セキュリティ

カラーミーショップ(以下、当サービス)は、2005年のサービス提供開始以来、法人・個人を問わず多くの事業者さまとともに歩んできました。これからも、より多くのショップオーナーさまの発展に貢献できるよう、GMOペパボ株式会社の情報セキュリティ基本方針やクレジット取引セキュリティ対策協議会が定めるセキュリティ対策に基づいた適切なルールと技術により、お預かりしたデータを安全に保護いたします。すでにネットショップを運営されている方にも、これから始めたいと思っている方にも、安心してお使いいただけるサービスでありつづけるために、わたしたちは今後も進化をつづけてまいります。

クレジット取引セキュリティ対策協議会が定めるセキュリティの重要対策

管理者画面のアクセス制限不備と管理者のID/PW管理不足について 当サービスのシステム管理者画面は、弊社以外のパートナーがアクセスができないよう弊社ネットワークからのみアクセスを許可しています。
また、ログイン管理には認証サービスを導入することで多要素認証・アカウントロック等の対応を行なっています。
データディレクトリの露見に伴う設定の不備について 弊社アプリケーションサーバに置かれているファイルは権限管理やホワイトリストでのアクセス制限等を適切に行うことで、意図しないファイルが公開されることを未然に防いでいます。
また、当サービスのファイルアップロード機能についてはアップロード時に拡張子やファイルサイズ、ウィルススキャン等を行うことでアップロード可能なファイルの制限をおこなっております。
不正侵入対策 – 脆弱性診断またはペネトレーションテストの定期実施について 当サービスでは、第三者による脆弱性診断を毎年1回以上実施しています。
不正侵入対策 – ソフトウェアの脆弱性情報収集・アップデートについて 当サービスで使用しているソフトウェアの脆弱性情報を定期的に収集し確認しています。脆弱性がある場合は必要に応じてアップデート等の対策を行なっています。
不正侵入対策 – セキュリティレビューについて 当サービスのプログラムを改修を行う際には、新たな脆弱性が混入することを防止するため、必ずセキュリティトレーニングを受けたエンジニアにてソースコードのセキュリティレビューを行っています。
マルウェア対策としてのウイルス対策ソフトの導入、運用について 当サービスでは、シグネチャベースのアンチウィルスソフトでウィルス監視を実施しています。また、アンチウィルスソフトのパターンファイルは定期的に更新をチェックし、即時反映しています。

アプリケーションセキュリティ

稼動状態の監視・モニタリングについて 当サービスでは、下記の監視・モニタリングを実施しています。

  • 死活監視(アプリケーションが稼働しているか)
  • レスポンス時間監視(アプリケーションの表示に、意図しない待ち時間が発生しないか)
  • エラーレート監視(アプリケーションの動作が正常であるか)
  • キャパシティモニタリング(アプリケーションの長期的な動作状態の記録)
障害発生時の運用について 当サービスにて障害が発生した場合は、情報セキュリティ責任者に通知され、初動対応チームを編成して対処します。
バックアップについて 当サービスの利用者からお預かりしたデータ(画像は除く)は定期的にバックアップを行っています。バックアップしたデータは物理的に離れたデータセンターに暗号化されたネットワークを用いて転送し、世代別に保存しています。
パスワードの保存について 当サービスへのログインに利用するパスワードは、電子政府推奨暗号リストにて推奨されているアルゴリズムでハッシュ化して保存しています。また、ソルトの付与と複数回のストレッチングを行っています。

ネットワークセキュリティ

不正侵入対策について 当サービスでは、WAF(Webアプリケーションファイアーウォール)を利用し、Webサーバーに到達する前に不正アクセスの検査を行い、アプリケーションを保護してます。
盗聴・改ざん対策について 当サービスでは、TLS通信を利用してデータを暗号化し、盗聴・改ざんを防いでいます。

安全な開発

個人情報の保護について 個人情報保護に関する組織体制は、GMOペパボ株式会社のプライバシーポリシーに基づいて運用しています。
個人情報の漏洩を発見、あるいはその恐れがある場合、漏洩した情報の内容に応じて適切な手段にて報告します。
当サービスの運用に関わる業務提携先を含むすべての従業員から、利用者情報を漏洩しないことを定めた機密保持誓約書等の署名を取得しています。加えて、利用者情報にアクセスできる従業員を制限しています。
個人情報の廃棄について 個人情報の廃棄・削除を行う場合には、溶解処理など、復元不可能な方法で実施しています。
委託業務の終了後は、不要となった個人情報(記憶媒体・紙・電子データ)が残存していないことを確認し、消去しています。
業務に使用する端末について 当サービスの運用業務に使用するすべての端末は、ウィルス対策ソフトの導入と、最新状態への即時更新、定期的なウイルススキャンを実施しています。
また、有害な動作をするインターネットサイトへのアクセスや、データのダウンロードを制限しています。
セキュリティトレーニングについて 当サービスの運用に関わるすべての従業員は、情報セキュリティ研修を受講しています。
加えて、すべてのエンジニアは毎年1回セキュアコーディング研修に参加します。この研修では、インターネット上での攻撃によく用いられる方法や対策方法について学びます。

安全な利用

本人確認 当サービスでは、不正出品防止のための対策として、お申込時にSMSまたは架電による認証を行っています。出店者の身元と電話番号を紐付けることにより一定の担保を実現しています。
アクセス制御 当サービスでは、ショップ生成時に作成する管理者ユーザー以外にも、副管理者ユーザーを任意に作成することができます。
また、設定により副管理者ユーザーの使用画面を制限できるため、柔軟なショップ運用が可能です。
決済情報 当サービスでは、クレジットカード情報の非保持・非通過化対応を実施済みです。