クレカ決済システムに不正アクセス受けサービス停止 メタップス「原因や流出内容は調査中」
コメント
注目のコメント
年明け頃から、会費ペイの取り扱いを一時中止しましたという声があったようですが、本件が原因ということでしょうか。
プレスリリースを見るに、メタップスペイメント社は、トークナイゼーションした上でPCIDSS準拠しているようなので、フィッシングや決済画面でのスニッフィングを別にすれば、仮に加盟店やPSP側のフロントシステムに侵入されたとしても、PANをそのまま持ち出す事はできないはずです。
PANを扱わざるを得ないバックエンドの部分にまで侵入されていたのだとすると別ですが、詳細は調査報告次第ですね。
しかし、PCIDSSに準拠していても、PANが流出するとなると、PANを取り扱う事業者に対してより強固なセキュリティ対策が求められるようになるかもしれませんね。PCIDSSに準拠していれば大丈夫。と思いたい。実際運用していた頃怖かったのはログ。DBはまぁ当たり前に対応を行うとして(やっていなかった事業者もありましたが。)、漏れがちなのがログ。全てのログと、作業内容、作業者はっきりさせて、対応打つのはなかなかしんどかった記憶が。
中の人頑張ってください。