サインイン 

PCI 準拠ガイド

PCI データセキュリティ基準 (PCI DSS) は、データセキュリティに対する最低基準を定めるものです。ここでは、PCI 準拠を維持するための手順や、Stripe のサポートについてご案内します。

Payments
Payments

成長中のスタートアップからグローバル企業まで、あらゆるビジネスに対応できる決済ソリューションを利用して、オンライン決済、対面支払いなど、世界中のあらゆる場所で決済を受け付けます。

もっと知る 
  1. はじめに
  2. 組織の PCI 準拠の達成と維持をサポートする Stripe の機能
  3. PCI DSS 準拠の詳細なガイド
    1. 1. 自社の PCI レベルを把握する
    2. 2. 導入タイプとドキュメント要件を把握する
    3. 3. 評価を完了し、SAQ ドキュメントを提出する
    4. 4. 監視と保守
  4. 組織の PCI 準拠状態の維持をサポートする Stripe の機能
    1. 中小企業向けのサポート
    2. カスタマイズされたダッシュボード体験
    3. ビジネスの成長に合わせたサポート
    4. 複数のサービスプロバイダー
  5. Stripe についてもっと知る 

2005 年以降、アメリカでは 9,000 件以上のデータ侵害により、100 億件以上の消費者記録が侵害されています。これらは、2005 年にさかのぼって消費者に影響を与えたデータ侵害とセキュリティー侵害について報告している Privacy Rights Clearinghouse からの最新の数値です。消費者データの安全性と、決済エコシステムへの信頼を向上させるため、データセキュリティーに対する最低基準が設けられました。Visa、MasterCard、アメリカン・エキスプレス、ディスカバー、および JCB は、2006 年、 PCI セキュリティー基準審議会 (PCI SSC) を設立しました。この審議会ではクレジットカードのデータを扱う企業に対するセキュリティー基準が運用、管理されます。

PCI DSS (Payment Card Industry Data Security Standard) は、カード保有者のデータや機密認証データを保存、処理、または転送するあらゆる組織に対するグローバル規模のセキュリティー基準です。消費者保護のベースラインレベルを規定し、決済エコシステム全体における不正利用やデータ侵害の削減に寄与しています。これは、決済カードを受け付けまたは処理するすべての組織に適用され、これらの基準を満たさない組織は多額の違約金、罰金、および費用を支払うことになります。

PCI DSS 準拠には、主に次の 3 つの要素が含まれます。

  1. 顧客からのクレジットカード情報の入力処理。具体的には、機密情報であるカード詳細の収集と安全な転送です。
  2. データの安全な保存。PCI 基準の 12 のセキュリティー領域に属する、暗号化、継続的な監視、カードデータへのアクセスに関するセキュリティーテストなどが含まれます。
  3. 必要なセキュリティ管理の実施の有無を毎年検証すること。これには、フォーム、アンケート、外部の脆弱性スキャンサービス、第三者による監査などが含まれます (4 つのレベルの要件をまとめた表については、以下の詳細なガイドをご覧ください)。

クレジットカード決済を受け付けるすべてのビジネスは、取引量、地域、導入方法に関係なく、PCI DSS に準拠する必要があります。このフレームワークに準拠することで、ビジネスは次のことが可能になります。

  • カードデータの安全性を確保することで顧客の信頼を構築
  • 不正利用やデータ侵害から身を守る
  • PCI 準拠の違反による罰金を回避

免責事項: この記事はガイダンス目的でのみ使用し、正式な助言として解釈しないでください。詳細については、Payment Card Industry Data Security Standard (PCI DSS) の認定審査機関 (QSA) に相談することをお勧めします。

組織の PCI 準拠の達成と維持をサポートする Stripe の機能

ビジネスモデルがカードデータの処理を伴う場合は、PCI DSS が定める 300 以上のセキュリティ管理の各要素を満たす必要があります。PCI DSS については、PCI Security Standards Council によって発行されている 1,800 ページを超える公式ドキュメントがあり、規制への準拠を検証する際に使用するフォームについての説明だけで 300 ページ以上が費やされています。

Stripe は、さまざまなトークン化された導入方法 (CheckoutElementsモバイル SDKTerminal SDK など) を提供することで、企業の PCI の負担を大幅に軽減し、機密性の高いクレジットカードデータを直接処理しなくても済むよう支援します。

