セキュリティの概要
このページで扱うトピック
Opn Paymentsのセキュリティ対策
Opn Paymentsは責任のある行動をし、加盟店から託された機密情報を最高レベルのセキュリティで保護します。決済インフラプロバイダーとして、最高レベルのセキュリティを維持することにコミットし、業界の厳しい要件に常時対応しています。
コンプライアンスと業界標準への準拠
PCI DSS
Opn PaymentsはPCI DSSの最高レベルであるレベル1に準拠しています。決済処理分野で求められるセキュリティ基準のなかで、最も厳しいレベルの審査に合格しています。 Opnの準拠状況は、Visa’s Global Registry of Service Providersからご確認いただけます。PCI DSSについて詳細は、www.pcisecuritystandards.org/pci_securityをご覧ください。
NIST
Opn Paymentsの情報セキュリティプログラムは、米国国立標準技術研究所(NIST)が策定したサイバーセキュリティフレームワークのガイドラインを遵守しています。大手法人加盟店の厳しい要求にも応えられるよう、強固なセキュリティ対策を行っています。
データ保護
Opnでは、PDPA、GDPRなど関連するあらゆる規制の枠組みに従い、プライバシーおよびデータを保護するための高度な方法、プロトコル、業界をリードする取り組みを総合的に採用しています。Opnの継続的な取り組みについては、プライバシーポリシーのページをご覧ください。
情報漏えいの可能性を減らすため、規制および業務要件を遵守しつつ、収集するデータを最小限に抑えるデータ保持ポリシーを設けています。
製品のセキュリティ
Opn Paymentsの製品設計およびインフラに関する意思決定において、セキュリティは指針となる重要な検討事項の一つです。
認証
Opn Paymentsのダッシュボードは多要素認証(MFA)に対応しており、安全なアカウントプロビジョニングを通して利用者の登録が行われます。利用者からサポートリクエストがあった際には、必ず本人確認を行った上でサポートを提供しています。
アクセス制限
ダッシュボードでは、従業員が業務に必要な範囲の情報にアクセスできるよう、権限を詳細に割り当てることができます。また、アカウントに関する重要な変更やアクティビティは監査ログに記録されます。セッションの処理や、誰がアカウントにいつ・どこでログインしたのかなどを確認できます。
安全な接続
Opn Paymentsでは、ウェブサイトとダッシュボードを含む、Transport Layer Security (TLS)を採用するすべてのサービスにおいて、HTTPSの利用を厳格に実施しています。発行された証明書、認証局、サポートしている暗号など、実装のあわゆる側面を慎重に評価しています。
すべてのサーバー間通信は、相互トランスポート層セキュリティ(mTLS)によって保護されています。古いバージョンまたは安全性の低いバージョンのTLSを使ったリクエストを積極的にブロックし、円滑な接続のために最低でもTLS 1.2の利用を義務付けています。
開発
エンジニアはプロジェクトの初期段階でセキュリティの専門家と協働し、セキュリティ要件を収集し、脅威のモデリングやセキュリティのベストプラクティスに目を通すなどの作業を行い、新製品が安全な方法で開発されるように努めています。
すべてのコードは複数の関係者によるレビューと自動テストを経ています。
安全な開発パイプラインを使用して、あらゆる変更についてセキュリティの脆弱性をスキャンしています。静的解析、依存関係スキャン、自動脆弱性スキャナを使用し、変更がバグを誘発しないことを確認しています。
脆弱性の情報収集とリワードプログラム
製品の安全性維持に貢献した無所属のセキュリティ調査者に対してリワードを提供する、バグ報告リワードプログラムを実施しています。参加方法やバグの報告方法について詳しくは、HackerOneのページをご確認ください。
インフラと業務手順
脆弱性スキャンと侵入テストを定期的に実施し、問題を迅速に特定できるようセキュリティ会社に第三者評価を依頼しています。システムは常時監視されており、加えてサーバーのOSは潜在的な脅威からシステムを保護できるよう、セキュリティのサポート期間が終了するはるか前から積極的にアップグレードを行っています。
カードデータのセキュリティ環境
Opnのシステムでは、送信中および保存中の機密データを暗号化します。クレジットカードのプライマリアカウント番号(PAN)を保存、復号化、送信するためのインフラは、隔離された環境で実行され、弊社の他のサービスと認証情報を共有することはありません。
この隔離された環境へのアクセスは限られたエンジニアに制限され、定期的に見直されます。
カード番号はすべてAES-256で暗号化され、トークン化されます。復号化キーは別の暗号化モジュールに保存されます。他の社内サーバーから、プレーンテキストのカード番号を取得することはできません。
社内のセキュリティ環境
従業員の認証には、SSO、ハードウェア型トークンを使用した2要素認証(2FA)、弊社支給の機器からのVPNを使用したmTLSを活用しています。機密性の高い社内システムや標準的な業務範囲外のシステムにアクセスするには、追加の許可が必要です。
監査ログのモニタリングを通して異常を検知し、侵入や不審な行動を監視しています。弊社支給のノートパソコンに関する情報を常時収集し、悪意のあるプロセス、不正ドメインへの接続、侵入者の活動を監視しています。
アクセスコントロール
システムや情報へのアクセス許可に関しては、正式なプロセスを設けています。定期的に非アクティブなアクセスを見直し、削除しています。また、何が誰によってアクセスされたかを判断するために、継続的にアクティビティをモニタリングしています。
セキュリティに関する意識と文化
全従業員が月1回のセキュリティ意識向上プログラム、エンジニアは安全なソフトウェア開発トレーニングを受けています。社内でフィッシングキャンペーンを実施し、従業員全員がフィッシングに気付けるようテストしています。また、社内全体のセキュリティに関する意識を強化するために、セキュリティチャンピオンプログラムなど、さまざまなリソースを提供しています。
Opn Paymentsのセキュリティ対策について、ご質問がある場合、詳細をお知りになりたい場合は、security@opn.oooまでご連絡ください。