目次
「げすたん」セキュリティ監査基準
【チェスト保護】
- 取引用のチェストには最低限パスワード設定保護が行われているか。
- フリーチェストには/cpublicの保護が行われているか。
- パスワードは単純な文字列(aaaa、1234など)、推測が容易なもの(Pass,Password,資源番号)などを避けているか
- パスワードは半角文字のみで構成され、全角文字が入力不能なユーザーでも使用可能なものになっているか
- パスワードはわかりにくい所への掲出、PMでの聞き出しが前提など、利用者の注意を喚起する方式になっているか
- パスワードが直接明示されている場合、店主本人はそのリスクと、自らも責任を負うことを承知しているか。
【領域保護】
- 店舗に領域保護をかけているか
- 保護をかけていない場合、店主本人は荒らし被害のリスクを承知しているか
【ガチャ・自動販売機、これらに類するRS回路を用いた機械による販売】(2014/12/19追記)
- 対価として利用者が投入すべきアイテムの種類・数量を明記しているか。
- 何が商品または景品として出てくるのか、明確に表示されているか。(~など、といった限定的ではない、曖昧で利用者の誤解を招きトラブルにつながる恐れのあるものは不可)
- 対価のアイテム以外の投入アイテムを受け付けない、いわゆる「選別機能」は実装されているか。
- 販売量を超える対価が投入された場合、または、対価が連投された場合の対応策について店主は考えているか。
- 回路部分の保護、あるいは回路室部分への不正侵入の防止、破壊・不正改造防止の措置を行っているか。もしくは、それらの措置を行っていない場合、何らかの不正な利用をされ、損害を受けるリスクについて店主は承知しているか。
- 品切れの際に、利用者がそれを確認し、対価の誤投入を防ぐ為の機能を実装しているか。
- 監査の際に実際に機構を稼働させ、出店者が意図している通りの動作をするか。
【会員制店舗】(2014/12/19追記)
- 会員登録のための手続き方法について明記しているか。
- 会員制であっても、利用者が悪意を持って会員登録を行い、店主がそれを認めてしまった場合、窃盗等のトラブルが発生する事を完全には防げない事を承知しているか。
【その他チェック項目】
- 店舗部分の湧き潰しはなされているか
- 店舗内の表記は「店主ID」「連絡方法等」「取引対価の単位、表記説明」「取引あたりの数量」が明記されているか。
*1 不明な点、判断が分かれそうな事柄などが生じた場合は、チェック作業に当たる組合員はその都度専用チャットチャンネルで 他の組合員に意見を求め、討議しつつ判断していくものとします。
*2 二回目以降も同様の出店内容で監査を受ける場合、監査する組合員に対して前回と同様の旨伝える事で各項目のチェックを 省略できるものとします。(ただし、項目ごとの省略であって全体省略は不可)
*3 確実性を保つため、監査は2人以上の組合員の立会の上で行うものとします。