WooCommerce PCI コンプライアンス: 知っておくべきことすべて!
公開: 2022-01-25WooCommerce は、美しくカスタマイズ可能な仮想店舗を構築するために使用される WordPress 用のオープンソース e コマース プラットフォームです。 しかし、その支払い方法はどれほど安全なのでしょうか? プラットフォームは PCI 準拠の基準に準拠していますか?
e コマース Web サイトが PCI-DSS 標準に準拠していない限り、顧客データの安全性とプライバシーが侵害される傾向があります。 そして、これはオンライン ビジネスの評判に影響を与える可能性があります。
WooCommerce ストアで顧客のデータが確実に保護され、安全に保たれるようにするために知っておくべきことはすべてここにあります。
- WooCommerce は PCI に準拠していますか?
- PCI コンプライアンスとは正確には何ですか?
- PCI 準拠の Web サイトを持つ主な利点:
- PCI-DSS 準拠の要件は何ですか?
- WooCommerce は安全ですか?
- 保存されたクレジット カード情報の保護
- SSLによるセキュリティ強化
- WordPress ログイン システム
- WooCommerce はクレジット カード情報を保存しますか?
- 結論とよくある質問
WooCommerce は PCI に準拠していますか?
コアの WooCommerce プラグインは PCI-DSS に準拠していません。 ただし、完全に準拠するように簡単に構成できます。 最終的に、Web サイトを PCI 準拠にする責任はストアの所有者にあります。 したがって、電子商取引 Web サイトが安全であることを保証するためにあらゆる措置を講じる必要があります。
理想的には、PCI-DSS コンプライアンス要件のいくつかの側面は、WooCommerce または WordPress の範囲を超えています。 代わりに、それらはホスティングプロバイダーまたはウェブサイトが遵守するビジネス慣行の範囲に該当します。 WooCommerce プラグインはセキュリティを念頭に置いて設計されており、完全なセキュリティを確保する方法がいくつかあります。
e コマース Web サイトを最初に PCI 準拠にするのに役立つ WooCommerce の主な機能は次のとおりです。
アクセス制限:
WooCommerce は安全な WordPress ログインを使用し、ユーザーが個別のプライバシー レベルと役割を異なるユーザーに割り当てることができます。 顧客の支払い情報へのアクセスを制限することで、セキュリティが向上します。
SSLセキュリティ:
ユーザーは、チェックアウト プロセス中に SSL 要件を強制するように WooCommerce を設定できます。 SSL 認証を取得すると、顧客データは Web 上で送信される前に完全に暗号化されたままになります。
保存されたクレジット カードの安全性:
理想的には、ネイティブの WooCommerce 支払いゲートウェイは、顧客のクレジット カード データを保存するように設計されていません。 支払いゲートウェイで将来の支払いに備えてカードを保存できる場合でも、保存されるのは最後の 4 桁のみです。 WooCommerce のこの機能により、クレジット カードの詳細の安全性が向上します。
あなたにおすすめ: Nexcess によるマネージド WooCommerce ホスティング – ストアを運営するのに最適な場所!
PCI コンプライアンスとは正確には何ですか?
