メルカリはなぜクレジットカード情報を登録する際にセキュリティコードまで登録させるのか？: 駄文と書評

GMOペイメントゲートウェイのクレジットカード情報流出事件をツイッターで追っかけていると興味深いツイートに遭遇した。加盟店側としては三井住友カードと提携して自社ブランドカードも発行しているフェリシモとか、メルカリもセキュリティコードをDBに保存しているよね pic.twitter.com/zHzheRxGxC — ayunyan (@ayunyan) 2017年3月11日 なんと、メルカリもセキュリティコードをDBに保存しているようである。 メルカリ 「保存しているようである」と記載している理由としては、これが、決済時の画面ではなく「会員情報」の付帯情報として入力する「カード情報」登録画面でセキュリティコードを入力させているからですな。 「ここではセキュリティコードを入力させるだけで実際は保存してないんですよー」とメルカリの運営スタッフは弁明するのかもしれないけど、少なくとも、何の支払処理

[chopapapa]

タイトル通りホントに駄文だった。PCI-DSSについて調べてから物を言え。/PCI-DSSに準拠してないとそもそもクレカ扱えない（カード会社に認めてもらえない）し、準拠するにはセキュリティコードは保存されてはならない。

[tanakakazu]

セキュリティーコードを含んだクレカ情報が漏れたってニュースは何度か目にしたことがあるんで「カード会社が認めてるからには保存してない」という理屈はあまり納得できない

[yoya]

普通にトークン払い出しで説明つくような。。本気で気になるならメルカリに問い合わせれば良いかと。

[f-shin]

利用はしても保存しちゃいけないんで，ふつうは保存しないです．入力=DB保存ではない．

[mikage014]

普通は規約に従って保存しないのだがデバッグ用に入力パラメータをログに書き出す機能が意図せず本番環境で動いていたりなど不注意が元で漏洩する事例がまれによくある

[taku-o]

メルカリには保存されていない。/ GMO PG側は、認証時にクレジットカード会社間とで使える仮コード発行するとかそんな感じかもしれない / GMO PGはカード番号を持ってる。こちらはトークンとかにはできなそう。すぐには

[marisatokinoko]

明示されていない以上、利用者が勝手に好意的に解釈する必要もないとは思うが…聞けばわかる事なんでこういう記事書くのは結構危ういと思う

[dohq]

> 今ある情報から考えると、データベースに暗号化されない状態… どこをどう見て暗号化されてないと思ったのか

[tmatsuu]

与信審査（Authorization）のタイミングでセキュリティコードを確認することはあるので購入を伴わなくても入力を求めるのはおかしくないよ。それを保存してるかは別として。

[karumado]

入力欄があったからDBに保存されてると考えるのはいくらなんでも乱暴すぎでは？？ とはいえ、フォーム上でそれを確認することは出来ないから、きちんと認証受けてますよとかアピールし信頼してもらうしかないのかなぁ

[tinsep19]

1円オーソリだとしても、ユーザーを不安にさせるよりはカード情報を確認するために入力してください。保存しません。と明示したほうがよいのだろうな。

[armadillo75]

1円くらいでオーソリかけるのに使う。DBに保存するとは限らない。 “そのカードが正しいカードかチェックするため、0円でカード決済させるためにセキュリティコードを入力させる”

[b7968]

[?]

[reachout]

メルカリユーザの大半はクレジットカード持ってないのでは無いだろうかって

[youichirou]

“会員情報でセキュリティコードを入力させるのは、そのカードが正しいカードかチェックするため、0円でカード決済させるためにセキュリティコードを入力させるとか？” …でビンゴだと思います。

[junjun777]

OK:カード情報の確認のためで保存はしてない。NG:セキュリティコードのDB保存。ま、多分OKの方だろうし、登録時にチェックしたいのもわからないではない。明記して欲しいよね。

[bottomzlife]

いや、本人が言ってるように1円オーソリで実在確認するためのセキュリティコード取得でしょ