ホーム » ビジネスブログ » Zen Cart(オンラインショップ構築) »

Zen Cartハイエンド版:Zen Cart 1.5から準拠している「PA-DSS」とは

2013年7月 9日

Zen Cartハイエンド版:Zen Cart 1.5から準拠している「PA-DSS」とは

投稿者 竹村

Zen Cart 1.5.0 の What'sNew(最新情報) には、「変更-12 - PA-DSS(決済アプリケーションのセキュリティ基準)に準拠する」という項目があります。

  • 管理者パスワードは90日で無効
  • 管理者パスワードは文字と数字の組み合わせが必須
  • 過去 3回分のパスワードと同じ値は使えない
  • パスワードは 7文字以上必須 (以前は 5文字以上必須だった)

など、パスワードの取り扱いについてはだいぶ厳格な制約が追加されました。

管理画面ログイン画像

また、決済モジュールにおいて外部のオンライン決済システムと連携する際に SSLが必須化 されていたり、管理画面内の SSL通信から非SSL通信への遷移は再度パスワード認証が必要 になっていたり、機能面でもさまざまなかたちでセキュリティが強化されています。

その他、 管理画面から設定変更を行った場合に管理者にメールが飛ぶ とか、管理画面へのログインに数回失敗すると管理者にメールが飛び、かつ 6回ログインに失敗すると30分間ログインがロックされる ので連続した不正アクセスを軽減できる、といった改良があります。

さて、この「PA-DSS」とは何でしょうか?

PA-DSSとは何か(関連規格PCI-DSSとPTSについても)

PA-DSSとは、2006年に American Express、Discover、JCB、MasterCard、Visa の 5社が設立した独立機関「PCI SSC (Security Standards Council)」による情報セキュリティに関する規格のようです。

この規格は、3種類の基準から成り立ちます。


名称概要対象
PCI DSSすべての基準の元になるものクレジットカード情報を扱う事業者
PA-DSS 決済アプリケーションにおける基準カード情報を保存・処理・送信する
アプリケーション
PTSPIN(暗証番号)入力端末に対する
セキュリティ基準
PIN端末

PCI-DSS (Payment Card Industry Data Security Standard)については今回の焦点ではないので、下記のリンクだけ紹介し、端折ります。

Zen Cartとその周辺技術において、PCI DSSの基準が必要なのはオンライン決済サービス提供業者ですね。代表的な決済業者である ルミーズ さんのウェブサイトでは、「ルミーズ決済サービスは『PCI DSS V2.0』に完全準拠しています」と謳っています。

一方、PA-DSSが必要なのは決済アプリケーションなので、つまりZen Cartは該当します。そういうわけで、1.5.0 ではこの基準に準拠すべく、さまざまな改良を行ったようです。

なお、PA-DSSの要件の詳細は、下記のサイトの「PADSSの遵守要件」を参考にされるとよいかと思います。

「準拠した」というが、証拠は?

Zen CartがPA-DSSに準拠したことについて、下記の PCI SSC の認定サイトから「Zen Ventures, LLC」で検索してみると、PA-DSS v1.2.1 で監査に合格していると確認できます。

PCI SSC の認定サイト

※ただし、認定されたのは素の(カスタマイズを施していない)Zen Cartであり、モジュールによるカスタマイズなどを行なってしまうと対象にはならないようです。
しかし、ベースとなるシステムが規格に通っているのは重要なことで、カスタマイズの際にもPA-DSSの要件に合うよう考慮する必要があると思います。

投稿者 竹村 : 2013年7月 9日 10:27

カテゴリー: Zen Cart(オンラインショップ構築)

タグ: オンラインショップ , ECサイト , PA-DSS , PCI DSS , Zen Cart


Movable Type用高機能メールフォーム生成プラグイン A-Formの詳細へ
Movable Type用会員限定サイトプラグイン A-Memberの詳細へ
Movable Type用予約サイト構築プラグイン A-Reserveの詳細へ
ARK-Web×CSR(企業の社会的責任)

アークウェブの本

Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用

Zen Cartによるオンラインショップ構築・運用テクニック―オープンソース徹底活用

内容充実のZen Cart公式本(v1.3対応)がついに発表です。アークウェブのスタッフをはじめZen-Cart.JPの中心メンバーが共著で執筆しました。続きを読む

Movable Type プロフェッショナル・スタイル

Movable Type プロフェッショナル・スタイル

ビジネスサイト構築におけるCMSとしてのMTの活用方法について、豪華執筆陣による実践的MT本です。八木が共著で執筆しました。続きを読む

Web屋の本

Web屋の本

Web 2.0時代の企業サイトの構築・運用などの戦略を考える「Web屋の本」 (技術評論社)を、中野・安藤が執筆しました。続きを読む

新着はてブ

Loading

アーカイブ

応援しています

  • キッズ・セーバー
  • ソロモン・リリーフ ─ソロモン諸島を応援する有志による、震災復興支援プロジェクト─

    (終了しました)

RSS配信

 

サービスおよびソリューション一覧


最新情報・投稿をチェック


このページのトップに戻る

Photo by A is for Angie

Powered by Movable Type Pro 6.3.8