メインコンテンツにスキップ

[FAQ] Stripe連携: 「セキュリティ・チェックリストに基づく対策措置状況申告書」の提出を求められた場合

今週アップデートされました

PAGE TOP


MakeLeapsで発行した請求書に「MakeLeapsカード決済 / Stripe」を適用する場合、Stripeより「セキュリティ・チェックリストに基づく対策措置状況申告書」の提出を求められることがあります。必要事項を記載し、ご自身のStripeアカウント管理画面から申告書を提出してください。

申告書を提出しない場合、決済機能をご利用いただくことができません。

MakeLeapsの請求書支払いにのみStripeをご利用の場合は、以下の回答となります。

他のツールでもStripe請求をご利用されている場合は、お客様ご自身の利用状況に応じてご判断のうえ、ご回答をお願いいたします。(※Stripeアカウントをお持ちのお客様ご自身での回答が必要となります。弊社より回答を代理で提出することはできかねますので、あらかじめご了承ください)

なお、回答内容につきましては誠に恐れ入りますが、最終的には貴社でのご判断をお願いいたします。

◾️ 導入する方法について詳細をお知らせください

設問

回答

顧客はどのように決済を行いますか?

その他

オンラインサイト上に商品・サービスを掲載してますか?

いいえ


1. 管理者画面のアクセス制限と管理者のID/PW管理

設問

回答

管理者のアクセス可能な IPアドレスを制限する。IPアドレスを制限できない場合は管理画面にベーシック認証等のアクセス制限を設ける。

該当なし:管理者アカウントはありません

取得されたアカウントを不正使用されないよう二段階認証または二要素認証を採用する。

該当なし:管理者アカウントはありません

設問

回答

管理者画面のログインフォームでは、アカウントロック機能を有効にし、10回以下のログイン失敗でアカウントをロックする。

該当なし:管理者アカウントはありません


2. データディレクトリの露見に伴う設定不備への対策

設問

回答

公開ディレクトリには、重要なファイルを配置しない。(特定のディレクトリを非公開にする。公開ディレクトリ以外に重要なファイルを配置する。)

はい

Webサーバや Web アプリケーションによりアップロード可能な拡張子やファイルを制限する等の設定を行う。

はい


3. Webアプリケーションの脆弱性対策

設問

回答

脆弱性診断またはペネトレーションテストを定期的に実施し、必要な修正対応を行う。

はい

設問

回答

SQL インジェクションの脆弱性やクロスサイト・スクリプティングの脆弱性対策を行う。(例えば、最新のプラグインの使用(当該脆弱性が無いものが望ましい)やソフトウェアのバージョンアップを行う。)

はい

Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みであるか、ソースコードレビューを行い確認する。その際は、入力フオームの入力値チェックも行う。

はい


4. マルウェア対策としてのウイルス対策ソフトの導入、運用

設問

回答

マルウェア検知/除去などの対策としてウイルス対策ソフトを導入して、シグネチャ一の更新や定期的なフルスキャンなどを行う。

はい


5. 悪質な有効性確認、クレジットマスターへの対策

設問

回答

悪質な有効性確認、クレジットマスターに対して、セキュリティ・チェックリストに記載の対策を1つ以上実施している。

はい

※備考:MakeLeapsでは、当該設問に対する対策は設けておりません。ただし、MakeLeapsユーザーによる支払いはStripeを通じて処理されるため、Stripe社のヘルプページの記載の通り、「有効性確認の回数制限を設ける」対策が実施されているとのことです。そのため、本設問への回答は「はい」となります。


6. 不正ログイン対策

設問

回答

会員登録時の不正ログイン対策

以下にチェック

☑︎該当なし:会員のログイン機能はありません

ログイン認証時の不正ログイン対策

以下にチェック

☑︎該当なし:会員のログイン機能はありません

設問

回答

属性変更時の不正ログイン対策

以下にチェック

☑︎該当なし:会員のログイン機能はありません


◾️ 委託先情報

設問

回答

貴社に代わってどなたがセキュリティ対策を実行しますか?

委託先企業

設問

回答

委託先企業名

メイクリープス株式会社:MakeLeapsアプリのインフラ;ストライプジャパン株式会社:クレジットカードの決済インフラ

ASPカート事業者名

利用なし

PCI DSS準拠の審査を行ったQSA(Qualified Security Assessor)

MakeLeaps:適用外;Stripe:PCI レベル 1のサービスプロバイダーとしてPCI QSA から毎年認定を受けています。

こちらの回答で解決しましたか?