セキュリティチェックシート：EC（Shopify等）向け“最小で通す”ログ回答セット

### このページの目的 ECサイトは「個人情報の宝庫」であり、攻撃者のターゲットになりやすいため、監査目線も厳しくなります。特有の論点をカバーします。 ### 得られるもの - カード情報の比保持化アピール - Shopify/BASE利用時の回答法 - 不正注文検知のアピール --- ### クレカ情報の扱い（最重要） #### 決済代行利用の場合（標準） ```text クレジットカード情報は、PCI DSS準拠の決済代行業者（Stripe/Shopify Payments等）へ直接送信（トークン決済）され、当社のサーバー（ログ含む）を通過・保持しません（クレジットカード情報の非保持化）。 ``` ### ログ回答の要点 #### 1. 注文改ざん防止 ```text 受注データおよび顧客データへのアクセスは、特定の運用担当者のみに制限され、操作ログが記録されています。 ``` #### 2. フロントエンド攻撃対策 ```text ECプラットフォームのセキュリティアップデートを自動適用し、XSS等の脆弱性対策を実施しています。 ``` --- ### 添付すべき証跡 - **非保持化証明書**: 決済代行業者との契約または設定画面。 - **プライバシーマーク登録証**: あれば最強の免罪符になります。