2018年6月に実施されたクレジットカード情報の非保持化について、カード情報はサーバーを通過した時点で「クレジットカード情報の保持」となってしまいます。今回はその内容を具体的に紹介していきます。

サーバーを通過するとは?

カード情報が下記以外のサーバーを通過すると、カード情報を保持したことになります。

カード情報を入力するサーバー(PC、スマホ、タブレット等)

決済を実施するサーバー(決済代行会社のサーバー等)

すなわち、お客さんと決済サーバー間で決済処理が完結すればいいということです。

上記を踏まえると、データを保存したり処理したりする場合は必ず社内サーバーを通過する必要があるため、必然的に情報を保持したこととなります。

WEBでの入力はWEBサーバーの通過とならないの?

ECサイトや申込みフォームが動作しているWEBサーバー上でクレジット決済させる場合については、決済代行会社等から提示されたフォーマットを使用していればおおむね問題ないといえます。※確実ではないため、必ず確認してください。

それはクレジットカード情報の扱いに関して、下記のどちらかで運用しているからです。

クライアントサイドで動作するJavaScript等を使用している(データ連携)

クレジット決済時だけ決済サーバーのサイトに遷移している(画面連携)

すなわち、クライアント(お客さん)がカード情報を直接決済サーバーへ送付しているため、サーバーを経由(通過)しない仕組みになっています。

よろしければTwitterのフォローをお願いします