セキュリティ声明

1. 通信の安全

PayCore の決済ページ、API、管理サービスは HTTPS でアクセスし、通信中の傍受や改ざんリスクを低減する必要があります。

2. 認証情報と権限

API Key、Webhook Secret、管理者アカウント、決済認証情報は機密情報です。加盟店はアクセス制限、漏えい確認、疑いがある場合の停止またはローテーションを行う必要があります。

3. 署名と検証

Callback、Webhook、payok_url 通知を受信する際は、送信元、署名、タイムスタンプ、取引状態を検証してください。フロントエンド遷移や未検証通知のみで成功判断しないでください。

4. 取引追跡

PayCore は取引ライフサイクル追跡と問題調査のため、必要な決済状態、通知、コールバック、同期、エラー記録を保持します。

5. リスク管理

PayCore は異常取引、不審なリクエスト、攻撃トラフィック、第三者決済応答、法令要件に基づき、特定のリクエストや決済フローを停止、拒否、制限する場合があります。

6. 加盟店システムの安全

加盟店は自社サイト、サーバー、データベース、管理画面、連携コードを安全に保つ必要があります。加盟店側の脆弱性、プラグイン、パスワード管理、データ漏えいによる損失について PayCore は責任を負いません。

7. 通知の信頼性

通知と再送機能は提供されますが、加盟店サーバー、ファイアウォール、DNS、第三者サービス、ネットワーク状況に影響されます。冪等性と能動的な状態照会を実装してください。

8. セキュリティ報告

疑わしいセキュリティ問題を発見した場合は、再現手順、時刻、URL、エラー、影響範囲をサポートセンターへ提供してください。脆弱性の公開や悪用は行わないでください。