PCI の概要と Commerce Cloud のお客様の責任

PCI DSS 基準

PCI DSS 基準は、データセキュリティの問題に対処することを目的として、主要なカード発行会社によって共同で策定されました。基準は複数のセクションで構成され、以下について広く定めています。

• ネットワークセキュリティ
• カード会員データの保護
• 脆弱性管理
• アクセス制御手法
• 制御とセキュリティのモニタリングおよびテスト
• 情報セキュリティポリシー

Commerce Cloud は登録サービスプロバイダとして以下のサイトに掲載されています。

• MasterCard
• Visa US
• Visa Europe

準拠の証明として、Commerce Cloud は現在の PCI 準拠証明書 (AOC) のコピーを提供できます。AOC のコピーが必要な場合は、サポートにお問い合わせください。

Commerce Cloud の責任

マーチャントは、自らの PCI DSS マーチャントとしてのコンプライアンスを徹底する責任を負います。以下は、Commerce Cloud の Commerce プラットフォームに関し、Commerce Cloud が PCI DSS 準拠サービスプロバイダとして責任を負う主な項目です。これらの項目は、Commerce Cloud のサービス内に保存されている顧客データを対象としています。お客様のコンプライアンスが求められるのは、主にインテグレーションと、Commerce Cloud の Commerce プラットフォーム外部のシステム (外部の OMS システムなど) との機密データのやり取りです。Commerce Cloud の責任は、具体的には 12 の主要な PCI DSS 要件のセクションに対応しています。

     1.      ファイアウォールの設定は検証され、テストされています。Commerce Cloud は、すべてのファイアウォールの設定とテストに対して責任を負います。

     2.      デフォルトのパスワードは削除され、条件を満たすシステムセキュリティパラメーターが保持されます。

     3.      Commerce Cloud の Commerce プラットフォームに保存されるクレジットカード情報は、クレジットカードデータアクセス用の標準 API を使用する場合は、暗号化形式で保存されます。Commerce Cloud は、このデータに対し自動再キー化などの保護メカニズムを実行します。         

     4.      Commerce Cloud では、お客様がクレジットカードデータをサードパーティシステムと交換するときに、トランスポート暗号化 (TLS/SSH) またはペイロード暗号化 (業界標準の暗号化機能) を使用できます。SiteGenesis リファレンスアプリケーションは、コンシューマーセッションの機密部分がすべて保護されるようにプラットフォームを正しく使用します。これは、管理用の Business Manager アプリケーションにも適用されます。

     5.      必要に応じて、Commerce Cloud はウィルスやマルウェアを検出するためにスキャンを実行します。

     6.      Commerce Cloud は業界標準のコーディングプラクティスに従うことと、セキュリティメールリストを監視することにより、コアコンポーネントの開発が安全に行われるようにします。また、QA プロセスの一環として脆弱性スキャンのテストも実施します。お客様は、サービス上で作成したカスタマイズに対し、脆弱性スキャンおよびコードレビューを実行する責任を負います。

     7.      Commerce Cloud は顧客データへのアクセスを、アクセスを認める根拠となるビジネス要件がある内部スタッフのみに厳しく制限します。これらの内部スタッフは、Commerce Cloud での雇用の一環として身元調査を受けます。

     8.      Commerce Cloud Commerce プラットフォーム環境全体で、ユーザーのアクセスは、一意の ID によってユーザーを特定できる監査履歴によって保護されます。Commerce Cloud スタッフに関しては、Commerce Cloud のポリシーおよび手順によってこれを実施します。

     9.      物理的なアクセスは、すべての Commerce Cloud Commerce プラットフォーム施設において PCI DSS 要件に適合しています。

     10.Commerce Cloud は、外部接続と内部接続の両方を対象に予期せぬトラフィックを監視します。さらに、Commerce Cloud は包括的な内部ログファイルを維持し、セキュリティログとカスタムログを 30 日間ダウンロードできる機能をお客様に提供します。

