Zen Cart 1.5.0 の What'sNew(最新情報) には、「変更-12 - PA-DSS(決済アプリケーションのセキュリティ基準)に準拠する」という項目があります。
など、パスワードの取り扱いについてはだいぶ厳格な制約が追加されました。
また、決済モジュールにおいて外部のオンライン決済システムと連携する際に SSLが必須化 されていたり、管理画面内の SSL通信から非SSL通信への遷移は再度パスワード認証が必要 になっていたり、機能面でもさまざまなかたちでセキュリティが強化されています。
その他、 管理画面から設定変更を行った場合に管理者にメールが飛ぶ とか、管理画面へのログインに数回失敗すると管理者にメールが飛び、かつ 6回ログインに失敗すると30分間ログインがロックされる ので連続した不正アクセスを軽減できる、といった改良があります。
さて、この「PA-DSS」とは何でしょうか?
PA-DSSとは、2006年に American Express、Discover、JCB、MasterCard、Visa の 5社が設立した独立機関「PCI SSC (Security Standards Council)」による情報セキュリティに関する規格のようです。
この規格は、3種類の基準から成り立ちます。
| 名称 | 概要 | 対象 |
|---|---|---|
| PCI DSS | すべての基準の元になるもの | クレジットカード情報を扱う事業者 |
| PA-DSS | 決済アプリケーションにおける基準 | カード情報を保存・処理・送信する アプリケーション |
| PTS | PIN(暗証番号)入力端末に対する セキュリティ基準 | PIN端末 |
PCI-DSS (Payment Card Industry Data Security Standard)については今回の焦点ではないので、下記のリンクだけ紹介し、端折ります。
Zen Cartとその周辺技術において、PCI DSSの基準が必要なのはオンライン決済サービス提供業者ですね。代表的な決済業者である ルミーズ さんのウェブサイトでは、「ルミーズ決済サービスは『PCI DSS V2.0』に完全準拠しています」と謳っています。
一方、PA-DSSが必要なのは決済アプリケーションなので、つまりZen Cartは該当します。そういうわけで、1.5.0 ではこの基準に準拠すべく、さまざまな改良を行ったようです。
なお、PA-DSSの要件の詳細は、下記のサイトの「PADSSの遵守要件」を参考にされるとよいかと思います。
Zen CartがPA-DSSに準拠したことについて、下記の PCI SSC の認定サイトから「Zen Ventures, LLC」で検索してみると、PA-DSS v1.2.1 で監査に合格していると確認できます。
※ただし、認定されたのは素の(カスタマイズを施していない)Zen Cartであり、モジュールによるカスタマイズなどを行なってしまうと対象にはならないようです。
しかし、ベースとなるシステムが規格に通っているのは重要なことで、カスタマイズの際にもPA-DSSの要件に合うよう考慮する必要があると思います。