Stripe のセキュリティ

Stripe ユーザーは、機密データの取り扱いに関して当社に信頼を寄せており、顧客データの管理に関しても安心して任せていただいております。決済インフラ企業として、Stripe のセキュリティーに対する姿勢は、グローバルな金融産業の厳格な基準を満たすために日々進化しています。

基準および規制の遵守

Stripe はクラス最高のセキュリティ慣行を使用して高レベルのセキュリティを維持しています。

PCI 認定

PCI 認証を受けた監査人によって Stripe が監査され、PCI サービスプロバイダーレベル 1 であると認定されました。これは決済業界において最も厳しい認証レベルです。この監査には、Stripe の Card Data Vault (カードデータボルト、CDV) と、実装コードによる安全なソフトウェア開発の両方が含まれています。

Stripe では、PCI 準拠のいくつかの側面を自動化する機能をユーザーに提供しています。

• ユーザーの実装方法を分析し、使用する PCI 検証フォームを動的に通知します。
• ユーザーが Stripe Elements、Checkout、Terminal SDK 、または Stripe のモバイルライブラリを導入する場合は、ダッシュボードで PCI 検証フォーム (自己問診 A) の記入をサポートします。
• PCI 準拠と、Stripe のさまざまなサポートに関するユーザーへの研修に役立つ PCI 準拠ガイドを発行しています。

System and Organization Controls (システムと組織の管理、SOC) レポート

Stripe のシステム、プロセス、コントロールは SOC 1 および SOC 2 法令遵守プログラムの一環として定期的に監査を受けています。SOC 1 および SOC 2 タイプ 2 レポートは毎年生成されており、リクエストに応じて提供できます。

米国公認会計士協会 (AICPA) の Trust Service Criteria (TSC) の監査基準審議会は、SOC 3 レポートを策定しました。 Stripe の SOC 3 は、セキュリティ、可用性、機密性に対する内部管理の公開報告書です。最新の SOC 3 レポートをご覧ください。

カード端末用 EMVCo 基準

Stripe Terminal は、カードと端末のセキュリティと相互運用性のための EMV® Specifications において EMVCo レベル 1 および 2 の認定を受けています。また、Terminal は PCI Payment Application Data Security Standard (PA-DSS) の認定も受けています。これは、サードパーティー向けの決済アプリケーションによる、禁止された機密データの保存を防止することを目的としたグローバル規模のセキュリティ基準です。

NIST サイバーセキュリティフレームワーク

Stripe の一連の情報セキュリティポリシーとその総合的な策定は、NIST サイバーセキュリティフレームワークに沿っています。Stripe のセキュリティ慣行は、オンデマンドのクラウドコンピューティングやストレージプラットフォームなどの安全な製品を提供する必要がある大手顧客 (Digital Ocean や Slack など) の基準を満たしています。

プライバシーとデータ保護

Stripe のプライバシー慣行は、Stripe が取得した CBPR および PRP 認定から証明されるように、CBPR および PRP システムに準拠しています。Stripe の認定ステータスを確認するには、こちら (CBPR) とこちら(PRP) をクリックしてください。また、Stripe は、アメリカ商務省が定めるEU・アメリカ間データプライバシーフレームワーク (「EU-U.S. DPF」)、EU-U.S. DPF のイギリスへの拡張、およびスイス・アメリカ間データプライバシーフレームワークにも準拠しています。Stripe の認定を確認するには、こちらをご覧ください。

Stripe は、該当するすべてのプライバシーおよびデータ保護制度のもと、進化するプライバシーとデータ保護プロセス、手続き、ベストプラクティスを継続的に実装しています。詳細については、以下のリソースをご覧ください。

• プライバシーポリシー
• プライバシーセンター
• データ処理同意書

Stripe 製品の保護

セキュリティは、すべての製品設計とインフラの決定における Stripe の基本理念の 1 つです。ユーザーが Stripe データをより適切に保護できるように、幅広い機能を提供しています。

機密情報にかかわる操作の認証

Stripe ダッシュボードは、SMS、時間ベースのワンタイムパスワードアルゴリズム (TOTP)、ハードウェアセキュリティキー、パスキーといった、いくつかの形式の多要素認証 (MFA) に対応しています。また、Security Assertion Markup Language (セキュリティアサーションマークアップランゲージ) (SAML) バージョン 2.0 によるシングルサインオンにも対応しています。これにより、顧客によるサインイン要件の指定、アクセス管理の設定、ジャストインタイム (JIT) アカウントのプロビジョニング機能を使用したチームメンバーの即時アカウント登録が許可されます。

