$30 off During Our Annual Pro Sale. View Details »

Stripe+PHPでセキュアで安全な決済機能を作る

 Stripe+PHPでセキュアで安全な決済機能を作る

StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。
また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。

gorou_178

June 29, 2019
Tweet

More Decks by gorou_178

Other Decks in Programming

Transcript

  1. Stripe+PHPで
    セキュアで安全な決済機能を作る

    View Slide

  2. 2

    View Slide

  3. 自己紹介
    ◉ 株式会社イノベーター・ジャパン
    ◉ 穴井 怜
    ◉ Twitter @gorou_178
    ◉ ファイル転送サービスtenpu
    ◉ JP_Stripes運営メンバー
    ◉ コーヒー
    ◉ ハーフマラソン

    View Slide

  4. クレジットカード情報漏洩事件
    ◉ 某大型家電量販店サイト
    ◉ 某鉄道会社の通販サイト
    ◉ etc...
    ◉ 今年に入って数十件発生

    View Slide


  5. 原因は?

    View Slide

  6. 原因
    1. クレジットカード情報を保持
    2. アプリケーションが脆弱

    View Slide


  7. どう対策すればよい?

    View Slide

  8. 推奨方法
    ◉ 2018年の6月1日に改正割賦販売法が施行
    ◉ カード情報保護が義務になった
    ◉ カード情報漏洩対策として、非保持化またはカー
    ド情報を持つならPCI DSS準拠が必要

    View Slide


  9. 非保持化?

    View Slide

  10. 非保持化とは?
    通過
    させない
    10
    保存
    しない
    処理
    しない

    View Slide

  11. View Slide

  12. View Slide

  13. View Slide

  14. Stripeで非保持化
    ◉ Stripe Elementで簡単に非保持化が可能
    ○ iframeで動作しているためサイトを通過しない
    ○ ほぼコピペで完了
    ◉ PCI DSS準拠
    ◉ SDKは多くの言語をサポート
    ○ PHP・Ruby・Python・Java・Node・Go・.NET

    View Slide


  15. 導入は簡単
    テストは?

    View Slide

  16. OpenAPI

    View Slide

  17. OpenAPI
    ◉ OpenAPIとは
    ○ Swaggerと呼ばれていた
    ◉ RESUful APIを記述するためのフォーマット
    ○ YAML or JSON
    ◉ Stripe APIはOpenAPIを公開している
    ○ Github stripe/openapi
    ◉ モックとして動かせる
    参照: https://github.com/stripe/openapi

    View Slide


  18. stripe-mock

    View Slide

  19. stripe-mock

    View Slide

  20. 原因
    1. クレジットカード情報を保持
    2. アプリケーションが脆弱

    View Slide

  21. アプリケーションが脆弱(サイト改変)
    偽のカード入力画面
    カード情報漏洩
    必ず失敗
    本当のカード入力画面

    View Slide

  22. アプリケーションが脆弱
    ◉ 非保持化していたとしても漏洩する
    ◉ 今年発生した漏洩事件のほとんどがサイト改変
    ◉ 非保持化だけでは安全ではない

    View Slide

  23. 基本的な対策
    ◉ サーバのミドルウェアのバージョンアップ(パッチ
    適用)
    ◉ アプリケーションの脆弱性対策
    ◉ ライブラリのバージョンアップ
    ◉ 基本的な対策が一番大切
    参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記
    https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html

    View Slide

  24. ありがとうございました

    View Slide