Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Stripe+PHPでセキュアで安全な決済機能を作る

gorou_178
June 29, 2019
Programming
0
1.7k

 Stripe+PHPでセキュアで安全な決済機能を作る

StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。
また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。

gorou_178

June 29, 2019
Tweet

More Decks by gorou_178

See All by gorou_178
Spring Bootで作成したAPIテストのコスパを高めよう!
gorou_178
1
770
「エンジニアのための ドキュメントライティング」書籍のすすめ / phpconfuk 2023
gorou_178
2
960
EventBridgeの運用について
gorou_178
0
170
Stripe Appsと自サービスの連携作法
gorou_178
0
170
Laravelのsession設定を変えて 劇的にパフォーマンスを改善した話
gorou_178
0
1.6k
Stripeとアプリケーションの関係を可視化してみた
gorou_178
0
770
Stripeでの増税対応
gorou_178
0
710
Stripeを利用した決済機能をテストする
gorou_178
1
5.5k
tenpuでのStripe活用事例
gorou_178
0
300

Other Decks in Programming

See All in Programming
OnlineTestConf: Test Automation Friend or Foe
maaretp
0
110
CSC509 Lecture 12
javiergs
PRO
0
160
Jakarta EE meets AI
ivargrimstad
0
590
よくできたテンプレート言語として TypeScript + JSX を利用する試み / Using TypeScript + JSX outside of Web Frontend #TSKaigiKansai
izumin5210
6
1.7k
ピラミッド、アイスクリームコーン、SMURF: 自動テストの最適バランスを求めて / Pyramid Ice-Cream-Cone and SMURF
twada
PRO
10
1.3k
Outline View in SwiftUI
1024jp
1
320
LLM生成文章の精度評価自動化とプロンプトチューニングの効率化について
layerx
PRO
2
190
Flutterを言い訳にしない!アプリの使い心地改善テクニック5選🔥
kno3a87
1
150
Macとオーディオ再生 2024/11/02
yusukeito
0
370
3 Effective Rules for Using Signals in Angular
manfredsteyer
PRO
1
100
Generative AI Use Cases JP (略称:GenU)奮闘記
hideg
1
290
とにかくAWS GameDay!AWSは世界の共通言語! / Anyway, AWS GameDay! AWS is the world's lingua franca!
seike460
PRO
1
860

Featured

See All Featured
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
Embracing the Ebb and Flow
colly
84
4.5k
Navigating Team Friction
lara
183
14k
Scaling GitHub
holman
458
140k
The World Runs on Bad Software
bkeepers
PRO
65
11k
Art, The Web, and Tiny UX
lynnandtonic
297
20k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Being A Developer After 40
akosma
86
590k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
Agile that works and the tools we love
rasmusluckow
327
21k
The Pragmatic Product Professional
lauravandoore
31
6.3k

Transcript

  1. Stripe+PHPで セキュアで安全な決済機能を作る

  2. 2

  3. 自己紹介 ◉ 株式会社イノベーター・ジャパン ◉ 穴井 怜 ◉ Twitter @gorou_178 ◉

    ファイル転送サービスtenpu ◉ JP_Stripes運営メンバー ◉ コーヒー ◉ ハーフマラソン

  4. クレジットカード情報漏洩事件 ◉ 某大型家電量販店サイト ◉ 某鉄道会社の通販サイト ◉ etc... ◉ 今年に入って数十件発生

  5. ? 原因は?

  6. 原因 1. クレジットカード情報を保持 2. アプリケーションが脆弱

  7. ? どう対策すればよい?

  8. 推奨方法 ◉ 2018年の6月1日に改正割賦販売法が施行 ◉ カード情報保護が義務になった ◉ カード情報漏洩対策として、非保持化またはカー ド情報を持つならPCI DSS準拠が必要

  9. ? 非保持化?

  10. 非保持化とは? 通過 させない 10 保存 しない 処理 しない

  11. None
  12. None
  13. None

  14. Stripeで非保持化 ◉ Stripe Elementで簡単に非保持化が可能 ◦ iframeで動作しているためサイトを通過しない ◦ ほぼコピペで完了 ◉ PCI

    DSS準拠 ◉ SDKは多くの言語をサポート ◦ PHP・Ruby・Python・Java・Node・Go・.NET

  15. ? 導入は簡単 テストは?

  16. OpenAPI

  17. OpenAPI ◉ OpenAPIとは ◦ Swaggerと呼ばれていた ◉ RESUful APIを記述するためのフォーマット ◦ YAML

    or JSON ◉ Stripe APIはOpenAPIを公開している ◦ Github stripe/openapi ◉ モックとして動かせる 参照: https://github.com/stripe/openapi

  18. “ stripe-mock

  19. stripe-mock

  20. 原因 1. クレジットカード情報を保持 2. アプリケーションが脆弱

  21. アプリケーションが脆弱(サイト改変) 偽のカード入力画面 カード情報漏洩 必ず失敗 本当のカード入力画面

  22. アプリケーションが脆弱 ◉ 非保持化していたとしても漏洩する ◉ 今年発生した漏洩事件のほとんどがサイト改変 ◉ 非保持化だけでは安全ではない

  23. 基本的な対策 ◉ サーバのミドルウェアのバージョンアップ(パッチ 適用) ◉ アプリケーションの脆弱性対策 ◉ ライブラリのバージョンアップ ◉ 基本的な対策が一番大切

    参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記 https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html

  24. ありがとうございました