PCI DSS対応について

最新版Zen Cartについて不具合が見つかった場合はこちらで情報を共有してください。内容によっては今後の開発の参考とさせていただきます。
アバター
yama
記事: 296
登録日時: 2005/9/18 01:32
お住まい: 福岡県福岡市早良区
連絡を取る:

PCI DSS対応について

投稿記事by yama » 2013/6/09 08:07

viewtopic.php?f=13&t=5982
上記トピックで、管理画面のタイムアウト設定まわりがなんだか変という話があります。

http://zen-cart.jp/pukiwiki/index.php?% ... 5%AF%2F100
文言に関しては、経緯を調べてみると上記のような感じでした。

それで、現時点で値が三択になっていて、しかも上限が15分になってるのは何か間違ってるのではないかと思って調べてみたのですが、1.5では意図的にこのようにしてる感じです。

http://www.atmarkit.co.jp/fsecurity/spe ... dss00.html
Zen Cartは1.5になってからPCI DSS準拠になったという話を聞いてましたが(PA-DSSとかだった気もする。このへん疎いです)、それが関係しているみたいです。担当者がパソコンの前を長時間離れていると、知らない間に誰かにデータをこっそり抜かれてしまう可能性が高くなるので、そのような事故が起きる可能性を低くすることを優先していることと思います。

http://www.azport.jp/pcidss-2.html
パスワードまわりに関しては、上記に分かりやすい箇条書きで書いてありました。

実際15分というのは短くて不便だと思いますし、過去のZenCartを見ても逆に15分以下に設定できないようにしてあったくらいですが、PCI DSS準拠で変わったということと思います。コードを追ったところ、システムを改造しない限りは、設定変更やconfigの書き換えなどではこれを変えることはできない作りになってました。

「直近4回使用されたパスワードは、新しいパスワードとして使用できないようにする」とかは、CMSの実装としては面倒な処理になると思いますが、これもちゃんと実装されてました。

Zen Cart1.5を採用することで、管理者目線では細かい部分が神経質になって使いにくくなるかもしれませんが、自社のサイトでは(CMSに関しては)PCI DSSに則った安全な情報管理を行なっていますというアピールができる・・ということと思います。
(そんな簡単な話ではない?)
アバター
yama
記事: 296
登録日時: 2005/9/18 01:32
お住まい: 福岡県福岡市早良区
連絡を取る:

Re: PCI DSS対応について

投稿記事by yama » 2013/6/10 17:10

https://github.com/zencart-ja/zc-v1-ser ... /README.md
上記を見ると、1.5.0はPA-DSSの認証を受けているけど1.5.1は認証を受けてないといったことが書いてあるようです。
アバター
yama
記事: 296
登録日時: 2005/9/18 01:32
お住まい: 福岡県福岡市早良区
連絡を取る:

Re: PCI DSS対応について

投稿記事by yama » 2013/7/12 17:14

http://www.ark-web.jp/blog/archives/201 ... a_dss.html
アークウェブさんから詳細な解説記事が出ました。Zen Cartに関する話として解説されているので、分かりやすいと思います。
アバター
yama
記事: 296
登録日時: 2005/9/18 01:32
お住まい: 福岡県福岡市早良区
連絡を取る:

PCI DSS対応について

投稿記事by yama » 2016/3/02 14:22

> ■パスワードは少なくとも90日ごとに変更する。
> ■直近4回使用されたパスワードは、新しいパスワードとして使用できないようにする。
> ■セッションのアイドル時間が15分を超えた場合、パスワードの入力を再び要求する。

v1.6では、上記は設定で無効にできるようになるみたいです。

“1.5.x公式版の不具合報告・改善要望” へ戻る