パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Apache Struts 2の脆弱性により、都税支払いサイト等から約72万件のクレジットカード番号が流出か」記事へのコメント

  • by Anonymous Coward

    >住宅金融支援機構サイトではカード番号と有効期限に加えセキュリティコード

    セキュリティコード漏洩は言い訳がきかぬ。

    • by Anonymous Coward

      今時新システム作るのにJavaなんか採用するところはセキュリティ意識もガバガバなのでしょう。

      • by Anonymous Coward

        与信関係ライブラリーのガイド・マニュアルには
        セキュリティコードは保存するなと書いてありそうな気がするのだが……

        基本的なことすらできてないのはセキュリティ意識以前だろう。

        • Re: (スコア:4, 参考になる)

          by Anonymous Coward

          クレジットカード業界のセキュリティ基準 PCI DSS(Payment Card Industry Data Security Standard)の
          『Payment Card Industry(PCI)データセキュリティ基準 要件とセキュリティ評価手順バージョン 3.0』
          には「機密認証データは承認後、たとえ暗号化していても保存してはなりません。」とはっきり書いてあります。
          (CAV2/CVC2/CVV2/CID〔いわゆるセキュリティコード〕は機密認証データに含まれることも書いてあります)
          日本語版はv3.0が最新のようですが、その10ページに書いてあります。
          ちなみにPCI DSSのドキュメントはメールアドレス登録で見れます。

          • by Anonymous Coward

            追伸。業務委託している側(トヨタファイナンス?)にも責任ありです。

            『PCI DSS 要件はアカウントデータ(カード会員データや機密認証データ)が保存、処理、または送信される組織と環境に適用されます。一部
            の PCI DSS 要件は支払業務や CDE 管理をアウトソースしている組織にも適用されます。CDE や支払業務を第三者にアウトソースする組織は
            また、アカウントデータが 第三者により PCI DSS 要件に従って保護されていることを確認する責任があります。

            トヨタファイナンスは完全にアウトでしょう。ロゴや名前を出してる東京都も確認義務があって然るべきと思います。
            『委託先がやっちまったよ、ごめんね』では済まない。なんとかファイナンスとか、なんとかペイメントとか、いかにも金融取引・支払い業務を専門にやる社名の業者なのだから。

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

処理中...