2013年7月 9日
Zen Cartハイエンド版:Zen Cart 1.5から準拠している「PA-DSS」とは
Zen Cart 1.5.0 の What'sNew(最新情報) には、「変更-12 - PA-DSS(決済アプリケーションのセキュリティ基準)に準拠する」という項目があります。
- zencart-1.5 / docs / whatsnew_1.5.0.html
https://github.com/zencart-ja/zencart-1.5/blob/dev/docs/whatsnew_1.5.0.html
- 管理者パスワードは90日で無効
- 管理者パスワードは文字と数字の組み合わせが必須
- 過去 3回分のパスワードと同じ値は使えない
- パスワードは 7文字以上必須 (以前は 5文字以上必須だった)
など、パスワードの取り扱いについてはだいぶ厳格な制約が追加されました。
また、決済モジュールにおいて外部のオンライン決済システムと連携する際に SSLが必須化 されていたり、管理画面内の SSL通信から非SSL通信への遷移は再度パスワード認証が必要 になっていたり、機能面でもさまざまなかたちでセキュリティが強化されています。
その他、 管理画面から設定変更を行った場合に管理者にメールが飛ぶ とか、管理画面へのログインに数回失敗すると管理者にメールが飛び、かつ 6回ログインに失敗すると30分間ログインがロックされる ので連続した不正アクセスを軽減できる、といった改良があります。
さて、この「PA-DSS」とは何でしょうか?
PA-DSSとは何か(関連規格PCI-DSSとPTSについても)
PA-DSSとは、2006年に American Express、Discover、JCB、MasterCard、Visa の 5社が設立した独立機関「PCI SSC (Security Standards Council)」による情報セキュリティに関する規格のようです。
この規格は、3種類の基準から成り立ちます。
名称 | 概要 | 対象 |
---|---|---|
PCI DSS | すべての基準の元になるもの | クレジットカード情報を扱う事業者 |
PA-DSS | 決済アプリケーションにおける基準 | カード情報を保存・処理・送信する アプリケーション |
PTS | PIN(暗証番号)入力端末に対する セキュリティ基準 | PIN端末 |
PCI-DSS (Payment Card Industry Data Security Standard)については今回の焦点ではないので、下記のリンクだけ紹介し、端折ります。
- 5分で絶対に分かるPCI DSS ? @IT
http://www.atmarkit.co.jp/fsecurity/special/126pcidss/pcidss00.html
Zen Cartとその周辺技術において、PCI DSSの基準が必要なのはオンライン決済サービス提供業者ですね。代表的な決済業者である ルミーズ さんのウェブサイトでは、「ルミーズ決済サービスは『PCI DSS V2.0』に完全準拠しています」と謳っています。
一方、PA-DSSが必要なのは決済アプリケーションなので、つまりZen Cartは該当します。そういうわけで、1.5.0 ではこの基準に準拠すべく、さまざまな改良を行ったようです。
なお、PA-DSSの要件の詳細は、下記のサイトの「PADSSの遵守要件」を参考にされるとよいかと思います。
- 「PADSS」の概要と重要性 (記事中盤のPADSSの遵守要件参照)
http://www.nos.co.jp/solution/eas/pcidss3_1.html
「準拠した」というが、証拠は?
Zen CartがPA-DSSに準拠したことについて、下記の PCI SSC の認定サイトから「Zen Ventures, LLC」で検索してみると、PA-DSS v1.2.1 で監査に合格していると確認できます。
- Validated Payment Applications
https://www.pcisecuritystandards.org/approved_companies_providers/validated_payment_applications.php
※ただし、認定されたのは素の(カスタマイズを施していない)Zen Cartであり、モジュールによるカスタマイズなどを行なってしまうと対象にはならないようです。
しかし、ベースとなるシステムが規格に通っているのは重要なことで、カスタマイズの際にもPA-DSSの要件に合うよう考慮する必要があると思います。
カテゴリー: Zen Cart(オンラインショップ構築)
タグ: オンラインショップ , ECサイト , PA-DSS , PCI DSS , Zen Cart
« 前の記事:Movable Type用プラグインA-Form、A-Member、A-Reserveのよくある質問と答えをまとめたサイトを開設しました
» 次の記事:Zen Cartハイエンド版の活用事例:商品納入業者が管理画面にログインできるようにする
アークウェブの本
Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用
内容充実のZen Cart公式本(v1.3対応)がついに発表です。アークウェブのスタッフをはじめZen-Cart.JPの中心メンバーが共著で執筆しました。続きを読む
新着はてブ
カテゴリー
- Shopify(ショピファイ)オンラインショップ構築
- NGO・NPO向け情報
- スマートフォン
- だれもが使えるウェブコンクール
- mixiアプリ
- OpenSocial (システム開発)
- アークウェブのCSR
- A-Form, A-Member, A-Reserve(MTプラグイン)
- Ruby on Rails(システム開発)
- necoったー
- Miqqle
- WebSig24/7
- ecoったー
- ビッグイシュー(The Big Issue)
- CSR(企業の社会的責任)
- マッシュアップ
- RIA (システム開発)
- セキュリティ(システム開発)
- 唐松(アクセス解析)
- Ajax (システム開発)
- テスト(システム開発)
- データベース
- PukiWiki
- Web 2.0
- SEO・サーチエンジン最適化
- XP・アジャイル(システム開発)
- Web・ITニュースクリップ
- Webアクセシビリティ
- Webデザイン
- SEM・サーチエンジン広告
- Webユーザビリティ
- CMS・MovableType
- Zen Cart(オンラインショップ構築)
- Snippy(SNS・ソーシャルブックマーク)
- アークウェブ
- オープンソース
- CMS(コンテンツマネジメント・システム)
- Webマーケティング
- AMP
- SNS