個人データの移行に関するセキュリティ

国際的な移行を評価する際の重要な要素は、個人データを安全に保つための技術的および組織的な措置を分析することです。Shopifyでは、一般データ保護規則 (GDPR) および対象となるその他のデータ保護法に準拠し、マーチャントのお客様の個人データを安全に保つため、包括的、技術的、組織的な措置を講じています。

このページでは、Shopifyのセキュリティプログラムのサマリーを提供しています。セキュリティについてさらに詳しい情報はこちらをご覧ください。

物理的なセキュリティ

Shopifyは、業界標準のセキュリティ認証を取得したデータセンターに保存されている仮想ホスティング環境を活用しています。サイトは、アラーム、CCTV監視と24時間体制の常駐セキュリティスタッフ、多要素認証、防護柵、物理的な施錠を備えたペリメータセキュリティと多層セキュリティゾーンによって物理的に保護されています。ハードドライブがデータセンターから持ち出されることはなく、サイト内で安全に破棄されます。当社のサーバーは、以下の認証を取得したデータセンターでホストされています。

アーキテクチャ

Shopifyのプラットフォームは、パフォーマンスと耐障害性が最適化されたマルチテナントアーキテクチャを基盤にしています。マーチャントの個人データは、アプリケーションレベルの管理によって分離されています。各サーバーのアプリケーション環境 (アプリケーション、その依存関係、構成ファイル) は、変更がデプロイされる際に置き換えられるので、マルウェアが残留するベクトルが排除されます。

アプリケーション

アプリケーションセキュリティの維持は、開発プロセスにおいて不可欠です。Shopifyの開発者は、アプリケーションセキュリティのベストプラクティスについて定期的にトレーニングを受けています。また、Shopifyでは脆弱性を監視しています。ストアオーナーは、セキュリティ機能を追加で設定できます。たとえば、アカウントオーナーは以下を実行できます。

  • アカウントで多要素認証を有効にする。
  • ユーザーによる最近のログインアクティビティなど、アクティビティログを確認する。
  • 役割に応じてアクセスレベルを設定する。
  • 細かなAPIスコープ権限の設定を求める。

2段階認証

2段階認証のような機能を使用することで、セキュリティが強化され、許可されていないユーザーがマーチャントのアカウントにアクセスすることが格段に難しくなります。これにより、アカウントが乗っ取られる可能性は低くなります。

ログインするには、以下の2つの個別の手順を実行する必要があります。

  1. メールアドレスとパスワードを入力します。
  2. モバイルデバイスまたはセキュリティキーを使用してログインを認証します。

これにより、パスワードが誰かの手に渡った場合でも、2番目の手順を踏まずにログインすることはできません。

Shopifyでは、SMS、認証アプリ、セキュリティキーなど、さまざまな2段階認証の方法を提供しています。

詳細については、「2段階認証でアカウントを保護する」をご覧ください。

暗号化

移行中の情報は、以下の業界標準の暗号化プロトコルを使用して暗号化されます。

  • SSH
  • HTTPS-TLSv1.2

Shopifyでは、チェックアウト、ストアフロント、管理画面ページにHTTPSプロトコルを使用します。運用データストアに記録されているクレジットカードの詳細やその他の機密情報は、保存状態で暗号化されています。すべてのユーザーパスワードは、保存時にbcryptのハッシュアルゴリズムを使用してソルト化およびハッシュ化されます。

Transport Layer Security (TLS) は、インターネット上の通信を保護するために使用される暗号化プロトコルです。Shopifyは、マーチャントの管理画面およびストアへのすべての接続を保護するためにTLSを使用しています。ブラウザのアドレスバーに、https://で始まるURLの横に鍵マークが表示されている場合、接続でTLSが使用されています。TLSは、マーチャントによる接続およびマーチャントのお客様による接続など、Shopifyへのすべての接続を保護します。Shopifyでは、バージョンTLS 1.2以上のTLSプロトコルに対応しています。

TLS証明書があることで、マーチャントストアには以下のようなメリットがあります。

  • お客様の個人データを暗号化することで、セキュリティのレベルが高まります。
  • オンラインストアのURLの横に鍵マークが表示されるので、お客様の信頼を築くのに役立ちます。

