Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Stripe+PHPでセキュアで安全な決済機能を作る

gorou_178
June 29, 2019
Programming
0
1.5k

 Stripe+PHPでセキュアで安全な決済機能を作る

StripeはAPI型のオンライン決済サービスです。昨今クレジットカード情報の漏洩など問題になることがありますが、Stripeを利用するとクレジットカードの非保持化『「通過」させない、「保存」しない、「処理」しない』を実現できます。
また、StripeのAPIはOpenAPIになっており、APIのテストも行えます。セキュアで安全な決済機能の作り方をご紹介します。

gorou_178

June 29, 2019
Tweet

More Decks by gorou_178

See All by gorou_178
「エンジニアのための ドキュメントライティング」書籍のすすめ / phpconfuk 2023
gorou_178
2
740
EventBridgeの運用について
gorou_178
0
130
Stripe Appsと自サービスの連携作法
gorou_178
0
120
Laravelのsession設定を変えて 劇的にパフォーマンスを改善した話
gorou_178
0
1.1k
Stripeとアプリケーションの関係を可視化してみた
gorou_178
0
670
Stripeでの増税対応
gorou_178
0
610
Stripeを利用した決済機能をテストする
gorou_178
1
5.3k
tenpuでのStripe活用事例
gorou_178
0
270
API型決済サービスから見る決済の未来
gorou_178
6
1.7k

Other Decks in Programming

See All in Programming
Code Reviews
bkuhlmann
4
890
[技育CAMPアカデミア]アイディアを形に!【超入門】スマホアプリ開発〜リリースまでの流れをご紹介
teamlab
PRO
0
380
PHPの次期バージョンはこの時期どうなっているのか - Internalsの開発体制について - PHPカンファレンス小田原
youkidearitai
PRO
1
190
Elm Form Validation
bkuhlmann
0
510
VSCodeでのDatabricks開発もお勧めしたい/I would also recommend Databricks development with VSCode.
kazumain
0
260
CA.swift19 恋するAIアプリ開発の裏側
oskmr
0
360
Site Reliability Engineering for GMO
pyama86
8
1k
"config" ってなんだ? / What is "config"?
okashoi
0
240
Kotlin Multiplatform at Stable and Beyond (Android Makers 2024)
zsmb
0
290
『Railsオワコン』と言われる時代に、なぜブルーモ証券はRailsを選ぶのか
free_world21
0
250
Rethinking UI building strategies @ SFI 2024
letelete
0
270
障害対応を起点としたもっといい開発と運用のサイクル作りのためにできること / Hatena Enginner Seminar #29
polamjag
0
180

Featured

See All Featured
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
221
21k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
How GitHub (no longer) Works
holman
304
140k
Being A Developer After 40
akosma
57
580k
Practical Orchestrator
shlominoach
182
9.7k
Imperfection Machines: The Place of Print at Facebook
scottboms
260
12k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
Designing Experiences People Love
moore
136
23k
Build your cross-platform service in a week with App Engine
jlugia
225
17k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
9
8.3k
Automating Front-end Workflow
addyosmani
1356
200k
What the flash - Photography Introduction
edds
64
11k

Transcript

  1. Stripe+PHPで セキュアで安全な決済機能を作る

  2. 2

  3. 自己紹介 ◉ 株式会社イノベーター・ジャパン ◉ 穴井 怜 ◉ Twitter @gorou_178 ◉

    ファイル転送サービスtenpu ◉ JP_Stripes運営メンバー ◉ コーヒー ◉ ハーフマラソン

  4. クレジットカード情報漏洩事件 ◉ 某大型家電量販店サイト ◉ 某鉄道会社の通販サイト ◉ etc... ◉ 今年に入って数十件発生

  5. ? 原因は?

  6. 原因 1. クレジットカード情報を保持 2. アプリケーションが脆弱

  7. ? どう対策すればよい?

  8. 推奨方法 ◉ 2018年の6月1日に改正割賦販売法が施行 ◉ カード情報保護が義務になった ◉ カード情報漏洩対策として、非保持化またはカー ド情報を持つならPCI DSS準拠が必要

  9. ? 非保持化?

  10. 非保持化とは? 通過 させない 10 保存 しない 処理 しない

  11. None
  12. None
  13. None

  14. Stripeで非保持化 ◉ Stripe Elementで簡単に非保持化が可能 ◦ iframeで動作しているためサイトを通過しない ◦ ほぼコピペで完了 ◉ PCI

    DSS準拠 ◉ SDKは多くの言語をサポート ◦ PHP・Ruby・Python・Java・Node・Go・.NET

  15. ? 導入は簡単 テストは?

  16. OpenAPI

  17. OpenAPI ◉ OpenAPIとは ◦ Swaggerと呼ばれていた ◉ RESUful APIを記述するためのフォーマット ◦ YAML

    or JSON ◉ Stripe APIはOpenAPIを公開している ◦ Github stripe/openapi ◉ モックとして動かせる 参照: https://github.com/stripe/openapi

  18. “ stripe-mock

  19. stripe-mock

  20. 原因 1. クレジットカード情報を保持 2. アプリケーションが脆弱

  21. アプリケーションが脆弱(サイト改変) 偽のカード入力画面 カード情報漏洩 必ず失敗 本当のカード入力画面

  22. アプリケーションが脆弱 ◉ 非保持化していたとしても漏洩する ◉ 今年発生した漏洩事件のほとんどがサイト改変 ◉ 非保持化だけでは安全ではない

  23. 基本的な対策 ◉ サーバのミドルウェアのバージョンアップ(パッチ 適用) ◉ アプリケーションの脆弱性対策 ◉ ライブラリのバージョンアップ ◉ 基本的な対策が一番大切

    参照: 2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ | 徳丸浩の日記 https://blog.tokumaru.org/2019/05/credit-card-information-leak-incidents-2019-1-5.html

  24. ありがとうございました