人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

クレジットカードをデータベースに保存する必要のあるサービス(想定サービス:amazon.co.jp)を運営する場合に、これは絶対にやるべきだ、というセキュリティ上必須項目を教えて下さい。以下にあげた項目以外で教えて下さい。

・クレジットカード番号送信フォームはHTTPSにする。
・クレジットカードは暗号化してデータベースに保存する。
・クレジットカードと一意となるIDのセッションはログイン毎に変更する。
・複合化キーも盗聴・盗難されないように注意する。
・データベースサーバーとウェブサーバーは分離して、データベースサーバーはネットから接続できない場所に設置する。
・そもそもクレジットカード番号は保持せず、決済業者がもつ暗号化キーで保存する。


●質問者: logihot
●カテゴリ:ウェブ制作
✍キーワード:amazon.co.jp HTTPS ウェブ キー クレジットカード
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● 牛乳先生(tukihatu)
●60ポイント ベストアンサー

素人ながらですが、システム面ではおそらくこれぐらいでいいと思います。

システムで後思いつくものは

・クレジットカード番号送信フォームからの攻撃をブロックするプログラムを埋め込む

・あやしいアクセスを見つけたらIPをブラックリストに載せるor通報

・ログを監視する機能をつける

ぐらいですか…


個人的な意見かもしれませんが、

システム側からアタックを受けて引き抜かれることより、もっと怖いのは人かと。


なので以下も対応する必要があると思います。

・データサーバはサーバルームに隔離、入るのには上長、社長の許可が必要

・データサーバのパスワードは毎回変えるorUSBキーとかを用意する

・データサーバを触ったときはログをとる

・バックアップサーバがある場合も同様に気をつける

・必要以上にサーバに機能を入れない(メールとか)

・個人PCを会社に持ちこまないorどんなことがあろうとデータをコピーしない

・作業者に、危険度をきちんと理解してもらうor誓約書を書かせる

・あやしげなサイトや、メールのワンクリックは要注意


ニュースを見ればわかるように、個人PCからの流出頻度が多くなっています。

システムが完璧でも油断はできない、というところです。


http://femt.ddo.jp/modules/bwiki/index.php?%BC%AB%C2%F0%BB%AA%B7...

◎質問者からの返答

お礼遅くなり申し訳ないです。大変参考になります。デジタル的な部分に目が行きがちですが、アナログ的な部分も大切ですね。コメントのサイトも参考にします!

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