セキュリティ

security

PAY.JPのセキュリティへの取り組みの概要

PAY.JPでは情報セキュリティに最善を尽くしております。 セキュリティ専門機関とも密に連携し、当サービスのセキュリティプラクティスがクレジットカード業界の要求水準を満たしていることを検証しています。 PAY.JPは、 PCI DSS Version 4.0 Level 1 Service Provider です。

PCI DSS

PCI DSS (Payment Card Industry Data Security Standard) は、購入者のクレジットカード情報を安全に守るため、Visa、MasterCard、JCB、American Express、Discoverの国際カードブランド5社によって共同で策定されたカード情報保護に関する国際基準です。 全12に大別される要件にわたる多方面から情報の不正取得を防止する方法論が定められています。

データセンターならびにネットワークのセキュリティ

PAY.JPは、Amazon Web Services (AWS) 上で稼働しています。PAY.JPのインフラは、機能・要件ごとに厳格なファイアウォールとアクセス制御の元、運用されています。定期的に内部・外部のネットワークスキャン、サードパーティによるペネトレーションテストを実施しており、高いレベルのセキュリティを保っています。

暗号化

PAY.JPとHTTPS通信する際は、APIや購入者向け機能を含む全機能についてTLSv1.2以上による暗号化を必須としています。クレジットカード情報は業界標準のアルゴリズムで暗号化され、PCI DSSに準拠した適切な取扱いが行われています。

加盟店さまへのお願い

通信の暗号化について

当サービスはHTTPSでのみ提供されています。暗号プロトコルはTLSv1.2以上が必須化されています。SSLならびにv1.2未満のTLSはご利用いただけません。

JSライブラリの利用

PAY.JPでは決済フォームを安全に組み込むためのライブラリとして、Checkoutpayjp.js v2を用意しています。これらのライブラリを利用することで、加盟店の皆さまの画面で入力されたクレジットカード情報はPAY.JPサーバーへ直接送られるようになるため、高いセキュリティを保って決済が行うことができます。 ご自身のサーバーにクレジットカード情報が渡ることがないように、Checkoutpayjp.js v2を利用して決済を組み込むようにしてください。

シークレットキー

PAY.JPのAPIを取り扱うための本番用シークレットキーは、決済処理を含むさまざまな処理を行うための重要なキーです。GitやSvnなどの公開用コードレポジトリ内に記載したり、外部に漏れないように慎重な取扱いを心がけてください。万が一、不正な利用を検知した場合は、管理画面の設定から新しいシークレットキーを発行することができるので、すぐに対処を行うようにしてください。

多要素認証

PAY.JPアカウントには ワンタイムパスワード (TOTP) 型の多要素認証を設定することができます。すべての加盟店は、多要素認証の設定を推奨されます。

セキュリティチェックシートのお問い合わせについて

すべての加盟店はPAY.JPのPCI DSS準拠証明書(AOC)を取得、閲覧することができます。また、PCI DSSよりも広範囲を網羅したリスク評価情報を Assured を通じて提供しています。各ご用命はお問い合わせよりご一報ください。

セキュリティ報告について

当社は随時、PAY.JPのセキュリティ上の問題の報告を受け付けています。 脆弱性等を発見された場合は、お問い合わせフォームからもしくは support@pay.jp 宛のメールにてご連絡ください。 セキュリティ報告に対し、当社は迅速に調査・回答し、また必要が認められた是正を行うものとします。 セキュリティ報告に関わる一切のやり取りは機密保持契約の対象となります。当社が許可または公式に発表する前に、知り得た情報を外部に公表することはお控えください。

  1. TOP
  2. セキュリティ