナリオのホワイトリスト化またはブラックリスト化が可能かどうかを確認してください。強力なベンダーはダッシュボードを提供し、「新規顧客からの 5,000 ドル以上の取引にフラグを立てる」「特定の国からの初回注文はすべて 3D セキュアを必須にする」といったルールを作成できます。この柔軟性はプロバイダーの成熟度の表れです。

たとえば、Stripe は、技術ドキュメント、開発者フレンドリーな API、カスタマイズオプション、ローコードおよびノーコードのツール、組み込み型コンポーネント、Stripe が管理するリスクを備えた、簡単で柔軟な導入体験を提供します。

決済手段間の保護

デジタルウォレットから 後払い まで、あらゆる支払い方法には不正利用のリスクが伴います。RFP はプロバイダーに、これらの支払い方法をどのように監視しているかを尋ねる必要があります。プロバイダーは銀行口座の確認、入金受取人の制裁リストへのスクリーニング、アカウントの乗っ取りの検出を行っていますか。クレジットカードの不正利用にのみ対処しているプロバイダーは、他の場所でユーザーを危険にさらす可能性があります。

不審請求の申し立て処理

不正利用防止と不審請求の申し立て管理は密接な関係にあります。ベンダーがチャージバック対応をどのようにサポートしているか聞いてみましょう。自動的に反証資料をまとめたり、不審請求の申し立てアラートを出したり、根本原因に関する分析を提供していますか?どんなに優れたシステムでもすべてを把握できるわけではないので、不正利用が発生した場合の影響を抑える能力も重要です。

ベンダーが提供すべきインシデント対応と災害復旧の詳細は?

プロバイダーが侵害や機能停止にどのように備えるかで、その成熟度がわかります。適切な回答には、テスト済みのインシデント対応プラン、迅速な侵害通知、測定可能な復旧目標、回復力を高めるために構築されたインフラストラクチャー、そして常に情報を共有できるコミュニケーションプロトコルが含まれます。タイムライン、測定基準、およびテスト頻度は、準備態勢のシグナルです。

ここでは、知っておくべきことをご紹介します。

  • インシデント対応プラン: プロバイダーに対して、セキュリティインシデントをどのように対応しているかを確認しましょう。優れた回答では、検知、封じ込め、調査、復旧のための正式な計画が示されます。最も信頼できるベンダーは、定期的な訓練やテーブルトップ演習で計画をテストし、実際のインシデント後に更新しています。また、パートナーにはそのプロセスに習熟した専任チームがいることが望ましいです。

  • 侵害時の通知: 具体的に確認しましょう。例えば、「確定したセキュリティ侵害について、何時間以内に通知されますか?どのような情報が提供されますか?」と尋ねます。信頼できるプロバイダーは、明確な通知時間 (例: 24 〜 72 時間) を約束し、共有される情報—影響範囲、対象データ、是正措置、進捗状況の更新—を説明できるべきです。また、エスカレーション経路や連絡先も明確にしてください。誰が連絡してくるのか、頻度、連絡手段は何か、事後に原因分析を共有してくれるかなども確認しましょう。プロバイダーは、回復のパートナーとして扱うべきです。

  • 災害復旧と事業継続計画: RTO と RPO について尋ねます。これらの指標は、システムがオンラインに戻るまでの時間と、失われる可能性のあるデータの量を定義します。地理的冗長性の具体的な数値と反証資料を評価します(複数のデータセンター、代替クラウド地域など)。これらの詳細を提供できないベンダーは、プランをテストしていない可能性があります。

  • バックアップインフラストラクチャ: バックアップ用発電機、複数のインターネットプロバイダー、自動フェイルオーバー機構、継続的なバックアップについて確認しましょう。プロバイダーはフェイルオーバーのプロセスをどのくらいの頻度でテストしているかも重要です。一部のプロバイダーは、障害発生後にポストモーテム (事後報告) を公開して説明責任を示しています。このような透明性の高さは信頼の証です。

RFP でグローバルコンプライアンス要件について尋ねるには?