     11.Commerce Cloud は、外部のセキュリティ監査人による定期的なペネトレーションテストと脆弱性スキャンに加え、QA プロセスの一環としてもサービスをテストします。お客様は、ストアフロントのテスト、カスタマイズ、他のサービスのインテグレーションについて責任を負います。

     12.Commerce Cloud は、情報セキュリティに関する内部ポリシーおよび手順を適切に定義します。

お客様の責任

上述のとおり、Commerce Cloud Commerce プラットフォームを基盤とした外部インテグレーションやカスタマイズについては、お客様が PCI-DSS コンプライアンスの徹底について責任を負います。一般的な例として次のようなものがあります。

• OMS などのサービスへの外部インテグレーション: TLS を介しており、適切なファイアウォール制限があるかどうか。
• ファイアウォールルールに関して、お客様が開放を要求する Commerce Cloud のアウトバウンドポートについてはお客様が責任を負います。お客様は、安全でないポートについて、また安全でないポートの存在がお客様の PCI コンプライアンスに及ぼす影響について考慮する必要があります。不明な点がある場合は QSA にご相談ください。お客様は、要求したアウトバウンドポートを解放する必要があるかどうかを 6 か月ごとに見直し、ポートが不要になった場合には、ポートを削除できるように Commerce Cloud に通知する必要があります。
• お客様は、支払データを保持する期間を定義する責任を負います。これは、Business Manager で支払情報の保持を定義することによって管理できます。
• カスタムエクスポートは暗号化し、適切に処理します。
• カスタマイズは、セキュリティ上の影響の可能性を理解したうえで行います。お客様は、カスタマイズすることによって、クレジットカード情報などの機密情報が、安全でない方法で取得されることがないようにする責任を負います。クレジットカード情報のクリアテキスト (ログファイルを含む) の保存は一切許可されていません。お客様はこの要件を遵守する責任を負います。
• 脆弱性テストとペネトレーションテストは外部 QSA/ASV が実行します。
• お客様のセキュリティおよびアクセスコントロールに固有のカスタムログ (Commerce Cloud のログフレームワークを使用するお客様)、エラー、カスタムエラー、セキュリティなどのログを維持します。カスタムログやその他のセキュリティログは 30 日以内にダウンロードし、PCI DSS 要件に従ってお客様がアーカイブする必要があります。
• お客様のステージングシステムへのコード更新 (Commerce Cloud Studio 経由) には、2 要素認証を適用する必要があります。この 2 要素証明書はお客様が管理し、お客様は Commerce Cloud サービスへのコードのデプロイのために定めた独自のセキュリティポリシーを適用できます。

注意:このリストは包括的なものではありません。PCI DSS マーチャントコンプライアンスを維持するためのお客様の要件と責任をすべて確認するには、PCI DSS 評価機関または PCI DSS コンサルタントにお問い合わせください。

Commerce Cloud を監査に活用するには

ほとんどの監査人は、PCI 準拠の外部パートナーと協力することに慣れています。上のリンクから関連ドキュメントをダウンロードでき、これにはクレジットカード会社のサービスプロバイダとしての Commerce Cloud のリストも含まれます。サポートにチケットを登録して Commerce Cloud AOC のコピーをリクエストすることもできます。AOC は、お客様の監査人がサービスプロバイダとしての Commerce Cloud の責任とお客様の責任とを確認するための十分な資料になります。Commerce Cloud は、自己問診票 (SAQ) も含め、お客様の PCI 監査のいかなる部分の完了もサポートしません。


監査/セキュリティスキャンのスケジュール
「セキュリティ評価」に掲載されている概要を参照してください。

お問い合わせ先

このドキュメントで疑問が解決しない場合は、こちらの開発者フォーラムの「Platform Operations」(プラットフォームの操作) セクションに質問を投稿してください。投稿された質問には Commerce Cloud 担当者が回答します。