Stripe導入のために本番環境利用申請まで行いましたが、最後にこちらのPCI基準というものを満たす必要があるとあります。
私はbubbleを使用していますが、この基準をbubbleで満たすことは可能なのでしょうか?この辺りの知識はかなり不足しているのでご教授いただけると幸いです。
回答者1
準拠ガイドって、Stripeのセキュリティーポリシーと、対応者にも
「できれば」お願いしますってレベルなので、とりあえず、そのままBubbleで進めて良いと思いますよ。
そもそも、PCIって、
オンラインでの年間取引数が 20,000 件未満の組織に対して、強制できるものではありません。
PCI DSS準拠 PCI DSSとは
また、BubbleがPCI基準を満たしているか、否か?は公表されてなかったと思います。
以下の記事には、BubbleではPCIは満たしてないと書いてます。
“Bubble is not PCI compliant, meaning you can’t store sensitive data within your app”
Bubble.io (formerly Bubble.is) Review: Is Bubble the Right No-Code App Builder for You?
Bubble.io Review: Is Bubble the Right No-Code App Builder for You?
とはいえ、Bubbleのセキュリティがずさんな訳ではなく、ほとんどの企業において、PCI DSSの基準を満たすことは容易なことではありません。
私の場合も、従業員1万程度規模のプロジェクトで、
セキュリティ特化のエンジニア3人 +外部委託チームで10人程度で、3か月程度かけてインフラを整理して、3年間ぐらいのスケジュールをつくり要約達成しうるレベルです。
そのくらい予算と期間がかかるものです。準拠する範囲策定と整理がとても大変。。。
PCI DSSに完全準拠する企業の割合が6年ぶりに低下 - ベライゾン
質問者さんの取扱い情報が、銀行レベルで担保しないといけないデータを取り扱うなら別ですが、そうでない場合には、
とりあえず使ってみて、ある程度トランザクションが出て利益が出始めた時に、セキュリティエンジニアやコンサルタントを雇えば良いと思いますよ。
基本 Stripeでコーディングしない範囲での作業であれば、パスワードやAPIが漏れない限り、情報漏洩の可能性はかなり低いと考えてます。
まとめると、気にせずTryして良いと思います~。
回答者2
Stripe を使う理由の一つに、高いセキュリティレベルを維持するのが大変だからというのがあります。
ちょっと前に Bubble でクレジットカード番号を管理しようとしていた人の話を聞いたことがありますが、とても危険ですので、こういうところは Stripe にお任せしましょう。
間違っても Bubble の DB などにクレカの番号などを入れないようにw