支払いページでサードパーティのリソースを使用できますか?

支払いページにサードパーティのリソース(Javascript、画像、その他ドキュメントタイプ)を含めると、加盟店や買い物客にとっての重大なリスクが発生し、またPCI DSSに準拠していないとみなされる可能性があります。

外部でホストされるリソースは侵害される可能性があり、また、加盟店のビジネスと敵対するように設計されている場合すらあります。このようなリソースが支払いページに組み込まれた場合、カード所有者データなどの買い物客の情報が攻撃者により侵害される可能性があります。Adyenは、世間を騒がせる事例は数多くあり、場合によっては数百万人規模の買い物客に影響が生じていることを懸念しています。

外部リソースを適切なコンプライアンスドキュメントなしで使用すると、HPP、CSE、特定のCheckout統合でPCI DSS範囲縮小が適用されなくなります。認定PCI DSSレベル1またはレベル2のサービスプロバイダである場合を除き、PCI DSSでは、支払いプロセスでサードパーティのサービスを利用することが許可されません。また、Adyenは、すべてのサードパーティサービスプロバイダをSAQで報告し、Visaに登録するよう義務づけています。

加盟店の支払いページで注意すべきサービス:
• 分析ツール
• 自動翻訳サービス
• チャットツール
• タグマネージャー
• 他のシステムやサードパーティから提供されるJavascriptおよびページレイアウトユーティリティ
• 他のシステムやサードパーティから提供されるフォント

これらのサービスを、加盟店のサイトやショッピングカート上で使用することはできますが、カード所有者のデータがリスクにさらされるため、支払いページで使用することはできません。

これらの機能のいくつかは、より安全な方法で提供できます。これに関する詳細は、支払いページでサードパーティのサービスを安全に利用するにはどうすればよいですか?の記事をご覧ください。

支払いページのコンプライアンスとセキュリティを維持する責任は加盟店にあります。

この記事は役に立ちましたか?
1人中0人がこの記事が役に立ったと言っています