ユーザーからのサポートリクエストは、リクエストをダッシュボードから送信する (ログイン後) か、サポート応答が提案される前にアカウントのアクセス権を確認することにより、認証される必要があります。認証を求めることで、承認されていない人々に情報が提供されるリスクを最小限に抑えています。

アクセス制限と監査

ダッシュボードから、ユーザーは細分化されたさまざまな役割を割り当てて従業員に最低限のアクセス権限を設定できます。また制限付きのアクセスキーを作成して、API キーのセキュリティおよび信頼性に関するリスクを低減できます。

ユーザーは重要なアカウント変更とアクティビティーの監査ログを、セキュリティ履歴で表示することもできます。これらの監査ログには、ログインや銀行口座情報の変更といった、機密性の高いアカウントアクティビティーのレコードが含まれます。Stripe ではログインを監視し、以下に注意します。

• 同一または通常のデバイスによるものか
• 一貫した IP アドレスによるものか
• 支払いの失敗

ユーザーはログから履歴情報をエクスポートできます。未確認の IP やデバイスからのログインなど、時間的制約のあるアクティビティーについては自動通知が送られるため、ログを手動で確認する必要はありません。

安全な接続のための HTTPS および HSTS

Stripe では、公開されているウェブサイトやダッシュボードなどのすべてのサービスに、TLS (SSL) による HTTPS の使用を義務付けています。Stripe では定期的に実装の詳細を監査していて、これには Stripe が提示する証明書、使用する認証局、サポートする暗号などが含まれます。Stripe は HSTS を使用することで、ブラウザーが確実に HTTPS 経由でのみ Stripe と対話するようにしています。Stripe は、最新の主要ブラウザーすべての HSTS プリロードリストにも含まれています。

サーバーからサーバーへのすべての通信は、相互 TLS 認証 (mTLS) を使用して暗号化されます。また、Stripe にはユーザーが Stripe との通信を暗号化したり、Stripe から受け取った署名入りメッセージを確認するための専用 PGP キーがあります。Stripe のシステムは、以前の安全性の低い TLS バージョンで作成されたリクエストを自動的にブロックし、TLS 1.2 以上を使用するように求めます。

ダッシュボードや API サブドメインを含む stripe.com ドメインは、Chrome 向けのトップドメインリストに含まれ、ホモグラフ攻撃に対する特別な保護を提供しています。これにより、Chrome で stripe.com に似せた偽造ページが作成されにくくなり (たとえば、strípe.com は Punycode (xn–strpe-1sa.com) としてレンダリングされます)、さらに Stripe の認証についてもフィッシングされにくくなります。

事前のインターネット監視

Stripe では、加盟店の API キーについてインターネットを積極的に監視します。侵害されたキーが見つかった場合は、適切なアクションを実行し、API キーを取り消す必要があることをユーザーに通知します。Stripe は GitHub Token Scanner を使用して、ユーザーの API キーが GitHub で漏洩したときに警告を受け取ります。ユーザーがアクセスしてしまう可能性がある外部のフィッシングページが見つかった場合、Stripe はそれらのページを削除させるためにベンダーと積極的に連携し、Google セーフブラウジングに報告します。

インフラのセーフガード

Stripe のセキュリティチームは、脆弱性をスキャンし、侵入テストとレッドチーム演習を実施することにより、定期的にインフラをテストしています。業界トップのセキュリティ企業を採用し、自社システムのサードパーティーのスキャンを実行して、見つかった問題をすぐに解決します。サーバーは、健全性を維持し、古くなった接続やリソースを破棄するために、頻繁に自動で交換されます。サーバーのオペレーティングシステムは、セキュリティの使用終了 (EOL) 日より前に余裕をもってアップグレードされます。

専用カードテクノロジー

Stripe は送信中と保存時の両方に機密データを暗号化します。クレジットカード番号をはじめとする、プライマリーアカウント番号 (PAN) の保存、複合化、送信のための Stripe のインフラは、別のホスティングインフラで実行され、残りのサービスと信用情報を共有しません。専任チームが、Stripe の残りのインフラから隔離されたアマゾンウェブサービス (AWS) 環境で CDV を管理します。この隔離環境へのアクセスは、特別なトレーニングを受けた少数のエンジニアに制限されており、アクセスは四半期ごとに審査されます。

