$30 off During Our Annual Pro Sale. View Details »

Stripe+PHPでセキュアで安全な決済機能を作る

gorou_178
June 29, 2019
Programming
0
1.4k

 Stripe+PHPでセキュアで安全な決済機能を作る

StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。
また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。

gorou_178

June 29, 2019
Tweet

More Decks by gorou_178

See All by gorou_178
「エンジニアのための ドキュメントライティング」書籍のすすめ / phpconfuk 2023
gorou_178
3
510
EventBridgeの運用について
gorou_178
0
110
Stripe Appsと自サービスの連携作法
gorou_178
0
100
Laravelのsession設定を変えて 劇的にパフォーマンスを改善した話
gorou_178
0
780
Stripeとアプリケーションの関係を可視化してみた
gorou_178
0
620
Stripeでの増税対応
gorou_178
0
580
Stripeを利用した決済機能をテストする
gorou_178
1
5.2k
tenpuでのStripe活用事例
gorou_178
0
250
API型決済サービスから見る決済の未来
gorou_178
6
1.6k

Other Decks in Programming

See All in Programming
net/httpからnet.Connを掘り起こす
hiroyaonoe
0
370
Cloudflare Workers は楽しい!
codehex
8
2.2k
OpenTelemetry の Trace を中心としたパフォーマンス改善
rmatsuoka
0
430
Voicyの生放送リスナー画面で パフォーマンスチューニングした話
miyuki2203
0
110
複数端末で Visual Regression Test を 実行する上での工夫と課題
morux2
0
500
第42回ロボティクス勉強会:実環境を手軽にシミュレータ環境に持ってくるpointcloud2gazebo
atinfinity
0
900
非同期ツールキット「Vert.x」のご紹介
masatoshiitoh
0
120
Python機械学習勉強会in新潟のロゴが無いので、生成AIで作ってみましょう / osc2023niigata
kasacchiful
0
220
kube-proxy入門
bells17
7
900
From Spring Boot 2 to Spring Boot 3 with Java 21 and Jakarta EE
ivargrimstad
0
680
Git 和 DevOps - 在混亂的流星群開發流程中找到小確幸
eddie
1
870
個人から始める開発生産性向上
takamin55
1
140

Featured

See All Featured
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
Agile that works and the tools we love
rasmusluckow
323
20k
Three Pipe Problems
jasonvnalue
89
9.3k
Designing on Purpose - Digital PM Summit 2013
jponch
108
6.2k
Mobile First: as difficult as doing things right
swwweet
214
8.3k
For a Future-Friendly Web
brad_frost
168
8.4k
Fireside Chat
paigeccino
18
2.3k
Why You Should Never Use an ORM
jnunemaker
PRO
49
8.3k
Robots, Beer and Maslow
schacon
154
7.7k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
152
14k
Pencils Down: Stop Designing & Start Developing
hursman
115
11k
Documentation Writing (for coders)
carmenintech
55
3.5k

Transcript

  1. Stripe+PHPで
    セキュアで安全な決済機能を作る

    View Slide

  2. 2

    View Slide

  3. 自己紹介
    ◉ 株式会社イノベーター・ジャパン
    ◉ 穴井 怜
    ◉ Twitter @gorou_178
    ◉ ファイル転送サービスtenpu
    ◉ JP_Stripes運営メンバー
    ◉ コーヒー
    ◉ ハーフマラソン

    View Slide

  4. クレジットカード情報漏洩事件
    ◉ 某大型家電量販店サイト
    ◉ 某鉄道会社の通販サイト
    ◉ etc...
    ◉ 今年に入って数十件発生

    View Slide


  5. 原因は?

    View Slide

  6. 原因
    1. クレジットカード情報を保持
    2. アプリケーションが脆弱

    View Slide


  7. どう対策すればよい?

    View Slide

  8. 推奨方法
    ◉ 2018年の6月1日に改正割賦販売法が施行
    ◉ カード情報保護が義務になった
    ◉ カード情報漏洩対策として、非保持化またはカー
    ド情報を持つならPCI DSS準拠が必要

    View Slide


  9. 非保持化?

    View Slide

  10. 非保持化とは?
    通過
    させない
    10
    保存
    しない
    処理
    しない

    View Slide

  11. View Slide

  12. View Slide

  13. View Slide

  14. Stripeで非保持化
    ◉ Stripe Elementで簡単に非保持化が可能
    ○ iframeで動作しているためサイトを通過しない
    ○ ほぼコピペで完了
    ◉ PCI DSS準拠
    ◉ SDKは多くの言語をサポート
    ○ PHP・Ruby・Python・Java・Node・Go・.NET

    View Slide


  15. 導入は簡単
    テストは?

    View Slide

  16. OpenAPI

    View Slide

  17. OpenAPI
    ◉ OpenAPIとは
    ○ Swaggerと呼ばれていた
    ◉ RESUful APIを記述するためのフォーマット
    ○ YAML or JSON
    ◉ Stripe APIはOpenAPIを公開している
    ○ Github stripe/openapi
    ◉ モックとして動かせる
    参照: https://github.com/stripe/openapi

    View Slide


  18. stripe-mock

    View Slide

  19. stripe-mock

    View Slide

  20. 原因
    1. クレジットカード情報を保持
    2. アプリケーションが脆弱

    View Slide

  21. アプリケーションが脆弱(サイト改変)
    偽のカード入力画面
    カード情報漏洩
    必ず失敗
    本当のカード入力画面

    View Slide

  22. アプリケーションが脆弱
    ◉ 非保持化していたとしても漏洩する
    ◉ 今年発生した漏洩事件のほとんどがサイト改変
    ◉ 非保持化だけでは安全ではない

    View Slide

  23. 基本的な対策
    ◉ サーバのミドルウェアのバージョンアップ(パッチ
    適用)
    ◉ アプリケーションの脆弱性対策
    ◉ ライブラリのバージョンアップ
    ◉ 基本的な対策が一番大切
    参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記
    https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html

    View Slide

  24. ありがとうございました

    View Slide