開発者向けサポート

Apps開発における免責事項

免責

作成したAppsおよびその動作の結果として生じたすべての損害について、Appsの作成者が責任を負うものとします。
この具体例として下記がありますが、これに限定するものではありません。

  • Appsの不具合・障害により生じた損害
  • Appsの不具合・障害によりebisumartの店舗にて意図せぬ挙動が生じ、それによって生じた損害
  • AppsおよびAppsの動作環境に存在するセキュリティホールが攻撃されたことによって生じた損害
  • AppsおよびAppsの動作環境に対する不正アクセスによって発生した情報漏洩、およびそれによって生じた損害

個人情報漏洩に関する注意事項

Appsの作成者は、個人情報及び機密情報を意図せぬ相手に公開しないよう、必要な対策をとる必要があります。
この具体例として下記がありますが、これに限定するものではありません。

Appsとebisumartとの間の通信すべてにおいて、十分な強度の暗号化を行う必要があります。Appsと他のシステムとの間の通信においても、セキュリティの観点から必要性を判断して暗号化を行ってください。
処理カスタマイズAPIのパラメーターには、個人情報および機密情報が含まれる場合があります。
これらの情報を意図せぬ相手に公開しないよう、必要な対策をとる必要があります。

エンドユーザーがebisumartに送付したリクエストの処理の途中で処理カスタマイズAPIもしくはビューアドオンAPIが呼び出された場合、そのAPIへのレスポンスに含まれる情報は、該当エンドユーザーに送付される可能性があります。
該当エンドユーザーに開示すべきではない情報(例:他のユーザーの個人情報、該当店舗の機密情報)が、処理カスタマイズAPIもしくはビューアドオンAPIのレスポンスに含まれることがないよう対策する必要があります。

データアクセスAPIの返り値には、個人情報および機密情報が含まれる場合があります。
これらの情報を意図せぬ相手に公開しないよう、必要な対策をとる必要があります。

全ての通信に対して適切なアクセス制御を行う必要があります。
ebisumartからAppsを呼び出す通信では、HMACによるメッセージ認証を利用してください。(Apps側でのメッセージ認証
ebisumart以外からの通信を受け付ける場合は、下記のいずれかの方法で認証を行ってください。

  • Appsにて作成した機能を利用した、パスワード等による認証
  • IPアクセス制限
  • その他、該当情報に対するアクセスを許可してよいかを認証できる適切な方法

脆弱性に対する注意事項

Appsの作成者は、作成するAppsに脆弱性が含まれないよう、必要な対策をとる必要があります。
対策するべき脆弱性の種類および対策の方法については、IPAが公開している「安全なウェブサイトの作り方」を参考にすることをお勧めします。
Appsにおいて特に注意するべき脆弱性として、AppsからデータアクセスAPIを呼び出す際のパラメーターに対するインジェクションがあります。
Appsに対するWebリクエストのパラメーターに含まれる文字列を使ってデータアクセスAPIのパラメーターを構築する場合は、必要なエスケープ処理を行ってください。

その他注意事項

データアクセスAPIの実行頻度は1秒につき1回以下でお願いします。