戻る
2024年4月1日以降にStripeの決済システムを有効にするには「セキュリティ・チェックリストに基づく対策処置状況申告書」の提出が必須となりました。LCK cloudの会員制サイト作成システムにStripeを組み込むには次のガイドのように回答してください。
提出場所
Stripe管理画面へログイン後、①歯車から②設定をクリックしてください。
画像No.1387
「ビジネス」をクリックしてください。
画像No.1388
①「アカウントのステータス」をクリックし、「セキュリティ・チェックリスト」の枠の②「情報を入力する」から提出ができます。
画像No.1389
提出フォームの記入して回答を送信する
「セキュリティ・チェックリストに基づく対策措置状況申告書」のフォーム画面が表示されましたら、上から順に次のように回答してください。
顧客はどのように決済を行いますか?
→「その他 (例えば、Stripe Checkout や Payment Element)」と回答してください。(Checkoutを使用しています。)
オンラインサイト上に商品・サービスを掲載してますか?
→「はい」とお答えください。(会員制サイト上に商品・サービスのコンテンツを掲載済みであるかどうかです。)
→「その他 (例えば、Stripe Checkout や Payment Element)」と回答してください。(Checkoutを使用しています。)
オンラインサイト上に商品・サービスを掲載してますか?
→「はい」とお答えください。(会員制サイト上に商品・サービスのコンテンツを掲載済みであるかどうかです。)
画像No.1391
『1. 管理者画面のアクセス制限と管理者の ID / PW 管理』
管理者のアクセス可能な IP アドレスを制限する。IP アドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。
→「はい」と回答します。(BASIC認証機能が実装されています。)
取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
→「はい」と回答します。(二段階認証機能が実装されています。)
管理者画面のログインフォームでは、アカウントロック機能を有効にし、10 回以下のログイン失敗でアカウントをロックする。
→「代替策: CAPTCHA 等の総当たり攻撃対策の実施」と回答します。(CAPTCHAによる画像認証が実装されています。)
管理者のアクセス可能な IP アドレスを制限する。IP アドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。
→「はい」と回答します。(BASIC認証機能が実装されています。)
取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。
→「はい」と回答します。(二段階認証機能が実装されています。)
管理者画面のログインフォームでは、アカウントロック機能を有効にし、10 回以下のログイン失敗でアカウントをロックする。
→「代替策: CAPTCHA 等の総当たり攻撃対策の実施」と回答します。(CAPTCHAによる画像認証が実装されています。)
画像No.1392
『2. データディレクトリの露見に伴う設定不備への対策』
公開ディレクトリには、重要なファイルを配置しない。
→「はい」と回答します。(公開ディレクトリに重要ファイルは設置していません。)
Web サーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。
→「はい」と回答します。(サーバー側で設定済みです。)
公開ディレクトリには、重要なファイルを配置しない。
→「はい」と回答します。(公開ディレクトリに重要ファイルは設置していません。)
Web サーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。
→「はい」と回答します。(サーバー側で設定済みです。)
画像No.1393
『3. Web アプリケーションの脆弱性対策』
脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
→「はい」と回答します。(できる限りの診断と対応を実施しています。)
SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。
→「はい」と回答します。(アップデートを実施しています。)
Web アプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。
→「はい」と回答します。(入力値チェックを実施しています。)
脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。
→「はい」と回答します。(できる限りの診断と対応を実施しています。)
SQLインジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。
→「はい」と回答します。(アップデートを実施しています。)
Web アプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フォームの入力値チェックも行う。
→「はい」と回答します。(入力値チェックを実施しています。)
画像No.1394
『4. マルウェア対策としてのウイルス対策ソフトの導入、運用』
マルウェア検知 / 除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。
→「はい」と回答します。(できる限りの対策を実施しています。)
マルウェア検知 / 除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。
→「はい」と回答します。(できる限りの対策を実施しています。)
画像No.1395
『5. 悪質な有効性確認、クレジットマスターへの対策』
悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施している。
→「はい」と回答します。(海外からの不審なIPアドレス制限を実施しています。)
悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を 1 つ以上実施している。
→「はい」と回答します。(海外からの不審なIPアドレス制限を実施しています。)
画像No.1396
『6. 不正ログイン対策』
各項目から少なくとも 1 つを実装する必要があります。
「不審なIPアドレスからのアクセス制限」はサーバー側で実施されていますので、全てにチェックを入れます。二段階認証の機能を有効にしている場合は「二要素認証等による本人確認」にもチェックを入れてください。
各項目から少なくとも 1 つを実装する必要があります。
「不審なIPアドレスからのアクセス制限」はサーバー側で実施されていますので、全てにチェックを入れます。二段階認証の機能を有効にしている場合は「二要素認証等による本人確認」にもチェックを入れてください。
画像No.1397
『委託先情報」
貴社に代わってどなたがセキュリティ対策を実行しますか?
→「委託先企業」を選択します。
委託先企業名
→「エルシーケークラウド」と記入します。
ASP カート事業者名
→「エルシーケークラウド」と記入します。
PCI DSS 準拠の審査を行った QSA (Qualified Security Assessor)
→「適用外」と記入します。
(カード情報はStripeのセキュアサーバー上にのみに保管して管理されるため適用外になります。)
貴社に代わってどなたがセキュリティ対策を実行しますか?
→「委託先企業」を選択します。
委託先企業名
→「エルシーケークラウド」と記入します。
ASP カート事業者名
→「エルシーケークラウド」と記入します。
PCI DSS 準拠の審査を行った QSA (Qualified Security Assessor)
→「適用外」と記入します。
(カード情報はStripeのセキュアサーバー上にのみに保管して管理されるため適用外になります。)
画像No.1398
以上まで記入が終わりましたら「送信」ボタンを押して提出してください。
Copyright ©LCK cloud