Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Stripe+PHPでセキュアで安全な決済機能を作る

gorou_178
June 29, 2019
Programming
0
1.2k

 Stripe+PHPでセキュアで安全な決済機能を作る

StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。
また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。

gorou_178

June 29, 2019
Tweet

More Decks by gorou_178

See All by gorou_178
EventBridgeの運用について
gorou_178
0
70
Stripe Appsと自サービスの連携作法
gorou_178
0
83
Laravelのsession設定を変えて 劇的にパフォーマンスを改善した話
gorou_178
0
390
Stripeとアプリケーションの関係を可視化してみた
gorou_178
0
560
Stripeでの増税対応
gorou_178
0
510
Stripeを利用した決済機能をテストする
gorou_178
1
5k
tenpuでのStripe活用事例
gorou_178
0
240
API型決済サービスから見る決済の未来
gorou_178
6
1.4k
Stripe API について
gorou_178
0
310

Other Decks in Programming

See All in Programming
推測するな、計測せよ New Relic × Laravel 実践
mpyw
0
120
どこでも動くWebフレームワークをつくる
yusukebe
13
6k
Jakarta EE 10 - Simplicity for Modern and Lightweight Cloud
ivargrimstad
0
150
PDF_TDX_2023_Apex__What_s_New_and_What_s_Coming.pdf
fishofprey
3
830
230307北海道オープンデータ推進セミナー
furukawayasuto
1
180
新しいことに挑戦したい組織が考えるべきこと
headwaters
0
150
鹿児島からRubyではじめるスタートアップ
yoshikouki
0
710
がんばらない個人開発
natsumican63
1
120
オンサイトキックオフでロケットスタート〜貴重なリアル対面を活かすやり方と構造〜
sasakendayo
0
280
CSC308 Lecture 23
javiergs
PRO
0
170
結合テストの自動化にQAはどうかかわっていったか
nagworld
0
130
DevRel/Japan 2023 - 1つの事業部だけで行う DevRel とは
hcrane
0
300

Featured

See All Featured
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
24
5.1k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
318
19k
How GitHub (no longer) Works
holman
299
140k
Unsuck your backbone
ammeep
659
56k
Build The Right Thing And Hit Your Dates
maggiecrowley
22
1.5k
Making the Leap to Tech Lead
cromwellryan
117
7.7k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
128
8.8k
How STYLIGHT went responsive
nonsquared
89
4.2k
Scaling GitHub
holman
453
140k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
6
920
Teambox: Starting and Learning
jrom
124
7.9k
Done Done
chrislema
178
15k

Transcript

  1. Stripe+PHPで
    セキュアで安全な決済機能を作る

    View Slide

  2. 2

    View Slide

  3. 自己紹介
    ◉ 株式会社イノベーター・ジャパン
    ◉ 穴井 怜
    ◉ Twitter @gorou_178
    ◉ ファイル転送サービスtenpu
    ◉ JP_Stripes運営メンバー
    ◉ コーヒー
    ◉ ハーフマラソン

    View Slide

  4. クレジットカード情報漏洩事件
    ◉ 某大型家電量販店サイト
    ◉ 某鉄道会社の通販サイト
    ◉ etc...
    ◉ 今年に入って数十件発生

    View Slide


  5. 原因は?

    View Slide

  6. 原因
    1. クレジットカード情報を保持
    2. アプリケーションが脆弱

    View Slide


  7. どう対策すればよい?

    View Slide

  8. 推奨方法
    ◉ 2018年の6月1日に改正割賦販売法が施行
    ◉ カード情報保護が義務になった
    ◉ カード情報漏洩対策として、非保持化またはカー
    ド情報を持つならPCI DSS準拠が必要

    View Slide


  9. 非保持化?

    View Slide

  10. 非保持化とは?
    通過
    させない
    10
    保存
    しない
    処理
    しない

    View Slide

  11. View Slide

  12. View Slide

  13. View Slide

  14. Stripeで非保持化
    ◉ Stripe Elementで簡単に非保持化が可能
    ○ iframeで動作しているためサイトを通過しない
    ○ ほぼコピペで完了
    ◉ PCI DSS準拠
    ◉ SDKは多くの言語をサポート
    ○ PHP・Ruby・Python・Java・Node・Go・.NET

    View Slide


  15. 導入は簡単
    テストは?

    View Slide

  16. OpenAPI

    View Slide

  17. OpenAPI
    ◉ OpenAPIとは
    ○ Swaggerと呼ばれていた
    ◉ RESUful APIを記述するためのフォーマット
    ○ YAML or JSON
    ◉ Stripe APIはOpenAPIを公開している
    ○ Github stripe/openapi
    ◉ モックとして動かせる
    参照: https://github.com/stripe/openapi

    View Slide


  18. stripe-mock

    View Slide

  19. stripe-mock

    View Slide

  20. 原因
    1. クレジットカード情報を保持
    2. アプリケーションが脆弱

    View Slide

  21. アプリケーションが脆弱(サイト改変)
    偽のカード入力画面
    カード情報漏洩
    必ず失敗
    本当のカード入力画面

    View Slide

  22. アプリケーションが脆弱
    ◉ 非保持化していたとしても漏洩する
    ◉ 今年発生した漏洩事件のほとんどがサイト改変
    ◉ 非保持化だけでは安全ではない

    View Slide

  23. 基本的な対策
    ◉ サーバのミドルウェアのバージョンアップ(パッチ
    適用)
    ◉ アプリケーションの脆弱性対策
    ◉ ライブラリのバージョンアップ
    ◉ 基本的な対策が一番大切
    参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記
    https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html

    View Slide

  24. ありがとうございました

    View Slide