セキュリティと準拠
セキュリティと準拠は、プラットフォームのコアに。
Coshine はセキュリティファーストのアプローチで、処理環境を業界で広く認められた支払いセキュリティと情報セキュリティの標準に準拠させています。
国際的に認められた決済セキュリティ標準を基盤とする 6 つのコントロールドメイン。
プログラムと認証
PCI DSS
Payment Card Industry Data Security Standard — Level 1 サービスプロバイダー範囲。
PCI 3DS
ACS と 3DS Server 運用のための 3-D Secure コアセキュリティ標準。
PCI PIN
PIN データを処理する環境向けの PIN セキュリティ標準。
ISO/IEC 27001
決済処理運用を対象とする情報セキュリティマネジメントシステム認証。
MLPS Level 3
中国情報システム安全等級保護 Level 3 — 中国本土で運用される環境向け。
独立監査
年次の第三者評価とスキーム準拠レビュー。
セキュリティコントロール
- カード保有者データ環境と社内ネットワークのセグメンテーション
- 通信暗号化(TLS 1.2+)と保存時暗号化(AES-256)
- HSM ベースの鍵管理、文書化されたローテーション
- ロールベースのアクセス制御、特権パスは多要素認証
- 集中監査ログ、ログ保管、改竄検知アーカイブ
- 24×7 監視とインシデント対応、明確な SLA
- 脆弱性管理と定期的なペネトレーションテスト
- ベンダーセキュリティレビューとサブプロセッサー管理
年次監査・評価カレンダー
| プログラム | 頻度 | 評価者種別 | ウィンドウ |
|---|---|---|---|
| PCI DSS Level 1 | 年次 | 外部 QSA(Qualified Security Assessor) | Q1 |
| PCI DSS ネットワークスキャン | 四半期 | 外部 ASV(Approved Scanning Vendor) | Q1 / Q2 / Q3 / Q4 |
| PCI 3DS | 年次 | 外部 QSA-3DS | Q2 |
| PCI PIN | 年次 | 外部 QPA(Qualified PIN Assessor) | Q2(範囲による) |
| ISO/IEC 27001 サーベイランス | 年次 | 認定認証機関 | Q3 |
| ISO/IEC 27001 再認証 | 3 年サイクル | 認定認証機関 | 3 年目(完全再監査) |
| MLPS Level 3(中国デプロイ) | 年次 | 公安部認可評価機関 | 規制機関スケジュールに従う |
| ペネトレーションテスト | 年次 + 重大変更時 | 独立 CREST/OSCP 認定機関 | 継続プログラム |
インシデント対応 — 実際の流れ
1. 検出
24×7 監視で稼働率、レイテンシ異常、認証失敗、セキュリティシグナルにアラート。各シグナル種の検出時間目標は顧客可視閾値より低い。
2. トリアージ
P1 はオンコール技術者が 15 分以内に確認。初期重要度分類、影響範囲評価、顧客影響推定は最初の 30 分で完了。
3. 封じ込め
まずプラットフォームを安定化、その後調査。ランブックはスキーム側フェイルオーバー、依存性デグレード、リージョン容量シフト、危険経路の隔離をカバー。
4. 復旧
サービスを公称状態へ復旧。P1 顧客向けコミュニケーションは固定頻度(宣言から 1 時間以内に初報、2 時間ごとに更新、全クリアから 30 分以内に解消通知)。
5. 事後レビュー
5 営業日以内に blameless post-mortem。重大インシデントは影響顧客に経営層サマリを共有;是正措置は責任者と期限を伴いクローズまで追跡。
よくある質問
MNDA 締結後に AoC を共有してもらえますか?
はい。MNDA 締結後、現行の PCI DSS Attestation of Compliance、ISO 27001 証明書、関連する範囲ステートメントを共有可能。SOC レポートは現在のプログラムには含まれない — ISO/IEC 27001 を発行している。
Coshine は PCI DSS 上の Service Provider ですか?
はい。Coshine は該当するデプロイメントで Level 1 サービスプロバイダーとして運用。範囲と SP 義務は契約により異なり、サービス契約に明記。
カード会員データはどこに保管されますか?
カード会員データ環境内に、HSM ベースの鍵で保存時暗号化し、承認された可用性境界内でレプリケート。書面による明示的指示なしに契約地域外へ移動しない。
当国内のデータ所在要件をサポートできますか?
可能性あり。Coshine が貴社の範囲で国内環境を運用するか、貴行が CDE をホストし Coshine がアプリ層を運用するかに依存。両トポロジ対応;正しい選択はプロジェクト固有。
脆弱性開示はどう扱いますか?
security@coshine.com 宛にメール(PGP key は Trust > 脆弱性開示ページにあり)。1 営業日以内に初回確認;協調的開示規範に従い、同意した報告者をクレジット。
CDE アクセスを持つスタッフに身元調査をしますか?
はい。カード会員データ環境への特権アクセスを持つ要員は入社時に身元調査を行い、その後も定められた頻度で再実施、現地労働法の範囲内で。
第三者 / サブプロセッサーのリスクをどう管理しますか?
目的、所在地、セキュリティ姿勢を含むサブプロセッサー一覧を維持;各々オンボーディング前と定期的にセキュリティレビューを実施。重大変更は契約に基づき影響顧客に通知。
適用範囲について
個別の認証と資格は、評価報告書に記載された事業体、環境、サービスに適用されます。Coshine は受審していない認証を主張せず、いかなる製品もすべての国の規制要件をすべて満たすとは表明しません。プロジェクト固有のコンプライアンス範囲は、サービス契約にてご確認ください。
