セキュリティについてさらに詳しく
安全な決済データ
PCIのレベル1に準拠
カード処理システムはPCI Data Security Standard(PCI-DSS)のレベル1に準拠しています。
コーディングに関する注意事項
Web開発は、安全なコーディングに関する業界標準の指針(OWASPの推奨など)に従っています。
体系的なセキュリティの更新
サーバーや機器にはセキュリティ更新や修正プログラムを随時迅速にインストールしています。
コンプライアンスに準拠したデータ保存
Squareは、カード番号、磁気情報、セキュリティコードをクライアント端末に保存することを禁止しています。
強力な暗号化制御
データの転送では、業界標準の暗号プロトコルとメッセージフォーマット(SSL/TLSやPGPなど)を使用しています。
安全なハードウェア
Squareの製品は安心設計。箱から取り出した時点で、すべてが暗号化機能を備えているので、エラーが発生する可能性のある複雑なセキュリティ設定は必要ありません。最も重要な製品のセキュリティに関しては、安全面でSquareの管理が及ばない、第三者のベンダーやサービスに業務を委託していません。設計、構築、管理はすべて社内で行っています。
商品の効率的な提供
商品の提供のあらゆる段階にセキュリティチームが関与しています。ソフトウェアと周辺機器の開発から工場のサプライチェーン、継続的なサーバーの運用と保守に至るまで、製品の各段階でセキュリティに関するベストプラクティスを実施するために割り当てられたSquareの専属対応チームがあります。
安全な情報の引き渡し
すべての機密データは送信時も格納時も暗号化されています。暗号化(SSL/TLS)が適切に設定されていない限り、サーバーからの接続は許可されません。
エンジニアリング最優先の方針
Squareのセキュリティチームには管理者ではなくエンジニアが配置されています。当社独自の情報セキュリティツールはすべて、エンジニアにとって使いやすく、簡単に導入できるように効率化され、機密性の高い資産やデータの保護を促進するために構築されています。エンジニアは、次のような重要な領域すべての監視と保守を担当しています。
- ログの管理
- プラットフォームとネットワークの監視
- IDとアクセスの管理
- アプリケーションと周辺機器のセキュリティ
- 暗号化と鍵の管理
安全な組織体制
侵入テスト
Squareでは、アプリケーション、インフラストラクチャ、インシデント対応計画を常にテストしています。定期的にテスティングラボに依頼の上、ストレステストを実施する領域において当社のセキュリティ侵害を試みるテストを実施しています。
脅威に関する情報
ENJPやFS-ISACなどの業界団体や米国政府機関を活用して、新たな脅威、不正利用、エコシステムの変化を常に把握しています。
一般向けのバグ報奨金制度
Squareのセキュリティは、計画に基づいて実施される侵入テストに加え、報奨金制度を利用して一般の研究者によって毎日評価されています。当社では、報奨金と引き換えに潜在的な脆弱性のある領域を特定するため、世界中に向けてセキュリティ評価への招待状を24時間365日発行しています。脆弱性を発見したと思われる研究者の方は、Bugcrowdページでご報告ください。
コード設計のレビュー
Squareは、リスクの特定のためソースコードの自動分析を設定しています。新しいコードを書くときは、ゲート型の品質管理プロセスとステージングテストを実施してから運用に移行します。このプロセスを通じて、自動化されたテストにより新しいコードのセキュリティ脆弱性を検証します。
情報セキュリティガバナンス
弊社は業界におけるリーダーシップを発揮するべく、最高水準の情報セキュリティガバナンスに取り組んでいます。この理由から、情報セキュリティマネジメントシステムの外部審査を受け、定評あるISO 27001認証を取得いたしました。弊社は引き続き、加盟店さまおよびパートナー各社にあらゆる面で安心して製品やサービスをご利用いただけますよう尽力いたします。
内部セキュリティ
- アプリのデータや暗号鍵をはじめ、機密性の高いデータは、必要なときに必要最小限のデータのみにアクセスする方法で厳格に管理しています。
- Squareでは、システムへの管理者アクセスに、2段階認証と強固なパスワード管理を必須にしています。
- 安全なサービスやデータに対するすべてのアクセスをログに記録し、監査ログを定期的に確認しています。
コンプライアンスコストの削減
お客様自身でコンプライアンスに対応するにはコストがかかります。もし対応できたとしても、標準的な企業では9か月に1度は基準を満たせていません。Squareなら、お客様に代わってコンプライアンス準拠に対応します。監査、自己評価アンケート(SAQ)、脆弱性調査、トレーニングの開発やポリシーの策定、懸念事項の是正など各種作業をお引き受けします。他社のカード決済サービスとは異なり、月ごとや年ごとに「規制」のための費用はいただきません。
| 小規模企業向け | 大規模企業向け | Squareのビジネス | |
|---|---|---|---|
| 自己評価アンケート(SAQ)またはPCI DSSの監査 | 自己評価アンケートはおよそ$50~$200(米ドル) | オンサイト監査はおよそ$40k+(米ドル)、侵入テストはおよそ$5k+(米ドル) | $0 |
| 脆弱性スキャン | IPアドレスあたりおよそ$100~$200(米ドル) | およそ$800+ | $0 |
| トレーニングおよびポリシー開発 | 従業員1人あたりおよそ$70(米ドル) | およそ$5k+ | $0 |
| 修復作業(ソフトウェアと周辺機器の更新などを含む) | 小規模企業のお客様はおよそ$100~$10k(米ドル) | およそ$10k~$500k(米ドル) | $0 |
完全なコンプライアンス
当社のセキュリティプログラムを構成する技術的なセキュリティコントロールとセキュリティプロセスは、外部のサードパーティーによって監査されます。
- SSAE-16 SOC1およびSOC2
- PCI DSS
- PA-DSS
- PCI PINトランザクションセキュリティ
- PCI PINキーインジェクション設備
- EMVレベル1およびレベル2
- 米国送金ライセンス
- コンプライアンス対応済みの顧客と取引する
- VISAに対応
- Mastercard MPOSとMastercard Terminal Quality Management
- 英国クレジット協会/共通基準による監査
- マネーロンダリング防止に対応
コンプライアンスのパイオニア
コンプライアンスの専門チーム
Squareは、ソリューションの開発ライフサイクル全体を通して、クレジットカード業界の変化を注視し、エンジニアリングチームに助言することを任務とする専属のコンプライアンス対応チームを設置しています。
規制のサポート
SquareはPCIアドバイザー委員会に所属し、現在進行中のPCIセキュリティ基準の開発に参加しています。規制当局との会話をサポートできる体制が整っているためソフトウェアベースのPIN入力を先駆けて導入、クレジット業界およびPCI協議会と連携して新しい国際的な規格の開発に取り組みました。