はじめて利用させていただきます。
当社でEC運営が初めてあり、対応方法について困っております。
shopifyに限った話ではないかもしれませんが、お知恵を貸していただきたくお願い申しあげます。
shopifyのヘルプサービスにも質問しております。
(質問内容)
・shopify Paymentのご利用の事業者様は、PCI-DSSを取得されておりますでしょうか?
①取得していない場合:「カード情報の非保持化」の対応をしているということでしょうか?
②取得している場合 :「SAQ」のどのレベルでの取得を求められているのでしょうか?
(「PCI-DSS-SAQ-A」でよいのか。)
shopify Payment利用規約 11.データセキュリティの条文に、「お客様は、要求に応じて、お客様がPCI-DSSおよび/またはPA-DSSを遵守していることを証明する文書を速やかにShopifyに提出することに同意するものとします。」とあり、どこまでの対応が必要なのか、対応に困っております。
https://www.icms.co.jp/pcidssprogram.html
https://www.sonypaymentservices.jp/column/security/non-holding-card-information.html
解決済! ベストソリューションを見る。
成功
公式回答は、お問い合わせいただいているサポートの回答をお待ちになった方が良いかと思いますが、
> shopify Paymentのご利用の事業者様は、PCI-DSSを取得されておりますでしょうか?
Shopifyは取得していますが、Shopifyを利用するマーチャント(事業者)は取得する必要はありません。
> 「カード情報の非保持化」の対応をしているということでしょうか?
はい、マーチャントはカード情報は一切入手できませんし、Shopifyは完全なクラウドサービスですので、事業者様の用意するサーバーなどにカード情報が渡ることもありません。
> 「お客様は、要求に応じて、お客様がPCI-DSSおよび/またはPA-DSSを遵守していることを証明する文書を速やかにShopifyに提出することに同意するものとします。」
こちらは、Shopify Paymentが内部で利用している決済サービスの規約に順じたものであり、「要求に応じて」とあるので、必ず必要である意味ではないと思います。