株式会社VIRTUS PAYMENT(以下「当社」)は、決済サービスの提供者として、お客様の情報資産およびカード情報を最高水準のセキュリティで保護することを最重要課題と位置づけています。本ポリシーでは、当社のセキュリティに関する方針・体制・取り組みについてご説明します。
1. セキュリティ基本方針
当社は、情報セキュリティを経営の最重要課題のひとつとして位置づけ、以下の基本方針に基づき、情報資産の保護に取り組んでいます。
- お客様の決済データおよび個人情報の機密性・完全性・可用性を確保します
- 国際的なセキュリティ基準に準拠し、継続的な改善を行います
- 全従業員がセキュリティ意識を持ち、組織全体でセキュリティ文化を醸成します
- セキュリティリスクを定期的に評価し、適切な対策を講じます
2. 取得認証・準拠規格
当社は、決済業界において要求される国際的なセキュリティ認証・規格に準拠しています。
PCI DSS
クレジットカード業界のセキュリティ基準である PCI DSS(Payment Card Industry Data Security Standard)の認定を取得しています。カード情報の取扱いに関する厳格な基準に基づき、定期的な監査を受審しています。
GlobalSign SSL認証
GlobalSign 社の SSL/TLS 証明書を導入し、Web サイトおよび決済通信を暗号化しています。通信経路上での情報漏洩・改ざんを防ぎ、安全な接続を提供します。
クレジットカード番号等取扱契約締結事業者登録
割賦販売法に基づき、クレジットカード番号等取扱契約締結事業者として登録されています(登録番号:関東(ク)第169号/令和5年5月26日登録)。一般社団法人日本クレジット協会の会員(会員番号:209670000)でもあります。
3. データ暗号化
当社では、お客様のデータを多層的な暗号化技術により保護しています。
通信の暗号化
すべてのAPI通信およびWebアクセスは、TLS 1.3(Transport Layer Security)により暗号化されています。TLS 1.2以下の古いプロトコルは無効化しており、最新の暗号化スイートのみを使用しています。
保存データの暗号化
データベースに保存されるすべての機密データは、AES-256(Advanced Encryption Standard 256-bit)で暗号化されています。暗号鍵はHSM(Hardware Security Module)で厳格に管理され、90日ごとに自動ローテーションされます。
トークナイゼーション
クレジットカード番号は、決済処理後ただちに不可逆なトークンに変換されます。これにより、万が一のデータ漏洩時にもカード番号が復元されることはありません。加盟店様のサーバーにカード情報が保存されることもありません。
4. ネットワークセキュリティ
当社のインフラストラクチャは、多層防御アーキテクチャにより保護されています。
- WAF(Web Application Firewall)による不正リクエストの検知・遮断
- DDoS攻撃に対する自動緩和システムの導入
- ネットワークセグメンテーションによるカード情報処理環境の分離
- IDS/IPS(侵入検知・防止システム)によるリアルタイム監視
- VPNおよび多要素認証による管理アクセスの保護
5. 不正決済モニタリング
国内・海外で 365 日体制の不正決済モニタリングを実施し、不正利用や通信エラーの早期検知に努めています。
365日モニタリング体制
国内・海外の決済をリアルタイムで監視し、不正の兆候を早期に検知します。常駐スタッフが状況確認とエスカレーション対応にあたります。
3Dセキュア対応
本人認証強化のため 3D セキュアに対応しています。リスクが高いと判断される取引には追加の本人確認を行い、不正利用やチャージバックの発生を抑制します。
6. 3Dセキュア 2.0
EMVCoが策定した3Dセキュア 2.0(EMV 3-D Secure)に完全対応しています。リスクベース認証により、低リスク取引ではフリクションレスフロー(追加認証なし)を実現しつつ、高リスク取引に対してはチャレンジフロー(SMS認証・生体認証等)による本人確認を求めます。これにより、セキュリティとユーザー体験の両立を実現しています。
7. 監視体制
