初めに、ペイジェントに申し込みをすると審査が入ります。
審査の時にいくつかの書類の提出も求められますが、その一つの
「審査資料及びセキュリティ申告書(役務用)」
の書き方が、少し専門的になるので、ご説明します。
申告書はエクセルで送られてきます。
1、EC加盟店/事業者名称等
1は基本情報だけなので簡単だと思います。
申請番号ですが、ペイジェントに申し込みをして届いたメールに記載してあります。
2、重点対策
ここの重点対策ですが、運営しているサイトのセキュリティの確認をされています。
どれも最低限のセキュリテイが出来ているかのチェックなので、基本全部にチェックをつけて下さい。
それぞれ簡単に説明します。
・管理者のアクセス可能なIPアドレスを制限する。
これはサイトの管理人に制限をかけているかです、管理画面に入れる人のIPアドレスを制限しているか、又は管理画面にベーシック認証をかけているかです。
・二段階認証または二要素認証を採用する
管理画面に入るのに、ID /パスワード以外の認証を入れていればOKです。
・6回以上のログイン失敗の際はアカウントをロックする
これもよくあるセキュリティです、ログインに6回失敗したらアカウントを使えなくします。
・公開ディレクトリには、重要なファイルを配置しない。
公開ディレクトリというのは、わかりやすく言うとブラウザでアクセス出来る場所かどうかです。
データベースのパスワード等を置いていなければOKです。
・アップロード可能な拡張子やファイルを制限する等の設定を行う。
これも基本ですが、画像ファイルをアップする時は画像以外は弾く、PDFファイルをアップする箇所はPDF以外は弾く様になっていればOKです。
・脆弱性診断をする
脆弱性診断はネットで無料のサービスが色々あります、そのチェックを定期的にやっていればOK
・SQLインジェクションの脆弱性やクロスサイトスクリプティングの脆弱性対策として、当該脆弱性の無いプラグインの使用やソフトウェアのバージョンアップを行う。
セキュリティの基本ばかりです。
古いソフトを使わない、サーバーのセキュリティをONにしていれば大丈夫です。
・Webアプリケーションを開発またはカスタマイズされている場合には、セキュアコーディング済みではあるか、ソースコードレビューを行い確認する。その際には、入力フォームの入力値のチェックも行う。
これはプログラムを自分達で書いた場合にちゃんとチェックをしているかです。
チェックしない事は基本ないです。
3.補足事項
最後に捕捉事項です。
ここはセキュリティのチェックが全部入っていれば空欄のままで大丈夫です。
専門的な用語が多数出てきますが、WEBの人間なら誰でもわかるような基本的なセキュリティばかりです。
ここの審査で引っかからないようにしましょう。