  • Stripe Checkout と Stripe Elements では、すべての決済カードデータの処理にオンライン決済フィールドを使用するため、カード保有者は、Stripe の PCI DSS 認証サーバーから直接提供される決済フィールドに、支払いに関する機密情報をすべて入力します。
  • Stripe のモバイル SDK と Terminal SDK でも、カード保有者は支払いに関する機密情報を PCI DSS 認証サーバーに直接送信できます。

導入タイプに関係なく、Stripe はすべてのユーザーに対して PCI の推進者として機能し、いくつかの異なる方法でサポートを提供します。

  • Stripe PCI ウィザードが導入方法を分析し、準拠の負担を軽減する方法をアドバイスします。
  • 取引量の増加に伴い、準拠の検証方法に変更が必要になった場合は、事前にお知らせします。
  • クレジットカードデータを保存したり、決済フローが複雑であったりするために PCI QSA を使用する必要のある大企業やエンタープライズ企業は、世界中に 400 社以上存在する QSA 企業を利用できます。また、Stripe の各種導入方法を深く理解している複数の監査人をご紹介できます。

PCI DSS 準拠の詳細なガイド

1. 自社の PCI レベルを把握する

PCI 準拠を達成するための最初のステップは、組織に適用される要件を知ることです。PCI 準拠には 4 つのレベルがあり、通常は 12 カ月間にビジネスが処理するクレジットカード取引の量に基づきます。

レベルに応じて、認定スキャンベンダー (ASV) による定期的な脆弱性スキャンなどのさまざまな要件があります。また、別の事業体 (ペイメントゲートウェイ、決済サービスプロバイダー、独立した販売組織など) に代わって、カード保有者データ (CHD) や機密認証データ (SAD) の処理、保存、または転送に直接関与する事業体であるサービスプロバイダーには、追加の要件もあります。

規制遵守レベル
対象
要件
レベル 1
  • 年間の取引件数が Visa または MasterCard で 600 万件以上、またはアメリカン・エキスプレスで 250 万件以上の組織、または
  • 過去にデータ漏洩を経験した組織、または
  • カードブランド (Visa、MasterCard など) が「レベル 1」と判定した組織
  • 認定審査機関 (QSA) による準拠証明書 (AOC) または年次コンプライアンスレポート (ROC)
  • 認定スキャンベンダー (ASV) による四半期ごとのネットワークのスキャン
レベル 2
  • 年間取引件数が 100 ~ 600 万件の組織
  • 自己問診票 (SAQ)、または準拠証明書 (AOC)、またはコンプライアンスレポート (ROC)
  • SAQ A、SAQ A-EP、SAQ D の文書について、PCI 認定審査機関 (QSA) または PCI から認定を受けた社内の認定担当者 (ISA) の署名が必要です。1
  • 認定スキャンベンダー (ASV) による四半期ごとのネットワークのスキャン
レベル 3
  • 年間オンライン取引件数が 2 万 ~ 100 万件の組織
  • 年間総取引件数が 100 万件より少ない組織
  • レベル 3 とレベル 4 のユーザーは、自動的に弊社のリスク管理プログラムに登録されます。このプログラムは、導入方法など複数の要因に基づき、カスタマイズされたシンプルなプロセスを提供します。1 件以上の PCI DSS 自己問診票 (SAQ) の完了を求められる場合があります。
  • レベル 3 のユーザーは、認定スキャンベンダー (ASV) によるネットワークのスキャンを四半期ごとに受ける必要もあります。
レベル 4
  • 年間オンライン取引件数が 2 万件未満の組織、または
  • 年間総取引件数が 100 万件までの組織
  • レベル 4 のユーザーは、認定スキャンベンダー (ASV) によるネットワークのスキャンを四半期ごとに受ける必要もあります。
1 SAQ A、SAQ A-EP または SAQ D を実施するレベル 2 の加盟店は、法令遵守の検証に QSA を利用する必要があります

2. 導入タイプとドキュメント要件を把握する

PCI レベルがわかったら、次のステップは、Stripe で使用している導入のタイプや、貴社がサービスプロバイダーかどうかなどに基づいて、準拠状態を検証するために完了する必要のある PCI ドキュメントを判別することです。

レベル 1 ユーザー

レベル 1 のビジネスは、PCI 準拠の証明に SAQ を使用する資格がありません。QSA が署名した ROC を毎年完了して PCI 準拠を検証する必要があります。

