安全な支払い: 電子商取引の標準と認証
Certyneo チーム
ライター — Certyneo · Certyneo について
安全な支払い: 電子商取引の標準と認証
取引の安全性は、どの電子商取引サイトにとっても戦略的課題となっています。フランス銀行によると、オンライン決済での不正行為率は2023年に0.193%に達し、現地での決済の約10倍に達したという。このリスクに直面すると、販売者は技術標準と規制認証の厳格なエコシステムに依存する必要があります。これらの基準を理解することはオプションではありません。これは、消費者の信頼と活動の持続可能性を条件付ける法的、商業的、保険上の義務です。
PCI DSS: カード セキュリティの世界的基盤PCI セキュリティ標準協議会 (Visa、Mastercard、American Express、Discover、JCB) によって発行されたPCI セキュリティ標準協議会 (Visa、Mastercard、American Express、Discover、JCB) によって発行された
Payment Card Industry Data Security Standard (PCI DSS)
- は、銀行カード データを保存、処理、送信するあらゆる主体にとって必須のリポジトリを構成します。バージョン 4.0 は 2024 年 3 月 31 日から完全に適用され、ネットワークの保護、データの保護、脆弱性の管理、アクセスの制御、システムの監視、セキュリティ ポリシーの維持という 6 つの目的に分割された 12 の主要要件を課しています。コンプライアンスのレベルは年間トランザクション量によって異なります。
- コンプライアンスのレベルは年間トランザクション量によって異なります。レベル 1 ⬥⬥⬥: 年間 600 万件以上のトランザクション — QSA (資格のあるセキュリティ評価者) による年次監査
- レベル 2 ⬥⬥⬥: 100 万から 600 万件 — SAQ 自己評価 + 四半期ごとの ASV スキャン⬥⬥⬥ レベル 3 および 4 ⬥⬥⬥: 100 万未満 — 簡易 SAQ違反した場合、月額 5,000 ユーロから 100,000 ユーロの罰金が科せられるか、カードの受け入れ承認が失われる場合もあります。
違反した場合、月額 5,000 ユーロから 100,000 ユーロの罰金が科せられるか、カードの受け入れ承認が失われる場合もあります。
3D セキュア 2 と強力な認証 (SCA)
⬥⬥⬥ 欧州指令 PSD2 (PSD2)およびその技術規則 RTS により、⬥⬥⬥ 強力な顧客認証 (Strong Customer Authentication)およびその技術規則 RTS により、⬥⬥⬥ 強力な顧客認証 (Strong Customer Authentication)が 5 月 15 日から義務化されました。 2021年フランス。これは、知識 (パスワード)、所有物 (スマートフォン)、および固有性 (生体認証) という少なくとも 2 つの要素の組み合わせに基づいています。⬥⬥⬥ 3D セキュア 2.x
(EMV 3DS) プロトコルは、従来のバージョンに置き換わります。 100 を超えるコンテキスト データ (デバイスの指紋、履歴、バスケット) を使用したリアルタイムのリスク分析が可能になり、低リスクのトランザクションで「スムーズな」移行が可能になります。結果: 換算率は維持され、不正行為が発生した場合の責任はカード発行会社に移転されます (責任転嫁)。(EMV 3DS) プロトコルは、従来のバージョンに置き換わります。 100 を超えるコンテキスト データ (デバイスの指紋、履歴、バスケット) を使用したリアルタイムのリスク分析が可能になり、低リスクのトランザクションで「スムーズな」移行が可能になります。結果: 換算率は維持され、不正行為が発生した場合の責任はカード発行会社に移転されます (責任転嫁)。トークン化、暗号化、および追加の認証
⬥⬥⬥ トークン化
は、機密データを悪用不可能な識別子に置き換え、PCI DSS の範囲を大幅に縮小します。暗号化TLS 1.2 最小TLS 1.2 最小(TLS 1.3 推奨) およびHSM (ハードウェア セキュリティ モジュール) 認定 FIPS 140-2 レベル 3と組み合わせることで、現在のベスト プラクティスを構成します。と組み合わせることで、現在のベスト プラクティスを構成します。
その他の認証により、マーチャント サイトの信頼性が強化されます。
- ISO/IEC 27001 ⬥⬥⬥: 情報セキュリティ管理SOC 2 Type II ⬥⬥⬥: クラウド プロバイダーにおける運用管理
- SOC 2 Type II ⬥⬥⬥: クラウド プロバイダーにおける運用管理PSP 認証 ⬥⬥⬥決済機関向けの ACPR
- eIDAS ラベル適格電子署名用
- 適格電子署名用フランスおよびヨーロッパで適用される法的枠組み
PSD2 以外にも、オンライン支払いを規定するいくつかの文書:
金融金融法典 (条項 L.133-1 以降) ⬥⬥⬥は、詐欺行為が発生した場合の責任を定めます。金融金融法典 (条項 L.133-1 以降) ⬥⬥⬥は、詐欺行為が発生した場合の責任を定めます。GDPR (EU 規則 2016/679)では、収集される銀行データを最小限に抑えることが求められています。DORA 規制DORA 規制(2025 年 1 月から適用) は、金融関係者のデジタル運用の回復力を強化します。 CNIL は定期的に違反を制裁しており、2023 年には、CVV の非準拠ストレージとして複数の電子小売業者が摘発されました。
結論
支払いのセキュリティは、規制上のチェック項目をチェックするだけではなく、コンバージョン率と評判への直接的な投資です。 PCI DSS 4.0 準拠のサイトは、3DS2 とスマートな除外およびトークン化を統合し、不正行為 (最大 -80%) とカート放棄の両方を削減します。決済プロバイダー (PSP) を毎年監査し、コンプライアンス文書を最新の状態に保つことは、本格的な電子小売業者にとって不可欠な反射神経です。