PCI 準拠ガイド

Payment Card Industry Data Security Standard (PCI DSS) は、データセキュリティの最低限の基準を定めたカード業界の国際セキュリティ基準です。この記事では、PCI DSS 準拠のための情報と、Stripe のサポートを紹介します。

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. PCI 準拠の達成と維持をサポートする Stripe の機能
  3. PCI DSS 準拠の手順
    1. 1. PCI レベルを把握する
    2. 2. 導入タイプとドキュメント要件を把握する
    3. 3. 評価を完了し、SAQ ドキュメントを提出する
    4. 4. 監視と保守
  4. 組織の PCI 準拠状態の維持をサポートする Stripe の機能
    1. 中小企業向けのサポート
    2. カスタマイズされたダッシュボード体験
    3. ビジネスの成長に合わせたサポート
    4. 複数のサービスプロバイダー
    5. MOTO (通信販売 / 電話販売) 決済のサポート
  5. Stripe についてもっと知る 

2005 年以来、アメリカでは 9,000 件以上のデータ侵害により、100 億件以上の消費者記録が漏洩しています。これは、Privacy Rights Clearinghouse が発表した最新の数字で、2005 年までさかのぼり、消費者に影響を与えたデータ漏洩やセキュリティ侵害について報告しています。消費者データの安全性と決済エコシステムに対する信頼を向上させるため、データセキュリティの最低基準が設けられました。Visa、Mastercard、American Express、Discover、および JCB は 2006 年に PCI SSC (Payment Card Industry Security Standards Council) を設立し、クレジットカードデータを扱う企業のセキュリティ基準を管理・運営しています。

Payment Card Industry Data Security Standard (PCI DSS) は、カード会員データや機密性の高い認証データを保存、処理、または送信するすべての事業体に対する世界的なセキュリティ基準です。PCI DSS は、消費者を保護するための基準レベルを設定し、決済エコシステム全体にわたる不正利用やデータ漏えいの削減を支援します。PCI DSS は、決済カードを受理または処理するすべての組織 に適用され、これらの基準を満たさない組織には重大な罰則、罰金、およびコストが課せられます。

PCI DSS 準拠には以下の主な 3 つの要素が関係します。

  1. 顧客からのクレジットカード情報の入力処理。すなわち、機密性の高いカード情報が安全に収集および送信されること
  2. データの安全な保存。PCI 基準の 12 のセキュリティドメイン (暗号化、継続的な監視、カードデータへのアクセスにおけるセキュリティテストなど)で概説されているように
  3. 必要なセキュリティ管理が実施されていることを毎年検証すること。これには、書式、アンケート、外部の脆弱性スキャンサービス、第三者による監査などが含まれます (4 段階の要件レベルが記載された表については、以下のステップバイステップガイドを参照してください)。

クレジットカードによる決済を受け付けるすべての企業は、その件数、地域、統合方法に関係なく、PCI DSS に準拠する必要があります。このフレームワークに準拠することで、企業は次のことが可能になります。

  • カードデータの安全性を確保することで顧客の信頼を構築
  • 不正利用やデータ漏洩からの保護
  • PCI 準拠違反による罰金を回避

免責事項: この記事はガイダンス目的でのみ使用し、正式な助言として解釈しないでください。詳細については、Payment Card Industry Data Security Standard (PCI DSS) の認定審査機関 (QSA) に相談することをお勧めします。

PCI 準拠の達成と維持をサポートする Stripe の機能

ビジネスモデルがカードデータの処理を伴う場合は、PCI DSS が定める 300 以上のセキュリティ管理の各要素を満たす必要があります。

PCI DSS については、PCI セキュリティ基準審議会 (PCI Security Standards Council) が発行している 1,800 ページを超える公式ドキュメントに詳しく記されており、規制への準拠を検証する際に使用するフォームについての説明だけで 300 ページ以上が費やされています。

Stripe は、さまざまなトークン化された導入方法 (CheckoutElementsモバイル SDKTerminal SDK など) を提供することで、企業の PCI 準拠への負担を大幅に軽減し、機密性の高いクレジットカードデータを直接処理しなくても済むよう支援します。

  • Stripe Checkout と Stripe Elements では、すべてのカードデータの処理にオンライン決済フィールドを使用するため、カード保有者は、Stripe の PCI DSS 認証サーバーから直接提供される決済フィールドに、支払いに関する機密情報をすべて入力します。
  • Stripe のモバイル SDK と Terminal SDK でも、カード保有者は支払いに関する機密情報を PCI DSS 認証サーバーに直接送信できます。

