Systeme.io ユーザー向け|Stripe「セキュリティ・チェックリスト」回答ガイド
このページは Systeme.io+Stripe Checkout/Payment Element の運用を想定した回答例を一枚に整理したものです(^_^) 実際の運用に合わせて社名や文言を調整してくださいね(^_-)-☆
0.導入方法の詳細(先頭の質問)
1.管理者画面のアクセス制限と ID/PW 管理
| 設問 | 推奨回答 | 補足 |
|---|---|---|
| IP 制限またはベーシック認証 | 該当なし | 自社製の管理画面を持たず、Systeme.io/Stripe のSaaS管理画面のみのため該当なしとします 代替として二要素認証を必須化します(*´▽*)❀ |
| 二段階認証(二要素認証) | はい | Stripe/Systeme.io のアカウントに 2FA を有効化します(^_^) |
| ログイン失敗時のアカウントロック(10回以下) | はい | Stripe側に標準搭載 運用上も不審通知を確認しますd( *^ω^*)p! |
2.データディレクトリ露出による設定不備対策
| 設問 | 推奨回答 | 補足 |
|---|---|---|
| 公開ディレクトリに重要ファイルを置かない | はい | 重要情報は公開領域に配置しません Systeme.io 管理下で提供します(^_^) |
| アップロード拡張子やサイズの制限 | はい | アップロードは認証済みユーザーに限定し危険拡張子を禁止します(^-^)v! |
3.Web アプリケーションの脆弱性対策
| 設問 | 推奨回答 | 補足 |
|---|---|---|
| 脆弱性診断/ペネトレーションテスト | はい | 基盤は Stripe/Systeme.io 側で定期実施 利用者側では最新化と設定適正化を行います(*^o^*) |
| SQLi/XSS などの主要対策 | はい | プラットフォームで対策済み 追加フォーム等は入力値検証・エスケープを行います(^_^) |
| 自社開発のセキュアコーディング/コードレビュー | 該当なし | 自社でWebアプリを開発していない場合は該当なしでOKです(^^ゞ |
4.マルウェア対策(ウイルス対策ソフトの導入・運用)
例 Windows Defender/Mac 標準機能+定期スキャン USB 等の外部媒体は必要最小限に制限しますo(ˊ▽ˋ*)o
5.悪質な有効性確認(クレジットマスター)対策
不審IP/レート制限
エラー詳細の非表示
3Dセキュア(SCA)
有効性確認回数の自動制限
カードテスト被害歴がある場合は Radar ルールの強化や CAPTCHA 併用を備考欄に追記します(^_^)
6.不正ログイン対策(各グループで少なくとも1つ)
会員登録時
Systeme.io+Stripe Checkout で入力と本人確認が行われるためこの組み合わせが最適です(^-^)v!
ログイン認証時
会員ログイン機能がない場合でも 3D セキュアを本人認証として示せます(^_^)
属性変更時
顧客が自分でプロフィールを編集するマイページが無い運用では該当なしです(*´▽*)❀
7.委託先情報(ここが迷いやすい)
委託先企業名(例)
- Stripe, Inc.(決済処理・不正検知・SCA 等)
- ITACWT Limited(systeme.io)(サイト/LP ホスティング・顧客管理)
※ 請求書や契約画面で表示される実際の法人名を優先して記載してくださいね(^_-)-☆
ASP カート事業者名
systeme.io(ITACWT Limited)
PCI DSS 準拠の QSA
適用外(加盟店側での QSA 監査は要求されません)
8.提出前の最終チェック
アカウント
- Stripe/Systeme.io の 2FA 有効
- 管理者の最小権限と不要ユーザーの無効化
- ログイン通知や端末レビューの実施
端末とサイト
- ウイルス対策 自動更新+定期フルスキャン
- HTTPS 常時化 不要ポート閉塞 基本ヘッダ設定
- アップロード拡張子の制限
決済と不正対策
- 3D セキュア(SCA) 有効
- Stripe Radar ルール確認(高リスク時は自動拒否)
- 必要に応じて CAPTCHA/レート制限