強固なセキュリティ対策
ゼウスではサービス提供開始以来、お客様に安心してご利用いただけるサービスを提供してまいりました。
個人情報の重要性が叫ばれる以前から情報管理部門を設置するなど徹底した管理体制の構築に取り組んでいます。
ゼウスは堅牢な決済システムと先進的な情報管理体制で、全てのお客様の大切な情報を守ります。
世界標準のデータセキュリティ基準を満たした決済システム
ゼウスは、クレジットカード決済の保護、処理、伝送に関する全ての決済システムにおいて、国際基準である「PCIデータセキュリティ基準(PCI DSS)Version4.0」に完全準拠している決済事業者として認定されています。
また、ペイメントカードデータ業界のグローバルセキュリティ基準「PCI DSS」を策定している国際標準化団体「PCI SSC」の参加企業(Participating Organizations)国内8社によって発足した「PCI SSC PO Japan連絡会」に、正会員として参加しています。
ゼウスが取得しているセキュリティ規格
プライバシーマーク制度は、日本工業規格「JISQ15001個人情報保護マネジメントシステムー要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者などを認定する制度です。
ゼウスでは、早期よりプライバシーマーク取得に取り組んでいます。プライバシーマーク(Pマーク)下部にある登録番号に付いています(nn)のnnは連続で付与を受けた回数を示しています。この数は信頼を表す数値ともいえます。
ゼウスは、ISMS(情報セキュリティマネジメントシステム)認証基準であるISO/IEC 27001(JIS Q 27001)の認証を取得しております。
ISMSは「Information Security Management System」の略で、組織が扱うさまざまな情報資産の保護、各種関係者からの信頼を獲得するための「セキュリティ体制の確保」を目的としたフレームワークとなります。
ゼウスのセキュリティに対する取り組み
ゼウスはすべてのお客様に安心、安全な決済サービスを提供すべく以下のようなセキュリティに対する取り組みを行っております。
クレジットカード情報の漏洩防止
最新版PCI DSSへの完全準拠
2007年10月にクレジット業界における国際基準であるPCI DSS Version1.1に完全準拠して以降毎年継続しており、現在は最新のVersion4.0に完全準拠しております。
PCI DSSは「Payment Card Industry Data Security Standard」の略であり、クレジットカード決済の保護、処理、伝送に関する決済システムの国際基準です。
安心なネットワークとシステム
外部からの攻撃に対する防御を目的として、業界で認知された構成基準(※1)を基に、サーバ・ネットワーク機器などのセキュリティを堅牢に設計し運用を行っています。
- ※1 下記のような運用を行い、外部侵入を防御しています。
-
- 1. 重要システムへのアクセスにおける多要素認証の実施
- 2. 業界で認知された強力な暗号化プロトコルの使用
- 3. 必要最低限の通信のみを許可したファイアウォールの導入
- 4. 安全なコーディングガイドラインに基づくアプリケーション開発
- 5. 不正アクセス監視(IDS(※2))の実施
- 6. 各機器にデフォルトのパスワードを使用しない
- 7. 不要なサービスの停止
- 1.