Stripe では、すべてのユーザーが PCI 準拠を実現できるよう、各種サポートを提供しています。

  • Stripe PCI ウィザードが導入方法を分析し、準拠の負担を軽減する方法をアドバイス
  • 取引量の増加に伴い、準拠の検証方法に変更が必要になった場合は、事前に通知
  • クレジットカードデータを保存したり、決済フローが複雑であったりするために PCI QSA を使用する必要のある大企業やエンタープライズ企業は、世界中に 400 社以上存在する QSA 企業を利用可能。また、Stripe の各種導入方法を深く理解している複数の監査人をご紹介可能

PCI DSS 準拠の手順

1. PCI レベルを把握する

PCI に準拠するための最初のステップは、組織に適用される要件を知ることです。PCI 準拠には 4 つのレベルがあり、通常は 12 カ月間にビジネスが処理するクレジットカード取引量に基づきます。

レベルに応じて、Approved Scanning Vendor (ASV) からの 定期的な脆弱性スキャン など、異なる要件があります。代行業者 (他の事業体に代わってカード会員データ (CHD) および / または機密認証データ (SAD) の処理、保存、または送信に直接関与する事業体 (例: ペイメントゲートウェイ、決済代行業者、および独立系販売組織)) には、追加の要件もあります。

規制遵守レベル
対象
要件
レベル 1
  • 年間の取引件数が Visa または MasterCard で 600 万件以上、またはアメリカン・エキスプレスで 250 万件以上の組織、または
  • 過去にデータ漏洩を経験した組織、または
  • カードブランド (Visa、MasterCard など) が「レベル 1」と判定した組織
  • 認定審査機関 (QSA) による準拠証明書 (AOC) または年次コンプライアンスレポート (ROC)
  • 認定スキャンベンダー (ASV) による四半期ごとのネットワークのスキャン
レベル 2
  • 年間取引件数が 100 ~ 600 万件の組織
  • 自己問診票 (SAQ)、または準拠証明書 (AOC)、またはコンプライアンスレポート (ROC)
  • SAQ A、SAQ A-EP、SAQ D の文書について、PCI 認定審査機関 (QSA) または PCI から認定を受けた社内の認定担当者 (ISA) の署名が必要1
  • 認定スキャンベンダー (ASV) による四半期ごとのネットワークのスキャン
レベル 3
  • 年間オンライン取引件数が 2 万 ~ 100 万件の組織
  • 年間総取引件数が 100 万件未満の組織
  • レベル 3 とレベル 4 のユーザーは、自動的に弊社のリスク管理プログラムに登録されます。このプログラムは、導入方法など複数の要因に基づき、カスタマイズされたシンプルなプロセスを提供します。1 件以上の PCI DSS 自己問診票 (SAQ) の完了を求められる場合があります。
  • レベル 3 のユーザーは、認定スキャンベンダー (ASV) によるネットワークのスキャンを四半期ごとに受ける必要もあります。
レベル 4
  • 年間オンライン取引件数が 2 万件未満の組織、または
  • 年間総取引件数が 100 万件までの組織
  • レベル 4 のユーザーは、認定スキャンベンダー (ASV) によるネットワークのスキャンを四半期ごとに受ける必要もあります。
1 SAQ A、SAQ A-EP または SAQ D を実施するレベル 2 の加盟店は、法令遵守の検証に QSA を利用する必要があります

2. 導入タイプとドキュメント要件を把握する

PCIレベルがわかったら、次のステップは、Stripe で使用している導入のタイプや、代行業者であるかどうかなどに基づいて、準拠状態を検証するために完了すべき PCI ドキュメントを判別することです。

レベル 1 ユーザー

レベル 1 の事業者は、PCI 準拠を証明するために SAQ を使用することはできません。毎年 PCI 準拠を検証するために、QSA または加盟店の執行役員が署名した ROC を完了する必要があります。

レベル 2 ~ 4 のユーザー

レベル 2 ~ 4 のユーザーの場合、決済の導入方法に応じて SAQ タイプが異なります。どの SAQ タイプが適切かわからない場合は、Stripe PCI ウィザードがビジネスに適したドキュメントのタイプを自動的に判別します。

導入方法
要件
推奨事項
Checkout または Elements
SAQ A
CheckoutStripe.js and Elements は、すべてのカードデータ収集入力を (お客様のドメインではなく) Stripe のドメインが提供する iframe 内でホストします。このため、顧客のカード情報がお客様のサーバーに接触することはありません。
Connect
SAQ A Connect プラットフォーム (Squarespace など) 経由でのみカードデータを収集する場合、そのプラットフォームが必要な PCI 文書を提供しているかどうかを弊社で確認できます。
モバイル SDK
SAQ A

