アカウント名:
パスワード:
>住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコード
セキュリティコード漏洩は言い訳がきかぬ。
今時新システム作るのにJavaなんか採用するところはセキュリティ意識もガバガバなのでしょう。
与信関係ライブラリーのガイド・マニュアルにはセキュリティコードは保存するなと書いてありそうな気がするのだが……
基本的なことすらできてないのはセキュリティ意識以前だろう。
クレジットカード業界のセキュリティ基準 PCI DSS(Payment Card Industry Data Security Standard)の『Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順バージョン 3.0』には「機密認証データは承認後、たとえ暗号化していても保存してはなりません。」とはっきり書いてあります。(CAV2/CVC2/CVV2/CID〔いわゆるセキュリティコード〕は機密認証データに含まれることも書いてあります)日本語版はv3.0が最新のようですが、その10ページに書いてあります。ちなみにPCI DSSのドキュメントはメールアドレス登録で見れます。
追伸。業務委託している側(トヨタファイナンス?)にも責任ありです。
『PCI DSS 要件はアカウントデータ(カード会員データや機密認証データ)が保存、処理、または送信される組織と環境に適用されます。一部の PCI DSS 要件は支払業務や CDE 管理をアウトソースしている組織にも適用されます。CDE や支払業務を第三者にアウトソースする組織はまた、アカウントデータが 第三者により PCI DSS 要件に従って保護されていることを確認する責任があります。』
トヨタファイナンスは完全にアウトでしょう。ロゴや名前を出してる東京都も確認義務があって然るべきと思います。『委託先がやっちまったよ、ごめんね』では済まない。なんとかファイナンスとか、なんとかペイメントとか、いかにも金融取引・支払い業務を専門にやる社名の業者なのだから。
よくみると、GMOペイメントゲートウェイの言い訳文 [gmo-pg.com]の下の方には
「GMOペイメントゲートウェイのサービスはPCI DSSに完全準拠しております。」
とか書いてあって、もう笑うしかないですね。
トヨタファイナンスの方も2.0だけどカード会員用インターネットサービスにおいて「PCI DSS ver.2.0」準拠認定を取得 [toyota-finance.co.jp]とかあるので、こちらもなんだか。
それより気になったのは、同じトヨタファイナンスーGMOペイメントゲートウェイの枠組みで、三重県自動車税 [toyota-finance.co.jp]、愛知県県税 [toyota-finance.co.jp]、大分県自動車税 [toyota-finance.co.jp]、福岡県自動車税 [toyota-finance.co.jp]、福岡市税 [toyota-finance.co.jp]なんかもやってるみたいなのだが、こちらは大丈夫なのだろうか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
はいあうと~ (スコア:2, 興味深い)
>住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコード
セキュリティコード漏洩は言い訳がきかぬ。
Re: (スコア:-1)
今時新システム作るのにJavaなんか採用するところはセキュリティ意識もガバガバなのでしょう。
Re: (スコア:0)
与信関係ライブラリーのガイド・マニュアルには
セキュリティコードは保存するなと書いてありそうな気がするのだが……
基本的なことすらできてないのはセキュリティ意識以前だろう。
Re: (スコア:4, 参考になる)
クレジットカード業界のセキュリティ基準 PCI DSS(Payment Card Industry Data Security Standard)の
『Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順バージョン 3.0』
には「機密認証データは承認後、たとえ暗号化していても保存してはなりません。」とはっきり書いてあります。
(CAV2/CVC2/CVV2/CID〔いわゆるセキュリティコード〕は機密認証データに含まれることも書いてあります)
日本語版はv3.0が最新のようですが、その10ページに書いてあります。
ちなみにPCI DSSのドキュメントはメールアドレス登録で見れます。
Re: (スコア:0)
追伸。業務委託している側(トヨタファイナンス?)にも責任ありです。
トヨタファイナンスは完全にアウトでしょう。ロゴや名前を出してる東京都も確認義務があって然るべきと思います。
『委託先がやっちまったよ、ごめんね』では済まない。なんとかファイナンスとか、なんとかペイメントとか、いかにも金融取引・支払い業務を専門にやる社名の業者なのだから。
Re:はいあうと~ (スコア:2, 興味深い)
よくみると、GMOペイメントゲートウェイの言い訳文 [gmo-pg.com]の下の方には
とか書いてあって、もう笑うしかないですね。
トヨタファイナンスの方も2.0だけどカード会員用インターネットサービスにおいて「PCI DSS ver.2.0」準拠認定を取得 [toyota-finance.co.jp]とかあるので、こちらもなんだか。
それより気になったのは、同じトヨタファイナンスーGMOペイメントゲートウェイの枠組みで、三重県自動車税 [toyota-finance.co.jp]、愛知県県税 [toyota-finance.co.jp]、
大分県自動車税 [toyota-finance.co.jp]、福岡県自動車税 [toyota-finance.co.jp]、福岡市税 [toyota-finance.co.jp]なんかもやってるみたいなのだが、こちらは大丈夫なのだろうか?