複数の市場でビジネスを展開している (または展開するプランがある) 場合、RFP では、提供事業者が顧客のいるすべての地域でコンプライアンスを確保できるかどうかを確認する必要があります。優れた提供事業者は、コンプライアンスを製品の一部として扱います。例えば、PSD2 対応の自動化、具体的なプライバシー保護の取り組み、支払いに組み込まれた制裁チェック、対象市場をカバーするライセンス一覧などに言及することがあります。

ここでは、法令遵守が必要なレベルで組み込まれているかどうかを判断するために、何を尋ねる必要があるかを説明します。

PSD2 と SCA

EU の PSD2 規制では、ほとんどの電子決済に SCA (強力な顧客認証) が義務付けられています。プロバイダーには「SCA を含む PSD2 の要件をどのように処理していますか?免除はどのように管理していますか?」と尋ねる必要があります。信頼できるベンダーであれば、必要に応じて自動的に SCA を適用し、免除(少額決済、信頼できる受益者、継続的な支払いなど)を最適化して不要な障害を取り除くことを確認してくれるはずです。こうした免除は、利用者自身がコーディングするのではなく、自動化されている必要があります。

データ保護と GDPR

すべての地域にはプライバシー法があります。RFP では、プロバイダーに対し、GDPR、CCPA、その他のデータ保護規制にどのように準拠しているかを説明することを求めるべきです。顧客データがどこに保存されるのか、地域ごとのホスティングオプションがあるか、越境データ移転にどのような仕組み(例:EU-US データプライバシーフレームワーク、標準契約条項)を用いているのかを確認してください。契約の一部として、GDPR 準拠のデータ処理契約を義務付けましょう。さらに、プライバシー対応の状況について、認証、監査、または第三者による検証を提示できるプロバイダーを選ぶことが重要です。

制裁遵守のためのスクリーニング

多くの国では、制裁法令遵守が義務付けられています。たとえば、アメリカでは外国資産管理局 (OFAC) 制裁措置を執行しています。制裁チェックを怠ると、罰金や風評被害にさらされる可能性があります。次のように尋ねてください。「どのような 制裁スクリーニング を行っていますか (OFAC、EU、国連) ?ブロックしたり、制限された取引をどのようにフラグを立てたりしていますか?どのリストをチェックし、どれくらいの頻度で更新しているか?制裁スクリーニングプロセスについて説明してください。」強力な回答は、取引および入金レベルでの自動スクリーニング、継続的なリストの更新、および一致した取引の処理手順について説明しています。

地域規制とローカライゼーション

地域によって独自のルールがあるため、RFP でカバーされていることを確認する必要があります。プロバイダーに次のように尋ねてください。「どの地域のコンプライアンス義務に直接対応していますか?その要件を満たすためにどのようにサポートしてくれますか?」最適な回答は、地域ごとの規則を積極的にトラックしていることを示すものです。

ライセンスおよび規制監督

プロバイダーが主要な市場で適切なライセンスまたは登録を取得しているかどうかを調査してください。これによって、規制上の責任を誰が負うのかが決まり、決済が滞りなく行われるかどうかが決まります。プロバイダーには、保有している規制当局のライセンスと、その対象地域をリストアップしてもらいましょう。

暗号化、トークン化、認証に関して、ベンダーに何を要求すべきでしょうか?

プロバイダーが暗号化、トークン化、アクセス制限の方法について説明できない場合は、その提案を引き続き読む必要はありません。プロバイダーは、暗号化標準の名前、トークン化フローの説明、SSO (シングルサインオン) とMFA (多要素認証) の詳細な説明、アプリケーションプログラミングインターフェイス (API) キーの制限、Webhook 署名の説明を行える必要があります。

以下は、RFP で明確に確認すべき機能項目です。

暗号化

支払いデータの送信時および保存時のエンドツーエンド暗号化を義務付けています。移動中のデータには TLS 1.2 または TLS 1.3、静止時のデータには AES-256 または同等のものを使用し、ベンダーにキー管理方法を説明してもらいましょう。ハードウェアセキュリティモジュールを使用しているか、決められたスケジュールでキーをローテーションしているか、職務分離でキーを保護しているかなどです。暗号化は、その背後にあるキー管理によってのみ強固なものとなります。

トークン化

トークン化は、生のクレジットカード番号を環境から取り除き、プロバイダーのシステムだけが解決できるランダムなトークンに置き換えます。これを必須条件としましょう。たとえば、「カード保有者データはトークナイズされ、自社システムで生データを一切閲覧・保存しないこと」と明記できます。さらに、プロバイダーの保管庫 (Vault) がどのように保護されているか、トークンが定期請求、サブスクリプション、返金に再利用可能かも確認しましょう。

認証とアクセス制御

ベンダーに、自社のプラットフォームと API へのアクセスをどのように保護しているかを説明してもらいましょう。ダッシュボードへの管理者アクセスには MFA が必須であり、企業 ID プロバイダーとの SSO 導入があればなお良いでしょう。役割ベースのアクセスと監査証跡の詳細を求めてください。異なるチームメンバーに異なるレベルのアクセスを割り当てることができ、誰がいつ何をしたかを追跡できるかです。API については、スコープされたキー、エフェメラルトークン、Webhook 署名など、認可されたシステムのみが通信を行うことを保証するコントロールを確認します。

顧客向け認証

不正利用防止はしばしば認証に関連します。プロバイダーは、3D セキュア認証、デジタルウォレットでの生体認証、その他取引にリスクがあると思われる場合や規制で要求される場合の段階的チェックにどのように対応しているかを説明する必要があります。

モバイルおよびアプリ内決済のセキュリティ要件を RFP に含めるにはどうすればよいですか?

