加盟店側としては三井住友カードと提携して自社ブランドカードも発行しているフェリシモとか、メルカリもセキュリティコードをDBに保存しているよね pic.twitter.com/zHzheRxGxC
— ayunyan (@ayunyan) 2017年3月11日
なんと、メルカリもセキュリティコードをDBに保存しているようである。
メルカリ
「保存しているようである」と記載している理由としては、これが、決済時の画面ではなく「会員情報」の付帯情報として入力する「カード情報」登録画面でセキュリティコードを入力させているからですな。

「ここではセキュリティコードを入力させるだけで実際は保存してないんですよー」とメルカリの運営スタッフは弁明するのかもしれないけど、少なくとも、何の支払処理もしない状態でセキュリティコード入力させるってちょっと意味わからんですよ。
メルカリのデータベースにカード番号、有効期限、セキュリティコードが会員情報として保存されているとしたら、メルカリを運用するスタッフが勝手にデータベースの中身を見てカード番号、有効期限、セキュリティコードを入手できちゃう可能性あるよなぁ。
これはまったくもって意味わからん仕様ですな。
それとも、会員情報でセキュリティコードを入力させるのは、そのカードが正しいカードかチェックするため、0円でカード決済させるためにセキュリティコードを入力させるとか?
うーむ。今一つよくわからん謎仕様やな。
しかもPCIDSSでは、前の記事にも書いたけど、セキュリティコードを保存しちゃいかんよと書かれてるんだよなー。
PCI DSSのカード会員データとは何ですか?(J-801)
・プライマリーアカウント番号(PAN)
※以下の要素は、PANと共に保存、処理、送信される場合、またはカード会員データ環境(CDE)に存在する場合、カード会員データとして保護される必要があります。
・カード会員名
・有効期限
・サービスコード
(2016.8.5)
機密認証データとは何ですか?(J-802)
・フルトラックデータ(磁気ストライプデータまたはチップ上の同等データ)
・CAV2/CVC2/CVV2/CID
・PIN または PIN ブロック
※これらはオーソリゼーション(承認)後、暗号化していても保存してはいけません。これは環境内にPANがない場合にも当てはまります。(2016.8.5)
GMOペイメントゲートウェイの利用者数よりメルカリの利用者の方が圧倒的に多そう(フリマアプリ「メルカリ」、日米合計5,500万ダウンロード突破)なんだが、これは大丈夫なんだろうか??
今ある情報から考えると、データベースに暗号化されない状態でカード番号、有効期限、セキュリティコードが保存されている可能性は高そうなんだがどーなんやろ?
こんだけ利用者がいるからには利用者の中にはセキュリティに詳しい人もいるだろうから、その人達がこれまで何も声高に叫んでないってことは問題ないんかなぁ。
でも、セキュリティコードを会員情報の一部の情報として保存させるってのはやはりよくわかんないな。
教えて、エライ人。