設問

回答

顧客はどのように決済を行いますか？

その他

オンラインサイト上に商品・サービスを掲載してますか？

いいえ

設問

回答

管理者のアクセス可能な IPアドレスを制限する。IPアドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。

該当なし：管理者アカウントはありません

取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。

該当なし：管理者アカウントはありません

設問

回答

管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下のログイン失敗でアカウントをロックする。

該当なし：管理者アカウントはありません

設問

回答

公開ディレクトリには、重要なファイルを配置しない。（特定のディレクトリを非公開にする。公開ディレクトリ以外に重要なファイルを配置する。）

はい

Webサーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。

はい

設問

回答

脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。

はい

設問

回答

SQL インジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。（例えば、最新のプラグインの使用（当該脆弱性が無いものが望ましい）やソフトウェアのバージョンアップを行う。）

はい

Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フオームの入力値チェックも行う。

はい

設問

回答

マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャ一の更新や定期的なフルスキャンなどを行う。

はい

設問

回答

悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を1つ以上実施している。

はい

設問

回答

会員登録時の不正ログイン対策

以下にチェック

☑︎該当なし：会員のログイン機能はありません

ログイン認証時の不正ログイン対策

以下にチェック

☑︎該当なし：会員のログイン機能はありません

設問

回答

属性変更時の不正ログイン対策

以下にチェック

☑︎該当なし：会員のログイン機能はありません

設問

回答

貴社に代わってどなたがセキュリティ対策を実行しますか？

委託先企業

設問

回答

委託先企業名

メイクリープス株式会社：MakeLeapsアプリのインフラ；ストライプジャパン株式会社：クレジットカードの決済インフラ

ASPカート事業者名

利用なし

PCI DSS準拠の審査を行ったQSA（Qualified Security Assessor）

MakeLeaps：適用外；Stripe：PCI レベル 1のサービスプロバイダーとしてPCI QSA から毎年認定を受けています。