詳細については、「Transport Layer Security」および「Shopifyストアへの安全な接続を有効にする」をご覧ください。

PCI準拠

Shopifyは、PCI DSS レベル1に準拠しています。PCI Security Standards Council(PCI SSC)は世界的に認められている組織で、クレジットカード取引の安全な処理基準を維持する目的で設立されました。Shopifyマーチャントのような販売元が、クレジットカード取引を安全に処理し、カード所有者の情報を保護するのに役立ちます。

Shopifyでは、ストアの安全なホスティングに真剣に取り組んでおり、PCI DSSに準拠したソリューションを提供するために多くの時間と費用をかけています。毎年実施されるコンプライアンスの検証から継続的なリスク管理に至るまで、ショッピングカートとEコマースホスティングの安全を確保するため、さまざまな努力が払われています。

Shopifyを利用して運営されている全ストアは、PCI DSSに準拠してるため、マーチャントは決済情報とビジネスデータを安全に保つことができます。

Shopifyは、PCIの6つの標準目標すべてに準拠しています。

  • 安全なネットワークを維持する。
  • カード所有者のデータを保護する。
  • 脆弱性管理プログラムを維持する。
  • 強力なアクセス制御を実行する。
  • 定期的にネットワークを監視およびテストする。
  • 情報セキュリティポリシーを維持する。

詳細については、「ShopifyのPCIコンプライアンス」をご覧ください。

Service Organization Control (SOC)

SOC (Service Organization Control) 報告書とは、第三者の監査機関が企業の情報システムを評価し、自社サービスのセキュリティおよび可用性に関する基準など、独立した各種基準をその企業が満たしていることを認定するものです。

Shopifyがお客様に提供するサービスに関して受け取った報告書は以下のとおりです。

  • SOC2タイプ2
  • SOC3

詳細については、「コンプライアンスレポート」をご覧ください。マーチャントとしてログインすると、誰でもSOC2タイプ2の報告書を確認できます。

セキュリティに関するその他の必須機能

Shopifyではセキュリティを管理するために、以下のような重要なセキュリティ対策を実施しています。

  • セキュリティ上の潜在的な問題を特定して解決するために、外部サービスの脆弱性スキャンとペネトレーションテストを定期的に実行する。
  • サーバーとアプリケーションのパフォーマンスは、当社のプロダクションエンジニアリングチームが継続的に監視する。
  • 設定管理ツールを使用して、サーバーが最新の設定になっていることを確認する。
  • Shopifyは、対象となる脆弱性の開示およびセキュリティの最新情報のソースを監視し、必要な措置を取る。
  • マーチャントとセキュリティ請負業者は、自分のストアフロントでテストができる。
  • マーチャントは、プラットフォームについて気付いたことをHackerOne Programに報告するよう推奨されている。
  • 当社のシステムは、障害が発生した場合にデータを迅速にリカバリーできるように設計されている。バックアップのリカバリーは毎日テストされる。
  • Shopifyでは、マーチャントがマーチャントのデータを利用できるように、またお客様がマーチャントストアを利用できるように、複数のレベルの冗長性を備えている。
  • 正式なインシデント対応と解決プロセスを用意している。
  • 従業員のデバイスについては、Shopifyのセキュリティポリシーに従って、セキュリティ対策の実装と制限を一元管理している。
  • プラットフォーム全体で、Webアプリケーションファイアウォール (WAF) の設定が適用されている。
  • Shopifyでは、機密性が必要な環境での不正侵入防止/検知システム (IDS/IPS) の使用など、プラットフォームとセキュリティの監視を通じてDLP (Data Loss Prevention) を提供している。
  • Shopifyは、最小権限の原則に従って、役割に基づくアクセス制御を実施している。
  • Shopifyは、SOC2タイプ2などの独立した監査報告書を提供することで、年毎のセキュリティレビューを支援する。
  • 従業員は、情報セキュリティ意識向上トレーニングを受け、契約に基づく秘密保持義務を負う。

詳細については、「セキュリティ」をご覧ください。

Shopifyで販売を開始する準備はできていますか?

無料体験を試す