RFP では、プロバイダーのモバイル統合が、ウェブや POS 環境と同様にカードデータを厳格に保護していることを示す必要があります。具体的には、SDK内でのカードデータの流れ、機密情報がアプリに触れないことの保証、組み込みウォレットのサポート、積極的なセキュリティテストの証拠などです。モバイル決済 は他のチャネルと同等に安全に運用できますが、それはプロバイダーの統合設計がモバイルを前提としている場合に限られます。

RFP で質問を重点的に確認すべきポイントは以下の通りです。

  • PCI 準拠 SDK: ベンダーの iOS および Android SDK が PCI DSS 準拠を検証済みかどうかを確認してください。強力な SDK は、生のクレジットカードデータがアプリに触れることなく、デバイス上で暗号化され、直接プロバイダーの安全なサーバーに送信され、返されるのはトークンのみです。

  • ウォレットとプラットフォームのサポート: デジタルウォレット (Apple Pay、Google Pay、Samsung Pay など) をサポートし、デバイス上で生成されたトークンがどのようにシステムを流れるかを説明するようプロバイダーに求めてください。優れたベンダーは、実際のクレジットカード番号が顧客のデバイスから離れることはなく、生体認証はウォレット自体で処理されることを強調します。これは、最も安全な支払い方法の 1 つです。

  • デバイスとアプリの保護: SDK が危険な環境をどのように扱うか尋ねてください。脱獄やルート化されたデバイスを検知するか、機密データのログ記録を防ぐか、端末に保存された鍵を保護するかなどです。適切な回答では、証明書ピンニング、制限付きストレージ、実行時チェックなど、安全でない状況での支払いをブロックする保護策が説明されます。

  • 更新とテスト: モバイル環境は急速に進化します。ベンダーには、SDK のセキュリティパッチの更新頻度や、脆弱性のテスト方法について説明するよう求めてください。定期的な侵入テストの実施や、iOS や Android の新バージョンがリリースされた際にアップデートを公開することを約束しているかどうかを確認してください。

決済 RFP では、どのようなレポーティングや監査機能をリクエストすべきでしょうか?

レポートツールと監査ツールは、財務、セキュリティ、および法令遵守チームが統制が機能していることを証明し、資金を照合し、規制当局から厳しい質問を受けたときに対応する方法です。レポーティングに真剣に取り組んでいるベンダーは、ダッシュボード、API、カスタマイズ可能なレポート、監査証跡、法令遵守の認証、およびアラートについて、保存期間、フォーマット、および統合に関する具体的な内容で説明します。RFP は、ベンダーが本当の可視性を提供するのか、それとも自力で物事をつなぎ合わせる必要があるのかを明らかにするものです。

ここでは、さらに詳しく知りたい機能をご紹介します。

取引および財務報告

取引、売上処理、返金、不審請求の申し立て、手数料について、どのようなレポートが利用できるかを確認しましょう。レポートの形式や、日付範囲、地域、決済手段などでフィルタリングしてカスタマイズできるかも確認してください。リアルタイムダッシュボードや、詳細なデータを自社システムに取り込める API があるかがポイントです。財務チームが支払いと銀行入金を容易に照合できない場合、以降の業務全体に支障が出る可能性があります。

システムアクティビティの監査ログ

成熟したプラットフォームは、ログイン、権限の変更、API キーの生成、返金の発行、設定の更新など、すべての機密操作を追跡します。システムイベントとユーザー活動の両方について、詳細な監査ログを必須条件としましょう。ログの保持期間や不変性 (改ざん防止) が確保されているかも確認してください。誰がいつ何を行ったかを正確に追跡できる能力は、内部監査や不審な活動の調査時に必須です。

外部法令遵守監査のサポート

貴社の監査担当は、ペイメントプロバイダーが主張通りのことを行っている証拠を求める可能性があります。ベンダーに、どのような文書 (SOC 1、SOC 2、ISO 認証、PCI DSS 証明書など) を提供しているか、またそれらのレポートをどのように共有しているかを説明してもらいましょう。NDA の下で提供するところもあれば、カスタマーポータルを用意しているところもあります。

