Luxlinerにおけるカード情報の取り扱い
Luxlinerでは、顧客(会員)がクレジットカード決済を行うなどした際に、カード情報を保存します。ただし、保存先はStripe(カード決済サービス)であり、Luxlinerはカード情報を保管しません。
また、カード決済処理の過程において、入力されたカード番号やセキュリティコードなどの重要情報は、Luxlinerを使った会員サイト(正確にはWebサーバー)に送信されることもありません。これらの重要情報は直接Stripeに送信されるため、Luxlinerがカード番号やセキュリティコードなどのデータを直接扱うことはありません。
また、Stripeの管理画面にアカウント管理者としてログインしたとしても、顧客のクレジットカード情報は一部しか見れないようになっているため、仕組み上クレジットカード番号やセキュリティコードが外部に漏れることはないようになっています。
上記を踏まえ、Luxlinerの申し込みページのクレジットカード決済フォームには以下の但し書きが記載されるようになっています。
Stripeとのカード情報のやり取りについて
顧客(会員)が会員サイトにログインして、登録内容変更画面を見ると、登録されているクレジットカードを確認することができます。(登録カードの変更・削除も可能)
また、既存会員が申し込みページにアクセスした際にも、登録されているクレジットカード情報が表示されます。
この際、LuxlinerはStripeと通信して、以下のカード情報を取得しています。
- カード番号(下4桁のみ)
- 有効期限
- カードの名義
なお、これらの情報もLuxlinerがどこかに保存することはなく、必要な場合のみStripeから取得します。
改正割賦販売法に対応(2018年)
2018年6月に改正割賦販売法が施行されました。この法律では、クレジットカードを扱う企業に対して以下の2つのうち、いずれかの遵守を求めています。
- PCI DSSへの準拠
- クレジットカード情報の非保持化
1.のPCI DSSとは、クレジットカード情報を扱う上でのセキュリティの国際基準で、カード情報を自分のサーバーで管理する場合にこの基準を満たす必要があるということです。
しかし、これはかなりのコストと専門的な知識を要するものであり、大企業でもない限り遵守するのはほぼ不可能です。したがって中小企業が取り得る選択肢は実質的に2.のカード情報の非保持化となります。
カード情報の非保持化とは、自分のサーバーでカード情報を「処理」したり、そもそもデータを「通過」させないということになります。