PCI-DSS 範囲外を維持する:カード情報をサーバーに触れさせない

18 席のレストランを経営し、QR メニューから直接カード決済をさせたい。生 PAN がサーバーに触れた瞬間、PCI-DSS SAQ-D 範囲に入り、ペンテスト・ASV スキャン・セグメンテーション監査で簡単に 8,000 EUR+/年が発生します。正しいアーキテクチャならゼロ。

SAQ-A と SAQ-D の違い

SAQ-A は最も軽量な PCI-DSS 自己評価で、カード情報を完全に外部委託する加盟店向けの 22 問の Yes/No アンケートです。法務コスト:0 EUR。

SAQ-D はカード情報がメモリ、ログ、一時変数に触れた瞬間に適用されます。年間 8,000~15,000 EUR のコンプライアンスコストを想定してください。

Stripe Elements パターン

Stripe.js Elements はカード入力欄を js.stripe.com から配信される iframe 内にレンダリングします。PAN・CVV・有効期限はあなたのアプリと origin を共有せず、JavaScript からも読めません。

• 顧客がカードを入力 → Stripe iframe 内に留まる
• フロントが stripe.confirmCardPayment(secret) を呼ぶ
• サーバーはトークン(pi_xxx)のみ受信

thMenu のデフォルト動作

thMenu Platinum プランは Stripe Elements を標準採用しています。"カードをサーバーに送信する"オプションは存在せず、バックエンドコードは PAN を一切参照しません。3D Secure 2.0 と PSD2 SCA も Stripe 側で処理されます。

日本の飲食店なら、経産省や金融庁とカード保持について追加の協議をする必要がなく、SAQ-A をアクワイアラに提出するだけで済みます。

FAQ

SAQ-A に年次監査は必要? 不要。自己評価を年 1 回記入してアクワイアラに申告するだけ。

Stripe Webhook で範囲に戻る? 戻りません。Payload は末尾 4 桁・ブランド・有効期限のみで、完全 PAN は含みません。

電話注文ではどうする? スタッフがカードを入力すると SAQ-D に。Stripe Terminal または Payment Links を使ってください。

お役に立ちましたか?シェアしてください。