リアルタイムの監視とアラート

信頼できるプロバイダーは、チャージバックの急増、異常な 拒否 の集中、API エラー率の上昇など、異常をリアルタイムで通知する設定可能なアラートや Webhook を備えています。早期警告システムがなければチームは迅速に対応できないため、RFP ではライブメトリクスへの可視性を必須要件として明確に示すべきです。

データアクセスと保存期間

規制当局に対応するため、数年間にわたる取引履歴や監査ログが必要になることがあります。プロバイダーには、「レポートや監査ログはどのくらいの期間保持されますか?自社のコンプライアンス要件のためにエクスポートやアーカイブは可能ですか?」と確認しましょう。優れた回答では、複数年にわたる保持を約束し、データを自社のデータウェアハウスに簡単にエクスポートまたは同期できる方法を提供します。

ベンダーの RFP 回答に見られる、セキュリティや法令遵守の弱さを示唆する警告サインとは?

RFP は、書かれていることを評価するのと同様に、何が欠けているかを見抜くことでもあります。効果的なプロバイダーは、具体的性と反証資料に裏打ちされた明確な回答をします。それ以下であれば、前進する前に立ち止まってより深く調査する理由となります。

RFP を評価する際に注意すべき主な警告サインは次のとおりです。

  • あいまいな表現: 回答が実際の標準、プロトコル、または認証の名前を挙げずに「最先端のセキュリティ」などのフレーズに頼っている場合は、そのベンダーが詳細を提供できないか、提供しようとしないことを示す合図です。真剣なプロバイダーであれば、PCI DSS、SOC 2、ISO 27001、具体的な暗号化方法、具体的なプロセスについて言及するはずです。

  • 独立した検証の欠如: 支払いを処理するベンダーは外部監査を受けているべきです。PCI 認証を取得していない、あるいは SOC や ISO の報告書を提示できない場合は、これらの認証を持つ別のベンダーを検討してください。

  • 不明瞭なインシデント対応プラン: RFP には、文書化された復旧プランに加えて、侵害通知の具体的な期間とテスト済みのプランを示す必要があります。プロバイダーが「適宜顧客に通知します」といった曖昧な回答をする場合、最も重要な時に迅速な連絡が保証されません。

  • 責任シフト:「ツールは提供するが、コンプライアンスは事業者の責任です」といった、重要な義務を自社に押し付ける回答に注意しましょう。責任は常に一定程度発生しますが、優れたプロバイダーは負担を分担し、明確なサポートを提供してくれます。

  • 旧式の方法: 脆弱な、または古い基準 (例:パスワードハッシュに MD5 を使用、古い PCI バージョン) への言及は、セキュリティが時代に追いついていないことを示します。現代的な暗号化、管理者アクセスに対する多要素認証 (MFA)、最新のPCI DSS への準拠が求められます。

  • 矛盾または過度な約束: 回答内容に一貫性がない場合 (データの保管はないと主張しておきながら、保存時は暗号化しているなど) は、ずさんさや社内のコミュニケーション不足を示唆します。反証資料のない「不正利用ゼロ」や「稼働時間 100%」という保証も同様に疑わしいものです。

Stripe Payments でできること

Stripe Payments は統合型のグローバル決済ソリューションです。成長中のスタートアップからグローバル大企業まで、あらゆるビジネスがオンライン、対面、世界各地で決済を受け付けることができます。

Stripe Payments は以下のような場面でお役に立ちます。

  • 決済体験の最適化: 構築済みの決済 UI、125 種類以上の決済手段へのアクセス、Stripe が構築したウォレットである Link により、スムーズな顧客体験を実現し、エンジニアリングの工数を何千時間単位で節約できます。

  • 新市場への迅速な展開: 195 か国、135 以上の通貨で利用可能な国際決済オプションにより、世界中の顧客にリーチし、多通貨管理の複雑性とコストを軽減できます。

  • 対面とオンライン決済の統合: オンラインと対面チャネルにまたがるユニファイドコマース体験を構築し、インタラクションをパーソナライズし、ロイヤルティに報い、収益を伸ばします。

  • 決済パフォーマンスの向上: ノーコードの不正利用防止機能や承認率向上のための高度な機能を含む、カスタマイズ可能で設定が簡単な各種決済ツールにより、収益を増加させます。

  • 柔軟で信頼性の高いプラットフォームによる迅速な成長: 99.999% の過去の稼働率と業界トップクラスの信頼性を備え、スケールに合わせて拡張可能なプラットフォーム上で構築できます。

Stripe Payments のオンラインおよび対面決済がビジネスにどのように役立つかについて知りたい場合、もしくは 今すぐ始める場合はこちら をご覧ください

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。