出典: I-Verve.com
どのようなタイプの電子商取引ビジネスにとっても、高い水準のセキュリティを維持することが重要です。 これは、あなたの会社の信頼性と専門性を判断する重要な基準です。 顧客データの保護を強化し、高レベルのプライバシーを確保するために、安全性とセキュリティを確保するために導入できる規制と標準がいくつかあります。
これらの中で最も有名なものは、PCI-DSS (Payment Card Industry Data Security Standard) です。 PCI規格としても認められています。
e コマース業界は常に高度なサイバー攻撃にさらされており、データ セキュリティとプライバシーに対する深刻な脅威となっています。 したがって、支払いゲートウェイの安全性を確保することが重要です。 それは顧客の心の中に信頼を築き、より多くの販売とリピート販売を促進するのに役立ちます。
しかし、あなたの e コマース Web サイトに安全な支払いシステムがあることをどのように証明できるでしょうか? これは、Web サイトが PCI に準拠していることを視聴者に認識させることで実現できます。
PCI は、JCB International、Visa Inc.、MasterCard、Discover Financial Services、American Express によって設立された Payment Card Industry Security Standards Council によって管理されている世界的に認められた標準です。 目的は、セキュリティを向上させ、オンライン クレジット カード取引に関連する不正行為を最小限に抑えることです。
e コマース Web サイトがクレジット カードによる支払いを受け入れる場合は、PCI に準拠している必要があります。 PCI 規格を遵守しないと、企業に重大な金銭的罰則が科せられるだけでなく、評判を損なう可能性もあります。
PCI 準拠の Web サイトを持つ主な利点:
- PCI-DSS に準拠しているため、誰かがオンライン ストアで購入するときにクレジット カード データが盗まれる可能性がまれにあります。 ダブル オプトイン、2 要素認証、HTTPS などの機能により、ハッカーが e コマース Web サイトから機密データを盗むのを阻止します。
- これは、オンライン ストアが安全な支払いシステムを備えていることを示しており、顧客に信頼感を与えてチェックアウト プロセスを安全に完了させるのに役立ちます。
- これにより、e コマース販売者は、ビジネスに重大な損失をもたらす可能性のあるチャージバックを削減できます。 サイバー攻撃が高度化するにつれ、ハッカーは顧客のクレジット カード情報を盗み、その情報を使ってオンラインで商品を購入します。 顧客はこの予期せぬ請求を認識すると、すぐに支払いを一時停止します。 その結果、商品も返金もお金も何も残らないことになります。
- PCI 準拠により、データ漏洩やハッキングを阻止する一歩を踏み出すことができます。 これは、e コマース ビジネスに多大な費用、時間、評判を損なう可能性がある訴訟を回避するのに役立ちます。
PCI-DSS 準拠の要件は何ですか?
12 の主要な PCI-DSS 要件があり、次の領域に分類されます。」
| 目標 | PCI-DSS 要件 |
|---|---|
| 安全なネットワークの構築と維持 | 1. カード所有者情報の保護に役立つ堅牢なファイアウォール構成をインストールして使用します。 2. セキュリティ パラメータおよびシステム パスワードには、ベンダー提供のデフォルトを決して使用しないでください。 |
| カード所有者のデータを保護する | 3. 保存されているすべてのクレジット カード データを保護します。 4. パブリックなオープン ネットワーク全体でカード所有者データを確実に暗号化します。 |
| 脆弱性管理プログラムを作成する | 5. 強力なウイルス対策ソフトウェアを使用し、定期的に更新します。 6. 安全なアプリケーションとシステムを開発します。 |
| 万全のアクセス制御対策を導入 | 7. カード所有者の機密データへのアクセスは、知る必要がある場合にのみ許可します。 8. 保存されているすべてのカード所有者データへの物理的アクセスを制限します。 9. コンピュータにアクセスできる各ユーザーに一意の ID を設定します。 |
| ネットワークを定期的にテストおよび監視する | 10. すべてのカード会員データとネットワーク リソースへのアクセスを効率的に監視および追跡します。 11. セキュリティ プロセスとシステムを定期的にテストします。 |
| データセキュリティポリシーを確立する | 12. データ セキュリティへの対応に役立つ最終的なポリシーを作成します。 |
理想的には、PCI 準拠の報告は支払い処理業者によって強制されます。 このため、自己評価アンケート (SAQ) などの特定のアンケートへの記入が必要になる場合があります。 当局の承認済みスキャン ベンダー (ASV) によっても、支払いシステムがスキャンされます。
あなたは好きかもしれません: WordPress eコマースストアを強化する10の無料のWooCommerce拡張機能/プラグイン。
WooCommerce は安全ですか?