Stripe のモバイル SDK の開発および変更管理は、PCI DSS (要求事項 6.3 から 6.5) に準拠しており、弊社の PCI 検証済みのシステム経由でデプロイされます。iOS または Android 向けの Stripe 公式 SDK の UI コンポーネントのみを使用するか、WebView で Elements を使用して決済フォームを作成する場合は、カード番号が顧客から Stripe に直接渡されるため、PCI 準拠の負担が最も軽くなります。

カード情報を処理するためのコードを社内で作成するなど、他の方法を採用する場合は、追加の PCI DSS 要求事項 (6.3 〜 6.5) に対する責任を負う可能性があり、SAQ A の適格対象になりません。この場合は、PCI QSA に連絡して、PCI Security Standards Council の現在のガイダンスに従って法令に遵守していることを検証するための最良の方法を決定してください。

お客様のアプリケーションで顧客が自身のデバイスから情報を入力する必要がある場合、SAQ A の対象となります。アプリケーションがデバイス上 (POS アプリなど) で複数の顧客のカード情報を受け付ける場合、PCI 準拠を検証する最適な方法について PCI QSA にご相談ください。

Stripe.js v2
SAQ A-EP

自社サイトでホストされているフォームに入力されたカードデータを Stripe.js v2 で送信する場合、毎年 SAQ A-EP を完了させ、ビジネスが PCI に準拠していることを証明する必要があります。

別の方法として、CheckoutElements はどちらもセルフホスト型のフォームの柔軟性とカスタマイズ可能性を維持しつつ、SAQ A に対する PCI 適格性を満たしています。

Terminal
SAQ C

Stripe Terminal を使用してカードデータのみを収集する場合、SAQ C を使用して検証できます。

Stripe を導入する際に、この表に記載されている追加の方法を使用する場合、別途記載されている通り、法令に遵守していることを説明する必要があります。
ダッシュボード
SAQ C-VT

ダッシュボードから手動でカード支払いを作成する方法は、例外的な状況においてのみ使用が可能であり、通常の決済処理では使用できません。顧客がカード情報を入力できる適切な支払いフォームまたはモバイルアプリケーションを用意してください。

手動で入力されたカード情報が Stripe の外部で安全であることを確認できません。このため、PCI 準拠要件に従ってカードデータを保護し、毎年 SAQ C-VT を完了させ、ビジネスが PCI に準拠していることを証明していただく必要があります。

Direct API
SAQ D

Stripe の API にカード情報を渡すと、お客様の実装システムがそのデータを直接処理します。お客様は、SAQ の中で最も要件が厳しい SAQ D を使用して、毎年 PCI 準拠を証明する必要があります。この負担を軽減するには、次のようにします。

また、Stripe の不正防止ツールである Radar には、リスク評価ルールなどが含まれ、クライアント側でのトークン化メソッドを使用している場合のみ利用可能です。

代行業者

他の事業体 (ペイメントゲートウェイ、決済代行業者、独立系販売組織など) に代わって、カード会員データ (CHD) および / または機密認証データ (SAD) の処理、保管、または送信に直接関与している場合、代行業者に分類される可能性があります。代行業者は通常以下を行います。

  • 他の組織のためのカード会員データの処理
  • 顧客に代わってカード会員データを保存
  • システム間でのカード会員データの送信
  • カード会員データのセキュリティに影響を与える可能性のあるサービス、またはカード会員環境のセキュリティに影響を与える可能性のあるサービスの提供

一般的な例としては、ペイメントゲートウェイ、(カード会員データを保存する) ホスティングプロバイダー、サードパーティデータセンター、決済アプリケーションを提供する企業、トークン化代行業者などがあります。

代行業者として、検証する必要がある 追加要件 があります。

代行業者カテゴリー

基準

PCI 要件

レベル 1

すべてのサードパーティ処理業者 (TPP)

Mastercard と Maestro の年間合計取引件数が 30 万件を超えるすべてのデータ保管事業者 (DSE)

QSA による年次オンサイト審査
ASV による四半期ごとのネットワークスキャン

レベル 2

Mastercard と Maestro の年間合計取引件数が 30 万件以下のすべての DSE

年次自己評価
ASV による四半期ごとのネットワークスキャン

3. 評価を完了し、SAQ ドキュメントを提出する

必要な評価を特定したら、次のステップは評価を実行し、関連する SAQ または ROC ドキュメントを完成させ、レビューのために Stripe に提出することです。

大口ユーザーは、事業を展開している地域で事業登録されている QSA のサービスを確保することをお勧めします。QSA は、PCI 要件に照らしてシステムをレビューし、不備があれば改善策をアドバイスします。また、QSA は毎年 Stripe と共有するための適切な文書を作成し、署名します。