当社は24時間365日のセキュリティ監視体制を敷いています。
- SOC(Security Operations Center)による24時間有人監視
- SIEM(Security Information and Event Management)による統合ログ分析
- 異常なアクセスパターンの自動検知とアラート通知
- 定期的な脅威インテリジェンスの収集と分析
- 月次でのセキュリティKPIレポートの経営層への報告
8. アクセス制御
情報資産へのアクセスは、最小権限の原則(Principle of Least Privilege)に基づき厳格に管理されています。
- 役割ベースのアクセス制御(RBAC)の導入
- 全管理アクセスへの多要素認証(MFA)の必須化
- 特権アカウントの操作ログの記録と定期的なレビュー
- 四半期ごとのアクセス権限の棚卸し
- 退職・異動時の即時アカウント無効化
9. 脆弱性管理
当社では、継続的な脆弱性管理プログラムを運用しています。
- 毎週の自動脆弱性スキャンの実施(ASV認定スキャナによる外部スキャンを含む)
- 年2回以上の外部専門機関によるペネトレーションテストの実施
- クリティカルな脆弱性は発見から24時間以内にパッチ適用
- OSS(オープンソースソフトウェア)の脆弱性情報の継続的モニタリング
- バグバウンティプログラムの運用による外部セキュリティ研究者との協力
10. インシデント対応
セキュリティインシデント発生時には、事前に策定したインシデント対応計画に基づき、専門チーム(CSIRT)が迅速に対応します。
- インシデント検知から15分以内の初動対応開始
- 発見から24時間以内の影響範囲の特定と関係者への通知
- カードブランド・アクワイアラーへの速やかな報告
- インシデント後の根本原因分析(RCA)と再発防止策の策定
- 年2回のインシデント対応訓練(テーブルトップ演習)の実施
11. 事業継続計画(BCP)
当社は、災害やシステム障害等の非常事態においても決済サービスの継続を確保するため、事業継続計画を策定・運用しています。
- 地理的に分離された複数のデータセンターによる冗長構成
- 目標復旧時間(RTO)4時間、目標復旧時点(RPO)1時間
- 年1回以上の災害復旧(DR)訓練の実施
- リアルタイムデータレプリケーションによるデータ保全
12. 従業員教育
全従業員に対し、入社時および年次のセキュリティ教育を義務付けています。PCI DSS要件に基づくカード情報の取扱い研修、フィッシング対策訓練、セキュアコーディング研修等を定期的に実施し、組織全体のセキュリティ意識の向上に努めています。
13. 第三者委託先の管理
外部委託先に対しても、当社と同等のセキュリティ水準を求めています。委託先の選定にあたってはセキュリティ評価を実施し、契約においてセキュリティ要件を明記しています。また、年次での委託先監査により、セキュリティ水準が維持されていることを確認しています。
14. お客様のセキュリティ対策
当社のサービスをより安全にご利用いただくため、加盟店様には以下の対策を推奨しています。
- APIキーの安全な管理と定期的なローテーション
- Webhookエンドポイントへの署名検証の実装
- 管理画面アクセスへの多要素認証の有効化
- IPアドレス制限によるAPI利用元の限定
- セキュリティアップデート情報の定期的な確認
15. 脆弱性報告窓口
当社サービスにおけるセキュリティ脆弱性を発見された場合は、security@virtuspayment.com までご報告ください。責任ある脆弱性開示(Responsible Disclosure)に基づき、ご報告いただいた脆弱性は速やかに調査・対処いたします。有効な脆弱性を報告いただいた方には、バグバウンティプログラムを通じて報奨金をお支払いする場合がございます。
16. ポリシーの更新
本セキュリティポリシーは、法令の改正、技術の進歩、脅威の変化に応じて適宜見直し・更新を行います。重要な変更がある場合は、当社ウェブサイトにてお知らせいたします。
お問い合わせ
本ポリシーに関するご質問やセキュリティに関するお問い合わせは、下記までご連絡ください。
セキュリティチーム: security@virtuspayment.com