レベル 2 ~ 4 のユーザー

レベル 2 ~ 4 のユーザーの場合、決済の導入方法に応じて SAQ タイプが異なります。どの SAQ タイプが適切かわからない場合は、Stripe PCI ウィザードがお客様のビジネスに適したドキュメントのタイプを自動的に判別します。

導入方法
要件
推奨事項
Checkout または Elements
SAQ A
CheckoutStripe.js and Elements は、すべてのカードデータ収集入力を (お客様のドメインではなく) Stripe のドメインが提供する iframe 内でホストします。このため、顧客のカード情報がお客様のサーバーに接触することはありません。
Connect
SAQ A Connect プラットフォーム (Squarespace など) 経由でのみカードデータを収集する場合、そのプラットフォームが必要な PCI 文書を提供しているかどうかを弊社で確認できます。
モバイル SDK
SAQ A

Stripe のモバイル SDK の開発および変更管理は、PCI DSS (要求事項 6.3 から 6.5) に準拠しており、弊社の PCI 検証済みのシステム経由でデプロイされます。iOS または Android 向けの Stripe 公式 SDK の UI コンポーネントのみを使用するか、WebView で Elements を使用して決済フォームを作成する場合は、カード番号が顧客から Stripe に直接渡されるため、PCI 準拠の負担が最も軽くなります。

カード情報を処理するためのコードを社内で作成するなど、他の方法を採用する場合は、追加の PCI DSS 要求事項 (6.3 〜 6.5) に対する責任を負う可能性があり、SAQ A の適格対象になりません。この場合は、PCI QSA に連絡して、PCI Security Standards Council の現在のガイダンスに従って法令に遵守していることを検証するための最良の方法を決定してください。

お客様のアプリケーションで顧客が自身のデバイスから情報を入力する必要がある場合、SAQ A の対象となります。アプリケーションがデバイス上 (POS アプリなど) で複数の顧客のカード情報を受け付ける場合、PCI 準拠を検証する最適な方法について PCI QSA にご相談ください。

Stripe.js v2
SAQ A-EP

自社サイトでホストされているフォームに入力されたカードデータを Stripe.js v2 で送信する場合、毎年 SAQ A-EP を完了させ、ビジネスが PCI に準拠していることを証明する必要があります。

別の方法として、CheckoutElements はどちらもセルフホスト型のフォームの柔軟性とカスタマイズ可能性を維持しつつ、SAQ A に対する PCI 適格性を満たしています。

Terminal
SAQ C

Stripe Terminal を使用してカードデータのみを収集する場合、SAQ C を使用して検証できます。

Stripe を導入する際に、この表に記載されている追加の方法を使用する場合、別途記載されている通り、法令に遵守していることを説明する必要があります。
ダッシュボード
SAQ C-VT

ダッシュボードから手動でカード支払いを作成する方法は、例外的な状況においてのみ使用が可能であり、通常の決済処理では使用できません。顧客がカード情報を入力できる適切な支払いフォームまたはモバイルアプリケーションを用意してください。

手動で入力されたカード情報が Stripe の外部で安全であることを確認できません。このため、PCI 準拠要件に従ってカードデータを保護し、毎年 SAQ C-VT を完了させ、ビジネスが PCI に準拠していることを証明していただく必要があります。

Direct API
SAQ D

Stripe の API にカード情報を渡すと、お客様の実装システムがそのデータを直接処理します。お客様は、SAQ の中で最も要件が厳しい SAQ D を使用して、毎年 PCI 準拠を証明する必要があります。この負担を軽減するには、次のようにします。

また、Stripe の不正防止ツールである Radar には、リスク評価ルールなどが含まれ、クライアント側でのトークン化メソッドを使用している場合のみ利用可能です。

サービスプロバイダー

貴社が別の事業体 (ペイメントゲートウェイ、決済サービスプロバイダー、独立した販売組織など) に代わって、カード保有者データ (CHD) や機密認証データ (SAD) の処理、保存、または転送に直接関与している場合は、サービスプロバイダーとして分類される可能性があります。つまり、検証が必要な追加要件があるということです。

3. 評価を完了し、SAQ ドキュメントを提出する

完了する必要がある評価を特定したら、次のステップは評価を実行し、関連する SAQ または ROC ドキュメントに記入し、レビューのために Stripe に送信することです。

