セキュリティ

セキュリティについて記載します。 セキュリティは多様な観点と議題がありますので、それぞれ解説します。

PCI DSS,クレジットカードの非通過対応

クレジットカードの非通過対応

どの決済代行でも例外なく対応しております。 コールセンターでの対応(決済代行会社の専用端末を利用)も実績がありますので、ご相談ください。

PCI DSS 準拠

非通過対応が業界スタンダードなので、クレジットカードを保有するケースは少ないですが、クレジットカードイシュア様のインフラ対応実績もありますので、PCI DSSに準拠するといったことも対応可能です。

監査

操作ログの記録レベル（オペレーターログ、開発側操作ログなど）

• Commerbleにおけるオペレーターログ、開発側のログは常時取得しています。
• アクセスや操作の痕跡を日時も含めて追跡・証明でき、外部システム監査にも対応可能です。
• ただし、Commerble外のカスタマイズ部分については、別途取得を検討する必要があります。(例えば、専用の会員サイトを作ったり、管理サイトを作った場合など)。この場合は、AzureのLog Analytics機能を利⽤することを推奨しています。

第三者によるセキュリティ検査の⽅法（導⼊時、運⽤時）

• Commerble側では、お客様で必要な業者を選定して頂き、適切な環境で試験をしていただきます。
• 外部ネットワークについては通常のECサイトに攻撃して頂く形で問題ありません。
• 内部ネットワークの試験に関しては他テナント様のデータもありますので、慎重に進めさせて頂ければと思います。※試験用の環境を用意するなど。
• セキュリティ監査で問題が検知された場合、OSレベル、アプリケーション、プログラム言語モジュールに脆弱性が発見された場合は、Commerble部分についてはCommerble側の費用として対応します。
• Commerble外のカスタマイズ部分については、構築部分は基本的に構築ベンダーと相談の上対応します。
• アプリケーションや実行環境は随時アップデートしているので、ランタイムが更新できないので、脆弱性対応が遅れるということも発生しておりません。

認証

管理画面の多要素認証

• Commerbleの標準管理画面は、IDとパスワードによる認証と、IP制限となっています。
• 専用の管理画面を構築する場合は、Azure内でのAD、Azure ADを利⽤した認証を利用することが出来ますので、そちらに関しては多要素認証付きのログイン(かつ不正検知機能付き)可能です。

セキュリティモジュール

• WAFについては、AWSもしくはAzureのものを利⽤、運用しています。

開発サイドのセキュリティ

• Azure ADと連携しているため、多要素認証でADにログインして権限を得ない限りシステムに関連する操作ができなくなっています。
• ソース管理、リリース管理、データベースへのアクセス、APIへのアクセスについても同様です。
• 改ざん防⽌については、静的なコンテンツをサーバー上で管理していないため、ソースコードかデータベースからしか改ざんできない方式になっています。