【制度対応】附属文書20に基づくWelcartのセキュリティ設定確認ポイント

[kamehouse]

クレジットカード・セキュリティガイドライン（経済産業省附属文書20）に基づく申告対応の一環として、Welcartの運用環境におけるセキュリティ設定について確認させていただきます。
現在、 wp-content/uploads/welcart-uptemp/ディレクトリ内にdb-backup.csvというバックアップファイルが生成・保存されていることを確認しております。
このディレクトリはWeb公開領域に該当するため、URLを直接指定することでCSVファイルがダウンロード可能な状態となっており、機密情報の露見リスクが懸念されます。
つきましては、以下の点についてご教示いただけますでしょうか：
① Welcartの仕様上、このファイルの保存先を非公開領域（例： wp-content/welcart-data/等）に変更することは可能でしょうか
② .htaccessによるアクセス制御（CSVファイルへの直接アクセス遮断）を推奨されているか
③ 本件について、ガイドライン上の「設定不備」として扱われる可能性があるかどうか
現在は .htaccessによる遮断を検討しており、保存先の変更も含めて対応方針を整理中です。ご確認のほど、よろしくお願いいたします。
——————————————-
WordPress のバージョン：6.8.2
Welcart のバージョン：2.11.20.2507221
PHP のバージョン：7.4.33
Welcart専用の拡張プラグインとバージョン：WCEX Sagawa Number 2.0.2、WCEX Yamato Number 1.2.3
ご利用の親テーマとバージョン :Welcart Basic 1.8.7
ご利用の子テーマとバージョン :Welcart Voll 1.4.3
利用している決済モジュール：e-SCOTT Smart　ソニーペイメントサービス
症状を確認したブラウザ：-
サーバー【重要】：さくらのレンタルサーバ スタンダード
——————————————–

[投稿者]

投稿