WooCommerce は、12 の PCI コンプライアンス要件すべてがその範囲を超えていると明確に述べています。 つまり、他の要件はホスティング プロバイダーのサーバー環境の責任に該当します。
通常、どのホスティング プロバイダーも準拠させることができますが、一部のサーバーは最初は他のサーバーよりも準拠性が高くなります。 コントロール パネルを備えたマネージド VPS プロバイダーと同様に、設定で事前に構成されているため、多くの PCI 要件にデフォルトで準拠する傾向があり、Web サイト所有者の多くの作業が軽減されます。
したがって、オンライン ビジネスの運営に真剣に取り組んでおり、セキュリティが最も重要である場合は、常に共有ホスティングではなく VPS を選択する必要があります。
ただし、プラグインのみを考慮する場合は、プラグインに組み込まれている他の基準も考慮できますが、これらは支払い方法が PCI-DSS に準拠していることを示すのに十分ではありません。
包括的なセキュリティを確保するために WooCommerce が満たす 3 つの主要な PCI コンプライアンス要件は次のとおりです。
保存されたクレジット カード情報の保護
WooCommerce は、保存されているすべてのクレジット カード情報を完全に保護できるわけではありませんが、そもそもそのデータを保存しないように構築されています。 つまり、WooCommerce は、顧客がウェブサイトでの支払いに使用するクレジット カード情報を保存します。
顧客が将来の使用のために支払い方法を優先オプションとして設定することを選択した場合、WooCommerce はカード番号の下 4 桁のみを保存します。 これにより、サイバー犯罪者がカードの詳細にアクセスすることが阻止されます。 ただし、このセキュリティ機能はネイティブ WooCommerce アプリケーションでのみ利用できます。 サードパーティのプラグインを使用している場合、カードの詳細が完全に保存される可能性があります。
SSLによるセキュリティ強化
PCI 標準によれば、Web サイトで顧客の支払いを受け入れる場合は、有効な SSL 証明書が必要です。 SSL 証明書を使用すると、顧客が Web サイト上で提供したデータは送信前に完全に暗号化されます。 これにより、クレジット カード詐欺やハッキングが軽減され、オンライン ストアの安全性が高まります。 さらに、SSL 証明書は Web サイトの SEO を強化します。
WooCommerce では、すべてのチェックアウト ページに SSL 要件基準を設定できます。 したがって、WooCommerce は、SSL を通じてセキュリティを向上させることで、PCI 標準への準拠を支援します。 ただし、Web サイト ホスティング プロバイダーが SSL 証明書を提供できるかどうかを確認することが重要です。
WordPress ログイン システム
WordPress ログイン システムは、WooCommerce が PCI 準拠をサポートするために使用するもう 1 つの方法です。 これにより、クレジット カードの機密情報に対するユーザー アクセスのさまざまなレベルを設定できます。 つまり、さまざまなユーザー ロールを作成し、独自のログイン アクセスを設定して安全性を高めることができます。
たとえば、Web サイト上のブログ投稿の作成者は投稿の作成と編集のみが可能ですが、WooCommerce の顧客データにアクセスしたり表示したりする権限はありません。 したがって、これは、PCI 要件への準拠を維持するのに役立つ「知る必要がある人のみ」のアクセスを設定するようなものです。
このようにして、WooCommerce は上記の PCI コンプライアンス要件を統合することで、かなりの量のセキュリティを提供します。
WooCommerce はクレジット カード情報を保存しますか?
WooCommerce コア プラグインは、顧客が将来の使用のために支払い方法を保存した場合でも、クレジット カード情報を保存しません。クレジット カードの下 4 桁のみが保存されます。
したがって、私の e コマース ストアは PCI 準拠である必要があるかという質問であれば、答えは NO になります。 これは、WooCommerce ストアがコア プラグインで動作し、カード所有者のデータを保存、送信、または処理しない場合にのみ発生します。 このような場合、支払いはオフサイトで行われます。ゲートウェイを使用すると、通常は支払いの受け取りにサーバーが使用されます。
ただし、カード所有者情報を保存する可能性のあるサードパーティのプラグインを使用している場合、または PCI 標準に記載されているようにクレジット カード データを収集、送信、処理している場合は、Web サイトが PCI-DSS に準拠している必要があります。
こちらもお勧めです: Magento vs Shopify vs WooCommerce: E コマース バトル。
結論とよくある質問
要約すると、WooCommerce は PCI 標準に完全には準拠していません。 ただし、PCI コンプライアンス要件に従って、データの損失やカード所有者の機密情報のハッキングに対して一定レベルの保護を提供します。 さらに、この記事の FAQ セクションで説明した決定的な措置を講じることにより、WooCommerce ストアを PCI 準拠にする柔軟性も提供します。
Q.WordPress は PCI に準拠していますか?
