サポート掲示板

■解らない事や問題点等ありましたらこちらへご記入ください■
新規発言一覧最新記事過去一覧検索HOME 
スレッド

└◇802:Re[7]:個人情報について [管理者] 02/09 23:58

 └◇803:Re[8]:個人情報について [NEO] 02/10 01:59
  └◇804:Re[9]:個人情報について [管理者] 02/10 08:26
   └◇805:Re[10]:個人情報について [管理者] 02/12 19:03<-last

802● Re[7]:個人情報について[ 管理者 ] 2003 02/09 23:58
> 充分な安全性を確保するために、どのような対策・対応をとっていますか?

当サーバーでは安全性を確保するための充分な対策はとっていません。
弊社は不特定多数の方に各種CGIをレンタルしているため、レンタルCGI利用者の利便性を考えると、sendmailをクローズにしたりアクセス制限をする等のセキュリティ対策がとれません。非常にオープンなサーバーなので、セキュリティの面では問題があると思います
そこで、カード決済はセキュリティ上問題のある当サーバーとは切り離し、カード決済代行会社ゼウスのSSLサーバーで行うようにしています。

前のお問い合わせで、弊社のサーバーに累積された情報が漏れるのではないかというご指摘がありましたが、お客さまが入力した情報は、弊社サーバーを経由するだけですので、その内容が記録され、累積される事はありません。また、カード番号等の重要な情報は、弊社サーバーは経由せずにゼウスのSSLサーバー上で直接入力頂くようになっていますので、弊社はもちろん、加盟店様でも顧客のカード番号を知る事が出来ません。

> 申し込み後、守秘義務契約や覚書などを交わすのでしょうか?

ゼウスと加盟店契約を結ぶと、契約書を取り交わす事になりますが、その契約書に守秘義務等の細かい取り決めが記載されています。

フォームのパラメータ送信等の知識があれば、弊社のショッピングカートを利用せずに、NEO様のホームページから直接ゼウスのSSLサーバーにデータを送る事が可能です。
データの経由地点が少ない方が安全性はより高くなります。
より高い安全性を求めるのであれば、そのような方法をとられるのも良いと思います。
スレッド一覧

803● Re[8]:個人情報について[ NEO ] 2003 02/10 01:59
> 当サーバーでは安全性を確保するための充分な対策はとっていません。

こういった事をきちんとユーザに説明する責任はお感じになられませんか?


> 弊社は不特定多数の方に各種CGIをレンタルしているため、レンタルCGI利用者の利便性を考えると、sendmailをクローズにしたりアクセス制限をする等のセキュリティ対策がとれません。非常にオープンなサーバーなので、セキュリティの面では問題があると思います

たとえsendmailやCGIを使っていても、さまざまな技術や手段を講じれば、
充分セキュアな環境は作れるはずです。sendmailやCGIの稼動がセキュリティ
を確保できない理由にはならないと思いますが。


> そこで、カード決済はセキュリティ上問題のある当サーバーとは切り離し、カード決済代行会社ゼウスのSSLサーバーで行うようにしています。

何度も申し上げますが、私が重要視しているお客様の個人情報は、
カード番号だけではないのですよ。


> > 前のお問い合わせで、弊社のサーバーに累積された情報が漏れるのではないかというご指摘がありましたが、お客さまが入力した情報は、弊社サーバーを経由するだけですので、その内容が記録され、累積される事はありません。

本当にそれは真実ですか?
www.luckybreak.co.jp上で稼動しているhttpサービスプロセスが、
一切何のログも出力しない、というはずはないと思いますが。


> > 申し込み後、守秘義務契約や覚書などを交わすのでしょうか?
>
>ゼウスと加盟店契約を結ぶと、契約書を取り交わす事になりますが、その契約書に守秘義務等の細かい取り決めが記載されています。

何度も申し上げますが、私はZEUSの話をしているのではなく、
私と御社との間の話をしているのです。
私が御社のサービスを申し込んだ場合、御社は私のお客様の個人情報を
守る努力をしていただけるのですか?
スレッド一覧

804● Re[9]:個人情報について[ 管理者 ] 2003 02/10 08:26
> www.luckybreak.co.jp上で稼動しているhttpサービスプロセスが、
> 一切何のログも出力しない、というはずはないと思いますが。

アクセスログは記録してますが、当サーバのsendmail経由で送信されるデータの内容までは記録していません。ログの記録期間は2日間に設定しています。

> たとえsendmailやCGIを使っていても、さまざまな技術や手段を講じれば、
> 充分セキュアな環境は作れるはずです。sendmailやCGIの稼動がセキュリティ
> を確保できない理由にはならないと思いますが。
> 私が御社のサービスを申し込んだ場合、御社は私のお客様の個人情報を
> 守る努力をしていただけるのですか?

もちろん、弊社が知り得た情報を外部に漏洩する事はありませんし、サーバー上に不要なログは残さない等の努力は致します。
しかし、私の知識や技術ではNEO様の求められるレベルでの安全性は確保できないかもしれません。

> こういった事をきちんとユーザに説明する責任はお感じになられませんか?

確かにおっしゃる通りです。
弊社サーバーはデータの安全確保に十分な対策がとられておらず、弊社サーバー経由で送信されるデータは漏洩する可能性がある旨をホームページ上に掲載する必要があると思います。
早急に利用規約等の内容を検討し、ホームページ上に明記したいと思います。

いろいろご指摘ありがとうございました。
スレッド一覧

805● Re[10]:個人情報について[ 管理者 ] 2003 02/12 19:03
このスレッドに関連する回答をショッピングカートのQ&A( hhttp://www.luckybreak.co.jp/shoppingcart/qanda.html )に載せましたのでご参照下さい。
スレッド一覧

CGIROOM