Stripe+PHPでセキュアで安全な決済機能を作る

 Stripe+PHPでセキュアで安全な決済機能を作る

StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。
また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。

81011f5622102c067230901506f21e5f?s=128

gorou_178

June 29, 2019
Tweet

Transcript

  1. Stripe+PHPで セキュアで安全な決済機能を作る

  2. 2

  3. 自己紹介 ◉ 株式会社イノベーター・ジャパン ◉ 穴井 怜 ◉ Twitter @gorou_178 ◉

    ファイル転送サービスtenpu ◉ JP_Stripes運営メンバー ◉ コーヒー ◉ ハーフマラソン
  4. クレジットカード情報漏洩事件 ◉ 某大型家電量販店サイト ◉ 某鉄道会社の通販サイト ◉ etc... ◉ 今年に入って数十件発生

  5. ? 原因は?

  6. 原因 1. クレジットカード情報を保持 2. アプリケーションが脆弱

  7. ? どう対策すればよい?

  8. 推奨方法 ◉ 2018年の6月1日に改正割賦販売法が施行 ◉ カード情報保護が義務になった ◉ カード情報漏洩対策として、非保持化またはカー ド情報を持つならPCI DSS準拠が必要

  9. ? 非保持化?

  10. 非保持化とは? 通過 させない 10 保存 しない 処理 しない

  11. None
  12. None
  13. None
  14. Stripeで非保持化 ◉ Stripe Elementで簡単に非保持化が可能 ◦ iframeで動作しているためサイトを通過しない ◦ ほぼコピペで完了 ◉ PCI

    DSS準拠 ◉ SDKは多くの言語をサポート ◦ PHP・Ruby・Python・Java・Node・Go・.NET
  15. ? 導入は簡単 テストは?

  16. OpenAPI

  17. OpenAPI ◉ OpenAPIとは ◦ Swaggerと呼ばれていた ◉ RESUful APIを記述するためのフォーマット ◦ YAML

    or JSON ◉ Stripe APIはOpenAPIを公開している ◦ Github stripe/openapi ◉ モックとして動かせる 参照: https://github.com/stripe/openapi
  18. “ stripe-mock

  19. stripe-mock

  20. 原因 1. クレジットカード情報を保持 2. アプリケーションが脆弱

  21. アプリケーションが脆弱(サイト改変) 偽のカード入力画面 カード情報漏洩 必ず失敗 本当のカード入力画面

  22. アプリケーションが脆弱 ◉ 非保持化していたとしても漏洩する ◉ 今年発生した漏洩事件のほとんどがサイト改変 ◉ 非保持化だけでは安全ではない

  23. 基本的な対策 ◉ サーバのミドルウェアのバージョンアップ(パッチ 適用) ◉ アプリケーションの脆弱性対策 ◉ ライブラリのバージョンアップ ◉ 基本的な対策が一番大切

    参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記 https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html
  24. ありがとうございました