ソフトウェアのアップデート
サーバーや管理端末、Webアプリケーションなど、ECサイトを構成する複数箇所でソフトウェアを利用しているはずです。こうしたソフトウェアの最新バージョンへアップデートすることで、脆弱性対策を実施することができます。
アップデート実施後は、システムへの影響がないことを動作検証によって確認することも重要です。
各種ポイントのセキュリティ対策
管理者画面や管理端末へのアクセス制限、Webアプリケーションにおける不正ログイン対策、個人情報を管理するDBサーバーにおける安全管理措置、ログイン時の二要素認証の導入、ドメイン名の正当性証明や通信の暗号化など、必要なポイントで必要なセキュリティ対策を講じることが求められます。
クレジットカード情報の漏えい対策は、クレジット取引セキュリティ対策協議会による「クレジットカード・セキュリティガイドライン」にまとまっています。こちらに従うことで、カード情報の非保持化やカード決済のEMV 3D セキュアの導入など最新のセキュリティ対策をとることが可能です。
バックアップデータの取得と保管
WebサーバーやWebアプリケーションなどにおけるログ・取引データをはじめ、必要なデータのバックアップを取得して保管します。
これは、万が一顧客情報の漏えいが発生した際、原因究明を行うのに必要な情報です。ガイドラインでは、ログやバックアップデータを過去1年間保管しておくよう求めています。