データベースに持つクレジットカード情報について

Question

いつもお世話になっております。

現在RailsでWebサービスを運用しようと考えております。
そのサービスなかでクレジットカード情報を入力させ、定期課金を行おうと考えております。

マイページから、クレジットカード情報変更などができるように考えているのですが、顧客のクレジットカード情報はどこまでデータベースに持つべきでしょうか。

Amazonなどを見てみると、一度クレジットカード情報を登録すると、再度セキュリティーコードなどの情報を入力することなく、決済できてしまうことから、16桁のコード、期限、およびセキュリティーコードはamazonがデータベースに持っているということでしょうか？

その場合はかなり危険に思えるのですが……。

それとも、一部のみ情報を持ち、APIなどをたたいて、残りの情報を取得するなどしているのでしょうか。

ご存知の方がいらっしゃいましたら、ご教示いただけますと幸いです。
よろしくお願いいたします。

Accepted Answer

PCI DSS が参考になると思います。

**追記**
クレジットカードの取り扱いに関するガイドラインが出る以前の古い質問ですが、参考まで。
[暗号化すべき情報とは？](https://teratail.com/questions/43815)

Answer

クレジットカード番号はそれ単体では個人情報ではありませんが、「マイページで登録する」ということは、そのクレジットカードの所有者情報も対となって登録されるはずですよね。
名前や電話番号、住所など

となると「容易照合性」によりガッツリ個人情報となります。

つまり「個人情報取り扱い事業者」となるわけですね。
ここからはプライバシーマークなり個人情報保護法の話になるのでもっと詳しく専門家に入ってもらう必要があるのですが、私見としては、**いち個人が保有していい情報の範疇は超えている**と思います。

もし個人でないなら自社の個人情報保護方針と取り扱いを確認してください。
多くの企業では外部の決済サービスを利用し、手元に情報は持っていないはずです。
Amazonなど超大手は独自の仕組みやセキュリティ回りをきちんとしていると言っても良いですし、狙うクラッカーも多いので見込んで莫大な費用をかけて対策も行っているのでしょう。

Answer

過去ログ [決済システムを組むのに必要な知識とスキル](https://teratail.com/questions/21570) にクレジットカード決済を含む質問があります。
セキュリティ対策も含めてきちんと対応できなければ決済代行システムを利用した方が良いです。データを盗まれて億単位の被害が出たら責任を負えますか？

Answer

持つべきじゃないですね。
（こんな所で質問するレベルなら尚更。）

決済代行サービスを検討するべきでしょう。

関連した質問