エージェントまたはエンドユーザーが確認のために、クレジットカード番号の下4桁をチケットで使用する必要がある場合、チケットフォームにクレジットカードフィールドを追加できます。
この記事では、クレジットカード識別フィールドの追加方法と、Zendeskのセキュリティを強化するためのその他の推奨事項について詳しく説明します。推奨事項に従っても、ZendeskがPCIに準拠するわけではありませんが、安全性が向上します。
次のトピックについて説明します。
クレジットカード番号フィールドをチケットフォームに追加する
チケット内でクレジットカード番号フィールドを使用すると、エンドユーザーやエージェントが照合確認のためのクレジットカード番号の下4桁を入力できるようになります。
このセクションでは、フィールドを追加する方法と、制限の概要について述べます。
クレジットカード番号フィールドを追加するには
- Zendeskアカウントに管理者としてログインします。
- 管理センターで、サイドバーの「
オブジェクトとルール」をクリックし、「チケット」>「フィールド」を選択します。 - 右側の「フィールドを追加」をクリックします。
- 「クレジットカード」フィールドをクリックします。
- 以下のフィールドプロパティを設定し、「保存」をクリックします。
フィールドプロパティ 値 タイトル 任意の名前 エンドユーザーは読み取り専用 未選択(後述のメモを参照) エンドユーザーが編集可能 未選択
制限事項
クレジットカード番号フィールドに対する既知の制限は以下のとおりです。
製品に対する制限
- Zendesk Supportモバイルアプリ:フィールドは読み取り専用です。
- Web Widget:フィールドは、フィールドはサポートされません。
- モバイルSDK:フィールドは4桁の数字のみ入力可能です。
- App Frameworkアプリ:Zendeskマーケットプレイスからインストールしたアプリにフィールドを組み込んだ場合、Zendeskで墨消しされる前に、送信用フィールドの内容がアプリのブラウザコンソールに表示される可能性があります。すべてのアプリについて、アクティベートする前に、この脆弱性がないかどうか評価してください。
- チケット共有:フィールドはZendeskアカウント間で共有できません。
その他の制限
- Zendesk Supportは、クレジットカード番号全体を保管しません。
- PCIではクレジットカード番号の上6桁と下4桁の保管が許可されていますが、Zendesk Support内のクレジットカードフィールドでは下4桁のみを保管します。
- クレジットカード番号フィールドに保存できるのは、数字だけです。フィールドに入力された他の文字は、入力が保存されるときに削除されます。
- 初期状態のままでは、クレジットカード認証データに関連した他のフィールドをそのまま使えるようになっていません。関連するフィールドとして、有効期限、CVV番号、PIN番号などのフィールドがあります。Zendesk SupportをPCIに準拠した方法で運用するには、サポートチケットのコメント内でこの種の情報の提供をエンドユーザーに求めるべきでありません。PCI DSS(Data Security Standard)では、クレジットカード認証処理でのみ、これらの情報の使用を許可しており、Zendesk Supportは支払い処理アプリケーションではありません。
- 管理者が実装した追加機能により、クレジットカードフィールドのセキュリティが影響を受けることもあります。当社の「アクショナブルセキュリティガイド」に記載されている推奨事項の実施を検討してください。
推奨事項:その他のフィールドで自動墨消しを有効にする
エンドユーザーまたはエージェントが、クレジットカード番号フィールドを必ず使用するとは限りません。クレジットカード番号をチケットコメントや、ほかのカスタムチケットフィールドに入力してしまうこともありえます。これらの番号を墨消しする方法については、ヘルプセンターで「クレジットカード番号をチケットで自動的に墨消しする方法」を参照してください。
メモ:この機能は、現時点ではPCI準拠ではありません。この機能は、カード所有者のデータが、Zendeskアカウントとメール通知を通じて拡散しないようにするための追加のセキュリティレイヤーとして提供されます。