StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。 また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。
Stripe+PHPでセキュアで安全な決済機能を作る
View Slide
2
自己紹介◉ 株式会社イノベーター・ジャパン◉ 穴井 怜◉ Twitter @gorou_178◉ ファイル転送サービスtenpu◉ JP_Stripes運営メンバー◉ コーヒー◉ ハーフマラソン
クレジットカード情報漏洩事件◉ 某大型家電量販店サイト◉ 某鉄道会社の通販サイト◉ etc...◉ 今年に入って数十件発生
?原因は?
原因1. クレジットカード情報を保持2. アプリケーションが脆弱
?どう対策すればよい?
推奨方法◉ 2018年の6月1日に改正割賦販売法が施行◉ カード情報保護が義務になった◉ カード情報漏洩対策として、非保持化またはカード情報を持つならPCI DSS準拠が必要
?非保持化?
非保持化とは?通過させない10保存しない処理しない
Stripeで非保持化◉ Stripe Elementで簡単に非保持化が可能○ iframeで動作しているためサイトを通過しない○ ほぼコピペで完了◉ PCI DSS準拠◉ SDKは多くの言語をサポート○ PHP・Ruby・Python・Java・Node・Go・.NET
?導入は簡単テストは?
OpenAPI
OpenAPI◉ OpenAPIとは○ Swaggerと呼ばれていた◉ RESUful APIを記述するためのフォーマット○ YAML or JSON◉ Stripe APIはOpenAPIを公開している○ Github stripe/openapi◉ モックとして動かせる参照: https://github.com/stripe/openapi
“stripe-mock
stripe-mock
アプリケーションが脆弱(サイト改変)偽のカード入力画面カード情報漏洩必ず失敗本当のカード入力画面
アプリケーションが脆弱◉ 非保持化していたとしても漏洩する◉ 今年発生した漏洩事件のほとんどがサイト改変◉ 非保持化だけでは安全ではない
基本的な対策◉ サーバのミドルウェアのバージョンアップ(パッチ適用)◉ アプリケーションの脆弱性対策◉ ライブラリのバージョンアップ◉ 基本的な対策が一番大切参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html
ありがとうございました