レベル 3 およびレベル 4 のユーザーは、業種に適した PCI DSS 自己評価アンケート に記入する必要があります。PCI Security Standards Councilからは、その他の 加盟店向けリソース を利用できます。Stripeもサポートを提供しており、PCI ダッシュボードのカスタマイズウィザードでは、一連の質問を行い、必要な文書を作成します。Stripe PCI ダッシュボードを使用して、自己記入した SAQ または ROC 文書をアップロードできます。

4. 監視と保守

PCI 準拠は単発の業務ではありません。これは、データフローや顧客接点が進化する中で、ビジネスの準拠状態を維持するための年次プロセスです。

PCI DSS は、カード会員データの処理と保存に関する重要な基準を定めていますが、それだけではすべての決済環境を十分に保護できるわけではありません。代わりに、トークン化されたデータ (Stripe Checkout、Elements、モバイル SDK など) を使用する、より安全なカード承認方法に移行する方が、組織をはるかに効果的に保護できます。このアプローチを採用すると、俊敏性の高い企業は、潜在的なデータ侵害を軽減し、PCI 検証のために時間とコストのかかる従来のアプローチを回避できます。

企業が成長するにつれて、中核となるビジネスロジックとプロセスも進化するため、準拠要件も進化します。たとえば、オンラインビジネスでは、実店舗の開設、新しい市場への参入、カスタマーサポートセンターの立ち上げなどを決定する場合があります。決済カードデータに関する新しい事柄がある場合は、選択した PCI 検証方法に影響を与えるかどうかを事前に確認し、必要に応じて PCI 準拠を再検証することをお勧めします。

PCI 準拠の複雑な世界に関する詳細については、PCI Security Standards Council のウェブサイト をご覧ください。このガイドと他のいくつかの PCI に関するドキュメントを読むだけであれば、これらから始めることをお勧めします。

組織の PCI 準拠状態の維持をサポートする Stripe の機能

PCI レベル 1 のサービスプロバイダーである Stripe は、独立した PCI 認定審査機関によって、すべての PCI DSS 要件について毎年認定を受けています。つまり、すべての Stripe プロダクトはデフォルトでセキュリティー保護されているため、Stripe を利用することでビジネスの準拠要件が軽減されます。

導入タイプに関係なく、Stripe はすべてのユーザーに対して PCI の推進者として機能し、いくつかの異なる方法でサポートを提供します。

中小企業向けのサポート

Stripe は、CheckoutElementsモバイル SDKTerminal SDK などのより安全な導入方法を活用する一部のユーザー向けに、事前入力済みの SAQ やガイド付きフローなど、準拠のためのカスタマイズされたジャーニーを提供することで、小規模ユーザーの PCI に関する負担を大幅に軽減します。

カスタマイズされたダッシュボード体験

Stripe は、利用を開始したお客様の取引履歴を分析し、カスタマイズされたダッシュボード体験を通じて準拠に関する負担を軽減する方法についてアドバイスします。

ビジネスの成長に合わせたサポート

年間取引量が増えると、1 年以内に PCI レベルが変わることがあります。Stripe は、PCI の更新日が近づいたタイミングで新しい要件を通知することで、こうした移行をサポートします。

複数のサービスプロバイダー

ビジネスで複数の業者を使用している場合、PCI 準拠プロセスが複雑になる可能性があります。Stripe は、プロバイダーからの AOC の提出をサポートすることで、スムーズに準拠できるようにします。

MOTO (通信販売 / 電話販売) 決済のサポート

Stripe は、MOTO を利用した決済に対応するビジネス向けに、外部サービスとの連携を通じて、電話での安全なカード情報の収集を可能にしています。これらのサービスは、タッチトーンによるカード番号の入力や音声認識といった技術を活用し、カード情報の収集を自動化することで、人が手動で情報を入力する必要をなくします。こうした方法を採用することで、カード情報に「人が直接関与する」場面がなくなり、PCI 準拠にかかる負担を大幅に軽減できます。MOTO 決済を利用する場合、SAQ においては、以下の 3 つの分類が考えられます

  • SAQ-A:外部の PCI 準拠ソリューションを使用して電話でカード情報を収集し、データを直接 Stripe に送信するユースケースです。このケースでは、通話中にユーザーがカード情報へアクセスできないようにする必要があり、また、社内環境でカード情報を保存・処理・送信しないことが求められます。
  • SAQ C-VT:ユーザーが MOTO 決済を通じてカード情報を受け取り、それを Stripe のダッシュボードに直接入力するケースです。この場合、手動での入力は限られた状況下でのみ使用されるべきで、繰り返し行う用途には適さず、カード情報を電子的に保存することも許可されていません。
  • SAQ-D:ユーザーが顧客からカード情報を受け取り、それを社内環境で電子的に保管しているケースです。

PCI 準拠や MOTO の導入に関して具体的な指針が必要な場合は、PCI 認定審査機関 (QSA) への相談をお勧めします。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。