Stripeの「セキュリティ・チェックリストに基づく対策措置状況申告書」は、オンライン決済を利用する事業者がセキュリティ対策の実施状況を申告するための重要な書類です。
この申告書の提出は、2024年4月1日以降、新規アカウント作成時に必須となり、2025年4月からは既存のアカウントにも適用される予定です。
Stripe「セキュリティ・チェックリストに基づく対策措置状況申告書」の回答方法
以下に、申告書の具体的な回答方法を項目ごとに説明します。
0. 導入方法に関する質問
- 質問例: 「顧客はどのように決済を行いますか?」
- 回答: 「その他(例: Stripe CheckoutやPayment Element)」
- 質問例: 「オンラインサイト上に商品・サービスを掲載していますか?」
- 回答: 「はい」
1. 管理者画面のアクセス制限とID/PW管理
- 質問例: 「管理者のアクセス可能なIPアドレスを制限する。IPアドレスを制限できない場合は、管理画面にベーシック認証等のアクセス制限を設ける。」
- 回答: 「はい」
- 質問例: 「取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。」
- 回答: 「はい」
- 質問例: 「管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下のログイン失敗でアカウントをロックする。」
- 回答: 「はい」
2. データディレクトリの露見に伴う設定不備への対策
- 質問例: 「公開ディレクトリには重要なファイルを配置しない。」
- 回答: 「はい」
- 質問例: 「WebサーバやWebアプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。」
- 回答: 「該当なし:ファイルのアップロードができません」
3. Webアプリケーションの脆弱性対策
- 質問例: 「脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。」
- 回答: 「はい」
- 質問例: 「SQLインジェクションやクロスサイト・スクリプティングの脆弱性対策を行う。」
- 回答: 「はい」
- 質問例: 「セキュアコーディング済みであるか、ソースコードレビューを行い確認する。」
- 回答: 「はい」
4. マルウェア対策
- 質問例: 「マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャーの更新や定期的なフルスキャンなどを行う。」
- 回答: 「はい」
5. 悪質な有効性確認やクレジットマスターへの対策
- 質問例: 「悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を1つ以上実施しているか。」
- 回答: 「はい」
- 具体例:
- 「不審なIPアドレスからのアクセス制限」
- 「エラー内容を非表示にする」
- 「EMV3-DセキュアやSMS通知など本人確認ができる対策を行う」
6. 不正ログイン対策
- 質問例: 「各セクションから少なくとも1つを実装する必要があります。」
- 回答例:
- 会員登録時: 「不審なIPアドレスからのアクセス制限」
- ログイン認証時: 「二要素認証」
- 属性変更時: 「不審なIPアドレスからのアクセス制限」
- 回答例:
7. 委託先情報
- 質問例: 「貴社に代わってどなたがセキュリティ対策を実行しますか?」
- 回答例:
- 「従業員」
- 回答例: