万全のセキュリティ体制
- トップ
- 万全のセキュリティ体制
1 国際基準のセキュリティ管理
クレジットカード業界の国際情報セキュリティ基準「PCI DSS」
SU HONG KONG決済サービスは、クレジットカード決済情報の保護、処理、伝送に関する全ての決済システムにおいて、国際基準の最新バージョンである「PCIDSS Ver.3.2.1」への完全準拠が認められた決済システムにてカード決済業務を行っております。
PCIDSSとは、国際カードブランド5社(VISA・MasterCard・AmericanExpress・Discover・JCB)が共同で定めたクレジットカード情報保護に関する国際基準です。カード情報や決済情報を保護するための12要件が規定されており、完全準拠するためには米国PCIデータセキュリティ基準審議会(PCISSC)によって承認された認定審査機関のオンサイト審査及び定期的な危弱性テストを行うことが要求されております。
当社決済システムが「PCIDSS Ver.3.2.1」に完全準拠されたことにより、現時点における当社決済システムが国際的なセキュリティ水準に達していることが証明されました。SU HONG KONG決済サービスは、インターネットにおけるクレジットカード決済サ-ビスを提供しており、今後とも、高いセキュリティ環境の維持・提供の徹底を行いより安全性の高い決済システムの提供に努めて参ります。
シマンテック(旧ベリサイン)社のSSLサーバ証明書、
SSL通信での暗号化通信
弊社では全てのクレジットトランザクション、及び管理画面でのカード認証状況確認においてSSL暗号化通信での認証、情報閲覧を行っております。このSSL通信とは、インターネット上でデータを暗号化して送受信する方法のひとつで、Netscape Communications社が開発しました。TLS(Transport Layer Security)は、SSLをもとに標準化させたものです。現在、クレジットカード番号や個人情報を扱う会社では、通信途中での傍受やなりすましによる情報漏洩を防ぐ目的で、SSL通信を利用しています。利用者がSSLを利用できるサーバーとデータをやり取りする場合には、Webサーバと利用者のコンピュータが相互に確認を行いながらデータを送受信するようになるため、インターネットにおける通信内容の暗号化およびなりすましの防止が実現され、第三者(外部)からの接続や閲覧が不可能となります。
3Dセキュアシステムの導入
3Dセキュア(本人認証決済サービス)とは、JCB、VISA、MasterCardが提供する本人認証サービスの総称です。クレジットカードで決済を行う際、予め設定したパスワードを入力する為の画面が表示され、当該パスワードを基に認証(本人認証)が行われます。パスワードの入力が行われなかったり入力されたパスワードが誤っていたりする場合は、決済は行われません。この為、盗難カードや偽造カードによる不正使用被害が抑止されます。
セキュリティコード CVV
当社の決済システムでは、バッチ処理等、一部の機能を除き、全てセキュリティコードの入力、認証を必須項目として設けています。クレジットカードの裏側に記載されている3桁~4桁の番号です。この番号はクレジットカードの磁気内には情報として組み込まれておらず、万が一、スキミングや不正にカード情報を盗まれたとしても、手元にクレジットカードがないと決済が出来ないシステムになっています。
2 SU HONG KONGのセキュリティ対策
-
弊社のセキュリティへの取り組み
インターネット決済において、何よりも大切なのがセキュリティ体制です。当社では、お客様の個人情報を厳重に管理し、不正利用のリスク軽減に日々努め、みなさまに安心・安全な決済サービスを行っています。クレジットカードは極めて重要な情報であり、その情報をお預かりしている当社にはそれを厳重に保護する義務があります。またクレジットカード情報以外にも、個人に関わる情報をお預かりしております。いずれも大切な情報資産であり、その情報資産をお預かりしている当社の責任は非常に重いものであると考えております。当社はネットワーク上を流通する情報や、それを保管するネットワークシステムシステムを保護することを重要な課題とし、安心して当社のサービスをご利用 いただくようセキュリティ維持および向上に努めております。そのために当社では、「情報セキュリティポリシー」を定め、情報セキュリティ管理体制を整えお預かりしている情報の保護に万全を尽くしております。
-
情報セキュリティポリシーの運用及び情報セキュリティ管理体制に関して
情報セキュリティポリシーおよび関連法規に関して情報セキュリティポリシーを策定し、当社のすべての役員・従業員にこれの遵守を徹底させております。また、遵守されているかどうか当社内で定期的に監査しており、情報セキュリティ委員会を設置し、情報セキュリティの維持・向上に関する活動を常に行っております。
-
情報セキュリティポリシーの対象と外部委託業者の管理体制強化
情報セキュリティポリシーの適用範囲内で行う作業を、外部委託業者に依頼する場合は、当社と同等のセキュリティレベルを要求し、当社が要求した水準を満たしていない場合は契約を見直しております。当社では当社で取り扱っている情報資産に関連する人物・物理的・環境的リソースを情報セキュリティポリシーの対象としております。人物の中には、役員、従業員(一時雇用者を含む)の当社の情報資産を利用するすべての者が含まれており、情報セキュリティポリシーの適用範囲内で行う作業を、外部委託業者に依頼する場合は、外部委託業者も対象に含めることとしております。
-
セキュリティ教育と情報セキュリティポリシーの向上に関して
当社の役員・従業員に対して定期的に、セキュリティ教育を行っております。これにより、役員・従業員のひとりひとりが情報資産の重要さを理解し、情報資産の保護手順を実行できるようにします。当社内の状況、当社外の状況、情報セキュリティの動向、新たなリスクの出現など、あらゆる状況の変化に対応できるよう、情報セキュリティの定期的な見直しを行っております。
-
情報システム・セキュリティ対策の実施、インシデント・事故への対応
当社が扱っている情報資産が、故意や偶然という区別に関係なく、改ざん、破壊、漏洩等から保護されるよう、当社のシステムのセキュリティがより強固なものとなるよう努めており、セキュリティ面でのインシデントや事故が発生することがないよう、当社では全力を尽くしております。万が一インシデント・事故が発生し、情報資産が危険にさらされた場合は、ただちに調査にあたり、対策を講じるものとしており、再発することのないようセキュリティ体制の見直しを実施いたしております。