すべてのカード番号は AES-256 で保存時に暗号化されます。復号化キーは別のマシンに保存されます。PAN は内部でトークン化され、残りのインフラから生の数値データを隔離します。Stripe の内部サーバーとデーモンはプレーンテキストのカード番号を取得できませんが、静的な許可リストにあるサービスプロバイダーにカードを送信するようにリクエストできます。カード番号を保存、復号、送信するための Stripe のインフラは、独立したホスティング環境で実行され、API やウェブサイトを含む Stripe の主要サービスと認証情報を共有しません。この方法でトークン化されるのは PAN だけではなく、Stripe は銀行口座情報など、ほかの機密データも同様の方法で扱います。

コーポレートテクノロジー

Stripe は従業員のアクセス管理にゼロトラストアプローチを導入しています。従業員は SSO、ハードウェアベースのトークンを使用した 2 段階認証 (2FA)、Stripe が発行したマシンで認証を受けた暗号化による mTLS を使用して認証されます。ネットワークへの接続後、機密性の高い社内システムと、従業員の標準的な作業の範囲外の機能には追加のアクセス許可が求められます。

Stripe は監査ログを監視して異常を検出し、侵入と疑わしいアクティビティーを監視し、コードベース内の機密ファイルへの変更も監視します。すべての Stripe のコードは、複数の関係先の審査と自動テストを受けます。コード変更は、不変の改ざん検知ログに記録されます。Stripe は常に Stripe が発行するノート PC に関する情報を収集して、悪意のあるプロセス、不正利用のドメインへの接続、侵入者のアクティビティーを監視します。Stripe には、従業員のノート PC に対して許可するソフトウェアを許可リストに登録し、無許可のアプリケーションのインストールを防止する総合的なプロセスがあります。

セキュリティに対する姿勢のメンテナンス

当社の開発者は、プロジェクトのライフサイクルの早い段階でセキュリティ分野の専門家と協力します。セキュリティ審査処理の一環として、セキュリティの専門家がプロジェクトの実装の指針となる脅威モデルと信頼境界線を策定します。開発者はこれと同じプロセスを使用して、コードの機密性の高い要素に変更を加えます。

要求による専任の専門家

当社には、インフラ、オペレーション、プライバシー、ユーザー、アプリなど複数のセキュリティ分野に特化した専属のセキュリティーチームが多数存在します。セキュリティの専門家が常に待機し、年中無休で対応しています。Stripe は、ベストプラクティスの水準を常に引き上げ、サイバーセキュリティのリスクを最小限に抑えることに注力しています。

セキュリティは Stripe 従業員全員の責務

Stripe では、従業員全員に年 1 回セキュリティ教育の完了を義務付け、エンジニアには安全なソフトウェア開発に関するトレーニングを提供しています。また、従業員がフィッシング行為を認識し、適切なセキュリティチームに報告できるかどうかをテストするために、社内でフィッシングキャンペーンを実施しています。

アクセス制御を管理する

Stripe には、システムと情報にアクセス権を付与する公式プロセスがあります。アクティブではないアクセスを定期的に確認し、自動的に削除します。インフラの最も機密性の高い領域の操作には、審査担当者による審査が必要です。アクセス管理のベストプラクティスを有効にするために、セキュリティ専門家は、プリミティブを構築し、Stripe のチームが最小権限の原則を実装できるようにサポートします。リスクを最小限に抑えるために、Stripe には保持するデータを最小限に抑えながら、規制とビジネスの要件に準拠するデータ保持ポリシーがあります。

脆弱性の開示と報酬プログラム

Stripe は、ユーザーを安全を保つ手助けをする独立したセキュリティ研究者に対して補償する、脆弱性の開示と報酬プログラム (「バグ報奨金」プログラム) を維持しています。お客様は、HackerOne を通じて Stripe にセキュリティバグまたは脆弱性を提出することによって、プログラム利用規約を読み、同意したものとみなされます。バグ報奨金プログラムに参加する方法について、詳細は HackerOne のポリシーをご確認ください。