2018年6月に実施されたクレジットカード情報の非保持化について、カード情報はサーバーを通過した時点で「クレジットカード情報の保持」となってしまいます。今回はその内容を具体的に紹介していきます。
サーバーを通過するとは?
カード情報が下記以外のサーバーを通過すると、カード情報を保持したことになります。
・カード情報を入力するサーバー(PC、スマホ、タブレット等)
・決済を実施するサーバー(決済代行会社のサーバー等)
すなわち、お客さんと決済サーバー間で決済処理が完結すればいいということです。
上記を踏まえると、データを保存したり処理したりする場合は必ず社内サーバーを通過する必要があるため、必然的に情報を保持したこととなります。
WEBでの入力はWEBサーバーの通過とならないの?
ECサイトや申込みフォームが動作しているWEBサーバー上でクレジット決済させる場合については、決済代行会社等から提示されたフォーマットを使用していればおおむね問題ないといえます。※確実ではないため、必ず確認してください。
それはクレジットカード情報の扱いに関して、下記のどちらかで運用しているからです。
・クライアントサイドで動作するJavaScript等を使用している(データ連携)
・クレジット決済時だけ決済サーバーのサイトに遷移している(画面連携)
すなわち、クライアント(お客さん)がカード情報を直接決済サーバーへ送付しているため、サーバーを経由(通過)しない仕組みになっています。