アカウント名:
パスワード:
カード会社は、中小事業者には、漏洩リスク低減のために決済代行業者を使うように指導・要請してるが、肝心の決済代行業者から漏洩とか
決済代行側のサーバがやられるという認識が薄いのさ。PCIDSSの審査ちゃんと受けていたのだろうか。SQLインジェクションだと3Dセキュア認証の画面からやられた?
「メタップスペイメント 沿革 [metaps-payment.com]」
2018年 12月 PCIDSS3.2.1へ完全準拠
書き方が悪かった。PCIDSSの審査は半期か四半期だか忘れたけど定期的に受けねばならんのよ。(審査OKは必須なので取らないやつは駄目)あとは脆弱性診断もいるのでそこが済んでいたかかどうか。
リリースより
(1) PCI DSSアセスメントについて第三者調査機関による検査の結果、対応済みの上記問題以外には脆弱性の認められるソフトウェアは検出されておらず、また、不正アクセスの防御対策も完了していますが、2か月後を目途に、再度PCI DSSアセスメントを実施する予定です。
とのことで、審査は受けていたけど見逃してしまっていた、他のソフトは再点検済み、再度PCI DSSの審査受け直す、ということのようです。
脆弱性のエスカレーションができていないのかしら?脆弱性のリスクを把握していない事業者は愚の骨頂だし、サービス止まるのが怖いのでパッチ充てたくないでしゅうは今の時代には許されないのに。アプリケーション脆弱性診断は年1で実施していたらしいがその周期でいいのか見直さないといけない気がする。
「PCI DSSとは [jcdsc.org]」
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。
四半期に1回以上らしいですが、それで防げないとなると確かに意味がないような。
審査がザルなんじゃないの?・・・と思われても仕方ない状況だな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
カード会社の指導 (スコア:0)
カード会社は、中小事業者には、漏洩リスク低減のために決済代行業者を使うように指導・要請してるが、
肝心の決済代行業者から漏洩とか
Re: (スコア:0)
決済代行側のサーバがやられるという認識が薄いのさ。PCIDSSの審査ちゃんと受けていたのだろうか。
SQLインジェクションだと3Dセキュア認証の画面からやられた?
審査はパスしていた (スコア:0)
「メタップスペイメント 沿革 [metaps-payment.com]」
2018年 12月 PCIDSS3.2.1へ完全準拠
Re: (スコア:0)
書き方が悪かった。
PCIDSSの審査は半期か四半期だか忘れたけど定期的に受けねばならんのよ。
(審査OKは必須なので取らないやつは駄目)
あとは脆弱性診断もいるのでそこが済んでいたかかどうか。
Re: (スコア:0)
リリースより
(1) PCI DSSアセスメントについて
第三者調査機関による検査の結果、対応済みの上記問題以外には脆弱性の認められるソフトウェアは検出されておらず、また、不正アクセスの防御対策も完了していますが、2か月後を目途に、再度PCI DSSアセスメントを実施する予定です。
とのことで、審査は受けていたけど見逃してしまっていた、他のソフトは再点検済み、再度PCI DSSの審査受け直す、ということのようです。
Re: (スコア:0)
脆弱性のエスカレーションができていないのかしら?
脆弱性のリスクを把握していない事業者は愚の骨頂だし、サービス止まるのが怖いのでパッチ充てたくないでしゅうは今の時代には許されないのに。
アプリケーション脆弱性診断は年1で実施していたらしいがその周期でいいのか見直さないといけない気がする。
Re: (スコア:0)
「PCI DSSとは [jcdsc.org]」
WEBサイトから侵入されて、情報を盗み取られることがないか、PCI国際協議会によって認定されたベンダー(ASV=Approved Scanning Vendor) のスキャンツールによって、四半期に1回以上の点検を受けて、サイトに脆弱性のないことの認証を得る。
四半期に1回以上らしいですが、それで防げないとなると確かに意味がないような。
Re: (スコア:0)
審査がザルなんじゃないの?
・・・と思われても仕方ない状況だな。