PAY.JPにとってのセキュリティ
PAY.JPにとってセキュリティは最も重要な要素の1つです。 クレジットカード情報を安全に取り扱うために、国際カードブランドであるVisa、MasterCard、JCB、American Express、Discoverによって策定・管理されている PCI-DSS Version 3.2 に完全準拠した運用を行っています。
加盟店の安全
PAY.JPが公開しているCheckoutpayjp.jsというライブラリを使えば、クレジットカード情報はトークンによって暗号化され、加盟店のサーバーに一切カード情報が渡らずに安全な決済を行うことができます。
インフラ
PAY.JPのインフラは、機能・要件ごとに厳格なファイアウォールとアクセス制御の元、運用されています。定期的に内部・外部のネットワークスキャン、サードパーティによるペネトレーションテストを実施しており、高いレベルのセキュリティを保っています。
暗号化
PAY.JPサーバーに関する外部の通信は全てTLSで暗号化されており、TLSv1、TLSv1.1、TLSv1.2のプロトコルのみが使用されています。クレジットカード情報はPCI-DSSに準拠した形で、安全に取扱いが行われています。
加盟店さまへのお願い
HTTPS
クレジットカード情報を入力する画面では必ずSSL/TLSで暗号化された通信を行うようにしてください。
JSライブラリの利用
PAY.JPでは決済フォームを安全に組み込むためのライブラリとして、Checkoutpayjp.jsを用意しています。これらのライブラリを利用することで、加盟店の皆さまの画面で入力されたクレジットカード情報はPAY.JPサーバーへ直接送られるようになるため、高いセキュリティを保って決済が行うことができます。
ご自身のサーバーにクレジットカード情報が渡ることがないように、Checkoutpayjp.jsを利用して決済を組み込むようにしてください。
シークレットキー
PAY.JPのAPIを取り扱うための本番用シークレットキーは、決済処理を含むさまざまな処理を行うための重要なキーです。GitやSvnなどの公開用コードレポジトリ内に記載したり、外部に漏れないように慎重な取扱いを心がけてください。万が一、不正な利用を検知した場合は、管理画面の設定から新しいシークレットキーを発行することができるので、すぐに対処を行うようにしてください。
セキュリティ報告について
PAY.JPのセキュリティに関して何かバグや問題などありましたら、security@pay.jpにご連絡ください。すぐにこちらで調査を行い、報告に対する対応、及び回答をします。報告された問題について、PAY.JPから公式に発表されるまで、外部に公表することは控えていただくようにお願いします。