- ※2 IDSとはIntrusion Detection System略で、侵入検知システムのことをいいます。
お客様のクレジットカード情報の保護
お客様のクレジットカード情報などの重要情報は、必要最小限の限定されたメンバーのみに閲覧が許可され、安全に運用・管理しています。
お客様の重要情報が格納されたサーバは、カード認証などで入退出が厳格に管理されたサーバルーム内のラックに施錠され、物理的にアクセス困難な環境で管理されています。
なお、その重要情報には限定された責任者のみにアクセスが許可されています。
また、ゼウスの決済サービスを利用することにより、事業者様はクレジットカード番号を非保有とする運用が可能となります。
クレジットカードの不正利用防止
長年の運営で蓄積された不正利用防止の仕組み
ネガティブチェックデータベース(ゼウス独自機能)による決済状況の監視や個人情報照合を行ったり 、独自の不正利用検知システムによりトランザクションごとの管理を行い、不正取引の発生を大幅に削減しております。
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画
2020年オリンピック・パラリンピック東京大会の開催等を踏まえ、国際水準のクレジット取引のセキュリティ環境を整備するため、クレジット取引セキュリティ対策協議会(※3)から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」が発表されました。本実行計画では、クレジットカード決済をご利用の事業者様に対してクレジットカード情報の非保持化またはPCI DSS準拠完了などが求められています。
ゼウスでは、クレジットカード情報の非保持化対応や不正使用対策など事業者様に最適なソリューションを提供します。
- ※3 クレジットカード各社をはじめ、決済代行事業者や加盟店、ネットワーク事業者、POSメーカーなど幅広い事業者と経済産業省で構成された協議会で、2015年3月に発足しました。2020年のオリンピック・パラリンピック東京大会開催に向け、キャッシュレス決済を促進するために、世界最高水準のセキュリティ環境を整備することを目的としています。
ITセキュリティの専門組織
ISO27001(ISMS)適合認証を取得した安全なセキュリティ運用
情報セキュリティマネジメントシステムに関する国際規格ISO/IEC 27001(JIS Q 27001)の認証を2005年5月に取得して以降、安全なセキュリティ運用を実施し、継続して認証を取得しています。
最新の脆弱性情報の収集および、適用
国内外の最新の脆弱性情報を日々収集し、自社システムに該当する脆弱性が発見された場合、計画的なパッチ適用や当該ソフトウェア・ミドルウェア使用中止判断などの対処を適宜行い、安全なシステム環境を維持しております。
システム不正利用のリアルタイム監視
システムをリアルタイム監視し、重要データへのアクセスをチェックしています。
重要データへアクセスする場合には事前申請を義務付けており、事前申請の内容と異なるアクセスを検知した場合にはセキュリティ担当より本人に直接ヒアリングを行っています。(第三者チェック)
また、社内オフィスやサーバルームには複数の監視カメラを設置すると共に録画を行い、その他の複合的な対策により内部不正による情報漏洩、不正利用を防止しています。
第三者機関による定期的な脆弱性スキャン
内部における脆弱性スキャンのほか、外部からの脆弱性スキャンを第三者機関(セキュリティ専門会社)に委託し、定期的に実施しています。
適切にセキュリティホール対策を行うことで、安全なシステム環境を実現しています。
システム停止の防止
システムの完全二重化
システムは完全冗長化し、ハードウェア障害などが発生してもサービス停止しない仕組みを具備しています。
災害に備えたディザスターリカバリを設計
メインサイトのほかに、遠隔地に災害対策サイトを有し、大規模災害時にメインサイトが被災した場合であってもサービス停止を防ぐ備えをしております。(ディザスターリカバリ)
JDCC(※)の基準に則った安全なデータセンターへのシステム設置
データセンターはJDCCのティア3相当を実現しており、 耐震構造はもちろん、災害に強い建物となっております。
また、サーバルームの電気設備はUPSおよび、自家発電装置により電源喪失時にも対応しております。
空調設備は24時間365日、サーバールームの温湿度異常などを監視します。
通信設備は複数の通信事業者からの複数の接続ルートを具備し、通信事業者に起因するサービス断を防ぐ設計となっております。
- ※ JDCCとはJapan Data Center Councilの略で、日本データセンター協会のことをいいます。
事業者様セキュリティ対策支援
ゼウスでは、事業者様のセキュリティに対する不安の軽減やコスト削減に繋がるようなサービスを提供しております。
関連会社に、総合セキュリティ会社 株式会社ブロードバンドセキュリティがおり、事業者様の情報セキュリティ強化に向けた体制づくりや認証取得支援、脆弱性診断からインシデント発生時のサポートまでワンストップで提供します。
また、ネットワークセキュリティサービスなど多岐にわたるサービスで、事業者様の安全をバックアップします。