メインコンテンツまでスキップ

最適なセキュリティプラクティス

1. 商店プラットフォームのセキュリティ利用

商店プラットフォームのセキュリティ利用のために、以下の4つの側面に注意を払います:アカウント申請、開設メールの受信、商店プラットフォームへのログイン、および商店プラットフォームの日常的な利用。

1.1 アカウント申請

a、PayCloudの申請は無料ですが、潜在的な詐欺に警戒してください。

b、申請後は詳細情報を安全に保管し、違反を避けてください。

1.2 アカウント有効化メール

a、アカウントIDや初期パスワードなどの機密情報が含まれた有効化メールは、安全な場所に保管してください。

1.3 商店プラットフォームへのログイン

a、初めてログインする際には、パスワードを変更してください。パスワードは最低8文字で、大文字、小文字、数字、記号を組み合わせて使用することを推奨します。

b、常に https://mp.xxx でログインし、フィッシング攻撃を避けてください。

1.4 日常的なプラットフォーム利用

a、ログインセキュリティ

◆ 3か月ごとにパスワードを更新してください。

◆ 資金などの敏感な操作に使用される電子メールアカウントを保護してください。

◆ オペレーターには一意の役割と権限を割り当て、必要に応じて制限を加えてください。

◆ 各従業員には個別のアカウントを持たせ、アカウントの共有を避けてください。

b、ブラウザセキュリティ

◆ 更新されたブラウザを使用し、自動システムとブラウザの更新を有効にしてください。

c、機能性

◆ APIを使用する場合は、IPホワイトリストを設定することを検討してください。

2. システム開発ガイドライン

情報システムの開発に関心のある商店にとって、セキュリティは非常に重要です。内部管理または外部委託を問わず、以下の5つの主要部分でこれらの注意点を概説します:要件、設計、コーディング、テスト、および展開と運用保守。

2.1 要件

a、内部でマーケティングキャンペーンを作成する際は、スクレイピング対策を導入することが重要です。

2.2 設計

a、データ収集

◆ 法的に制限されたデータタイプ(例:磁気ストライプ情報、クレジットカードCVVコード)の収集を避けてください。

◆ 敏感なクライアント情報は、保存前に常に暗号化してください。

b、データ転送

◆ HTTPSプロトコルを使用して、安全なオンライン通信を確保してください。

◆ 古いプロトコルの使用を避け、最新バージョン(例:TLS 1.2)を使用してください。

◆ 個人の暗号化戦略を慎重に設計・実装してください。それらには罠がある可能性があります。

c、データ保持

◆ ログには敏感なデータを表示しないようにしてください。必要に応じて、これらのデータをデータマスキングしてください。

◆ キャッシュまたはデータベースに保存される敏感なデータの暗号化またはハッシュ化が重要です。

◆ 重要な認証詳細(例:パスワード)を保存する場合は、ソルトを使ったハッシュ化を行ってください。

d、データアクセス

◆ すべての外部データアクセスリクエストは認証を通過する必要があります。

◆ 内部データへのアクセスは厳格に制限し、偶発的な情報漏洩を防いでください。

e、監査ログ

◆ 「誰」「いつ」「なぜ」「どのように」「内容」の詳細情報をキャプチャするための包括的なログ記録が重要です。

f、財務処理

◆ システムとPayCloudの財務データを常に一致させてください。

◆ データベースやキー値ストレージなどのデータシステムは、無許可のデータ変更を防ぐように設計してください。

2.3 コーディング

a、パラメータ処理

◆ 最新のセキュリティ脆弱性チェックリストを維持してください。

◆ システムやネットワークの脆弱性を積極的に検出し修正してください。

◆ セキュリティ脆弱性に対する最新の解決策について常に情報を得てください。

b、ロジック処理

◆ PayCloudの署名で支払い確認通知を検証することを確認してください。

◆ バックエンドの商品価格ロジックは、フロントエンドでの価格改ざんを防止するようにしてください。

◆ 商店のAPIキーや証明書などの機密情報は、公開されているアカウントアプリケーションやウェブページから遠ざけてください。

c、アプリケーション開発のセキュリティ

◆ iOS開発においては、Appleのセキュリティのベストプラクティスを守ってください。

◆ Android開発においては、推奨されるセキュリティガイドラインに従ってください。

2.4 テスト

a、入力と出力パラメータに対して厳格なセキュリティテストを実施してください。

b、内部リソース、クラウドソーシング、またはサードパーティのセキュリティツールを利用して、定期的にシステムの脆弱性スキャンを行い、発見された問題を速やかに解決してください。

2.5 展開と運用

a、すべてのシステムコンポーネントは最新の安定版を使用してください。商業版およびオープンソース版を含みます。

b、定期的にシステムの脆弱性テストを実施し、発見された問題を修正してください。

c、ディザスタリカバリ計画を策定し、バックアップを確保してください。理想的には、展開は複数のサーバールームやロケーションに分散させるべきです。

d、主要なクラウドプラットフォームを利用して、内蔵のセキュリティ対策を有効にしてください。

e、リソースが許すなら、専用のセキュリティ監視ツールやサービスに投資してください。

f、確立された重要な指標でリアルタイムデータを監視してください。

g、セキュリティイベントの監視と対応を担当するスタッフを指定してください。

h、すべてのシステムフレームワークとコンポーネントのセキュリティ状態を監視してください。

i、システムを定期的にパッチ適用し、最新バージョンにアップグレードしてください。

j、サービスポートを開く際は、慎重に行ってください。

k、すべてのサーバーログイン活動が追跡可能であることを確認してください。

m、内部管理システムでは、認証を必須とし、操作ログを維持して監査に備えてください。

n、オフライン業務操作を最小限に抑え、システムの脆弱性を減らしてください。