取引量の多いユーザーは、自社が営業している地域で事業登録している QSA のサービスを利用する必要があります。QSA は、PCI 要件に照らしてシステムを確認し、不備の修正についてのアドバイスを提供します。また、適切なドキュメントを作成して署名し、Stripe と毎年共有します。

レベル 3 および 4 のユーザーは、自分の事業分野に適した PCI DSS 自己問診票に回答する必要があります。その他の加盟店向けリソースは、PCI Security Standards Council を通じて入手できます。Stripe はこの点についてもサポートを提供しています。PCI ダッシュボードのカスタマイズされたウィザードで一連の質問に回答すると、必要なドキュメントが生成されます。また、Stripe PCI ダッシュボードを使用して、自社で記入済みの SAQ または ROC ドキュメントをアップロードできます。

4. 監視と保守

PCI 準拠は 1 回限りのイベントではないことに注意することが重要です。これは、データフローや顧客とのタッチポイントが進化しても、ビジネスの準拠状態を維持するための年次プロセスです。

PCI DSS は、カード保有者のデータの処理と保存に関する重要な基準を定めていますが、それだけではすべての決済環境を十分に保護できるわけではありません。代わりに、トークン化されたデータ (Stripe Checkout、Elements、モバイル SDK など) を使用する、より安全なカード承認方法に移行する方が、はるかに効果的に組織を保護できます。このアプローチを採用すると、俊敏性の高い企業は、潜在的なデータ侵害を軽減し、PCI を検証するために時間とコストのかかる従来のアプローチを使用する必要がなくなります。

企業が成長するにつれて、中核となるビジネスロジックとプロセスも進化するため、準拠要件も進化します。たとえば、オンラインビジネスでは、実店舗の開設、新しい市場への参入、カスタマーサポートセンターの立ち上げなどを決定する場合があります。決済カードデータに関する新しい決定がある場合は、選択した PCI 検証方法に影響を与えるかどうかを事前に確認し、必要に応じて PCI 準拠を再検証することをお勧めします。

複雑な PCI 準拠の詳細については、PCI Security Standards Council のウェブサイトを参照してください。このガイドと他のいくつかの PCI ドキュメントのみをご覧になっている場合は、以下にご紹介するドキュメントから始めることをお勧めします。

組織の PCI 準拠状態の維持をサポートする Stripe の機能

PCI レベル 1 のサービスプロバイダーである Stripe は、独立した PCI 認定審査機関によって、すべての PCI DSS 要件について毎年認定を受けています。つまり、すべての Stripe プロダクトはデフォルトでセキュリティー保護されているため、Stripe を利用することでビジネスの準拠要件が軽減されます。

導入タイプに関係なく、Stripe はすべてのユーザーに対して PCI の推進者として機能し、いくつかの異なる方法でサポートを提供します。

中小企業向けのサポート

Stripe は、CheckoutElementsモバイル SDKTerminal SDK などのより安全な導入方法を活用する一部のユーザー向けに、事前入力済みの SAQ やガイド付きフローなど、準拠のためのカスタマイズされたジャーニーを提供することで、小規模ユーザーの PCI に関する負担を大幅に軽減します。

カスタマイズされたダッシュボード体験

Stripe は、利用を開始したお客様の取引履歴を分析し、カスタマイズされたダッシュボード体験を通じて準拠に関する負担を軽減する方法についてアドバイスします。

ビジネスの成長に合わせたサポート

年間取引量が増えると、1 年以内に PCI レベルが変わることがあります。Stripe は、PCI の更新日が近づいたタイミングで新しい要件を通知することで、こうした移行をサポートします。

複数のサービスプロバイダー

ビジネスで複数の業者を使用している場合、PCI 準拠プロセスが複雑になる可能性があります。Stripe は、プロバイダーからの AOC の提出をサポートすることで、スムーズに準拠できるようにします。

今すぐ始めましょう

アカウントを作成し、支払いの受け付けを開始しましょう。契約や、銀行情報の提出などの手続きは不要です。貴社ビジネスに合わせたカスタムパッケージのご提案については、営業担当にお問い合わせください。
Payments

Payments

あらゆるビジネスに対応できる決済ソリューションを利用して、世界中のあらゆる場所でオンライン決済と対面決済を受け付けましょう。

Payments のドキュメント

Stripe の支払い API の導入方法について、ガイドをご覧ください。