いいえ; WordPress は PCI に完全に準拠しているわけではなく、Payment Card Industry Security Standards Council のガイドラインに記載されている要件のみを満たしています。 ただし、プラットフォームはシームレスに更新して、他の PCI 準拠機能を統合し、Web サイトの支払いシステムをハッキングやデータ損失に対して完全に防御することができます。
Q. Shopify PCI に準拠していますか?
Shopify は、セキュリティ システムに関する業界のベスト プラクティスに準拠することで、販売業者が顧客に安全なショッピング エクスペリエンスを提供できるようにするもう 1 つの主要な e コマース プラットフォームです。 これは、次の 6 つの PCI 準拠要件をすべて満たす、認定済みのレベル 1 PCI-DSS 準拠プラットフォームです。
- カード会員データを保護します。
- 安全なネットワークを維持します。
- ネットワークを定期的にテストして監視します。
- 脆弱性管理プログラムを確立します。
- 包括的なデータ セキュリティ ポリシーを維持します。
- 強力なアクセス制御措置を設定します。
したがって、WooCommerce とは異なり、PCI-DSS 標準への準拠に関しては Shopify が勝利を収めています。
Q.WordPress を PCI 準拠にするにはどうすればよいですか?
WordPress ウェブサイトを PCI 準拠にするには、まず PCI 標準に準拠する支払い処理業者を選択することが重要です。 安全な支払いゲートウェイを提供するプロセッサを選択してください。 その後初めて、WordPress を PCI 準拠にするための次の手順に進むことができます。
- 販売者レベルを設定する: PCI 準拠のルールは、ビジネスの取引量に応じて異なります。 したがって、最初に販売者のレベルを決定する必要があります。 たとえば、中小企業の場合は、最も単純なコンプライアンス プロセスを持つレベル 4 の資格を得ることができます。
- 自己評価アンケートに回答する:現在リスクにさらされている状況を理解するのに役立つ自己評価アンケート (SAQ) に回答します。
- 承認されたスキャン ベンダーを統合する: ASV は自動ツールを使用して、支払いデータを収集して処理するハードウェアとソフトウェアの潜在的な脆弱性を特定できます。
- SSL 証明書を取得する: SSL 証明書により、顧客は Web サイトに暗号化されて直接接続できるという安心感が得られます。 Web サイトのドメイン「HTTPS」は、PCI 標準を満たすアドオン セキュリティ認証情報です。
- 適切なツールとプラグインを使用する: WordPress または WooCommerce ストアに適切なプラグインとツールを使用すると、e コマース ストアに追加のセキュリティ層を提供できます。 たとえば、WordPress にはカード所有者情報へのアクセスを制限できる管理者コントロールがあり、データ保護とプライバシーが強化されています。
- 支払い確認の追加手順:支払いの際、ほとんどの支払いゲートウェイでは、カード所有者の名前、クレジット カード番号、カードの有効期限が必要です。 このデータはサイバー犯罪者によって簡単にハッキングされる可能性があり、年間数十億ドルの損失につながります。 CVV、請求先住所、秘密の質問、OTP などの追加の検証詳細を含めることで、より安全性を確保できます。
- 最新のセキュリティ ポリシーを常に最新の状態に保つ:上記の手順に加えて、最新のセキュリティ ポリシーとトレンドを常に把握しておくことが重要です。 これにより、PCI 準拠に向けて一歩前進します。 Web サイトのセキュリティを向上させるには、最新のウイルス対策保護、定期的なソフトウェア アップデート、マルウェア スキャン、セキュリティ パッチが必須です。 さらに、従業員は支払いデータを安全かつ効率的に使用するためのトレーニングも受けなければなりません。