PCI DSSへの準拠に関して質問を受けることが多いため、この記事ではKinstaのPCI DSS準拠に関してご紹介します。

クレジットカード情報を処理、保存、または送信するECサイトは、年間売上高に関係なくPCI DSSに準拠しなければなりません。ECサイトを運営している場合は、十分に時間を取り、PCI DSSのコンプライアンスおよびビジネスに与える影響について理解することが重要です。

PCI DSSとは

PCI DSSとは、Payment Card Industry Data Security Standard(日本語では「ペイメントカード業界データセキュリティ基準」とも)の略であり、クレジットカード情報の受け取り、保存、送信を行うすべての企業が準拠すべき一連のセキュリティ基準です。消費者のデータを保護し、クレジットカード情報が安全な環境で処理されることを保証するために設計されました。

アメリカン・エクスプレス、Discover、JCB、MasterCard、Visaなどの企業は、独自のコンプライアンスプログラムを所持していますが、PCI SSC(PCI Security Standards Council)によって制定されたセキュリティ基準によって管理されています。

KinstaのPCI DSS準拠に関して

ECサイトに利用しているサーバーがPCI DSSに準拠しているからといって、サイトが自動的にコンプライアンスを満たせるわけではありません。セキュリティを確保する責任の大部分は、サイト所有者に帰属します。例えば、WooCommerceストアを運営している場合、顧客情報の取り扱い、クレジットカードの処理、ログイン情報の保存と認証、サイトのコードの保守管理の責任は、自社に委ねられます。

KinstaではPCI DSSへの準拠、およびお客様のサイトを監査して、コンプライアンスを遵守しているかどうかを評価することはできません。しかし、Kinstaでサイトをホスティングしながら、PCI DSSに準拠することは可能です。第三者監査機関と協力してPCI DSSへの準拠に成功しているお客様は多数いらっしゃいます。要件に応じていくつかの微調整を行う必要はありますが、その程度はわずかであり、問題が生じたことはありません。

監査はサイト所有者の責任であるため、Kinstaが直接関与することはありませんが、ご要望に応じて調整を行うことは可能です。

コンプライアンスを遵守する方法

Kinstaを利用しながら、PCI DSSのコンプライアンスに遵守するためのベストプラクティスをご紹介します。

1. PCI DSS準拠の自己問診

支払い処理の設定がPCI DSSに準拠しているかどうかを判断するため、毎年自己問診(Self-Assessment Questionnaire)に記入してください。

2. TLSとHTTPS

最新のバージョンのTLS(1.2以上)を使用し、サイトにHTTPSを使用して、決済ページを安全に配信します。Kinstaでは、常に最新バージョンのTLSを使用しており、CloudflareのSSL証明書もサイトに自動インストールされます。

WooCommerceストアにSSL証明書をインストールする方法はこちらをご覧ください。

注)PCI DSSの標準では、ドメイン認証(DV)証明書を認めているため、Let’s Encryptに無料のSSL証明書を使用することができます。今後このルールは変更される可能性がありますが、DV証明書を使用することに抵抗がある場合、または監査機関がDV証明書の使用を推奨している場合は、独自SSL証明書をインストールすることも可能です。独自SSL証明書を使用することで、データ漏洩時の保証のようなさらなる保護も確保できます。

TLSとSSLの違いはこちらでご紹介しています。

3. サードパーティサービス経由の支払い処理

PCI DSSへの準拠を簡素化する簡単な方法として、サードパーティサービス経由でクレジットカード取引を処理することができます。WooCommerceストア、またはEasy Digital Downloadsストアであれば、StripeやPayPalなどの決済サービスを簡単に接続できます。ただし、単にクレジットカードを外部で処理するだけでは、コンプライアントが保証されるとは限らないため、PCI DSSのガイドラインを確認しましょう。追加のステップが必要になるかもしれません。

4. ファイアウォールの導入

また、不正なトラフィックをフィルタリングするためのファイアウォールも実装しましょう。Kinstaでは、Google Cloud PlatformとCloudflareのエンタープライズレベルのファイアウォール、能動的かつ受動的なセキュリティ対策、その他の高度な機能を採用し、お客様のデータ保護を強化しています。

Kinstaをご利用でなければ、SucuriやCloudflareのウェブアプリケーションファイアウォール(WAF)を導入して、セキュリティを強化することができます。

5. 二要素認証

二要素認証は、一般的なパスワードに加えて、もう1つ要素を設定して2段階で認証を行う方法です。これにより、コントロールパネルとサイトの両方への不正アクセスを防ぐことができます。

MyKinstaで二要素認証を有効化
MyKinstaで二要素認証を有効化

二要素認証の設定方法は、以下のリソースをご連絡ださい。

6. データセンターのセキュリティ

Kinstaでは、Google Cloud Platformを採用し、データセンター全体で最先端のセキュリティを利用しています。カスタム設計された電子アクセスカード、警報、車両セキュリティ ゲート、外周フェンス、金属探知機、生体認証、レーザービーム侵入検知などの安全対策が施されています。

データセンターは24時間365日稼働する高解像度の監視カメラが設置されており、侵入者の検知と追跡に対応します。特定の役割を持つ承認された社員しか立ち入りは許可されていません。万が一の事態に備えて、すべての行動とアクティビティが記録されています。

Google、顧客、データセンター間の転送中および保存データ、そしてクラウドプラットフォーム内のデータはすべて暗号化されます。さらに、永続ディスクに保存されるデータは256ビットAESで暗号化され、各暗号鍵も定期的に変更されるマスターキーで暗号化されています。

GCPのCompute Engineサービスは、独立したQualified Security Assessor(QSA)によって監査され、PCI DSS 3.2への準拠が認められています。しかし、だからといって自動的にPCI DSSに準拠できるわけではありません。先に触れた通り、PCI DSS準拠の最終的な責任はお客様に帰属されます。

GCPのPCI DSS準拠証明書とSOC 2報告書は一般には公開されていません。各文書は、秘密保持契約(NDA)締結後にGCPから直接入手することができます。これら文書の取得が必要な場合は、まずGCPと契約を締結する必要があります。

Google Cloud Platformのセキュリティの詳細はこちらをご覧ください。

KinstaはSOC 2報告書を受領しています。詳細はSOC 2報告書に関するドキュメント、およびセキュリティと信頼性ページをご覧ください。

注)本記事の情報は、PCI DSSコンプライアンスに関連するよくある質問にお答えしていますが、お客様のコンプライアンスを評価する責任は負いません。第三者監査機関への依頼を行なってください。