Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Stripeではじめる 3Dセキュア2 / jp_stripes_deep_dive_10

Hidetaka Okamoto (Stripe)
September 26, 2022
Technology
0
660

Stripeではじめる 3Dセキュア2 / jp_stripes_deep_dive_10

JP_Stripes Deep Dive vol.10の資料です。

◆関連リンク
Charge API: [Docs | Payment Intents API への移行]
https://stripe.com/docs/payments/payment-intents/migration

Token / Source API: [Docs: Payment Methods API に移行する]
https://stripe.com/docs/payments/payment-methods/transitioning

3Dセキュア2に関するガイド
https://stripe.com/jp/guides/3d-secure-2

Hidetaka Okamoto (Stripe)

September 26, 2022
Tweet

More Decks by Hidetaka Okamoto (Stripe)

See All by Hidetaka Okamoto (Stripe)
Stripeではじめる Revenue Operations / jp_stripes_okinawa_8
stripehideokamoto
0
210
収益を高めるための Stripeダッシュボード活用術 / jp_stripes_online_7
stripehideokamoto
0
260
No-code SaaS and Full Site Editing / wcasia2023
stripehideokamoto
0
220
コア機能開発に集中するための Stripe Checkout活用法 / jp_stripes_deep_dive_202301
stripehideokamoto
0
370
State of Checkout 2022から見た オンライン決済フローの最適化/jp-stripes-miyzaki-202301
stripehideokamoto
0
110
サブスクリプション決済入門 Stripeでの実装方法と、要件定義時のポイント/okta-stripe-202301
stripehideokamoto
0
150
ノーコード・ローコードツールで サブスク運用を効率化する方法 / JP_Stripes_Osaka_202301
stripehideokamoto
0
70
ビジネスユーザを巻込む Stripeダッシュボード活用法 / jp_stripes_deepdive-202212
stripehideokamoto
0
220
AWSでローコードにはじめる サブスクリプション運用の効率化/aws-startup-tech-meetup-fukuoka-2
stripehideokamoto
0
120

Other Decks in Technology

See All in Technology
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
130
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
なぜ今 AI Agent なのか _近藤憲児
kenjikondobai
4
1.4k
Engineer Career Talk
lycorp_recruit_jp
0
150
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
530
サイバーセキュリティと認知バイアス:対策の隙を埋める心理学的アプローチ
shumei_ito
0
380
フルカイテン株式会社 採用資料
fullkaiten
0
40k
TypeScript、上達の瞬間
sadnessojisan
46
13k
Taming you application's environments
salaboy
0
180
New Relicを活用したSREの最初のステップ / NRUG OKINAWA VOL.3
isaoshimizu
2
590
個人でもIAM Identity Centerを使おう!(アクセス管理編)
ryder472
3
200
dev 補講: プロダクトセキュリティ / Product security overview
wa6sn
1
2.3k

Featured

See All Featured
Embracing the Ebb and Flow
colly
84
4.5k
Writing Fast Ruby
sferik
627
61k
Faster Mobile Websites
deanohume
305
30k
Put a Button on it: Removing Barriers to Going Fast.
kastner
59
3.5k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.1k
The Cult of Friendly URLs
andyhume
78
6k
Being A Developer After 40
akosma
86
590k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
0
89
Agile that works and the tools we love
rasmusluckow
327
21k
Imperfection Machines: The Place of Print at Facebook
scottboms
265
13k

Transcript

  1. Stripeではじめる 3Dセキュア2 JP_Stripes Deep Dive vol.10 @hidetaka_dev Oct 2022

  2. 今日のトピック 1. 3Dセキュアについてのおさらい 2. 3Dセキュア1と3Dセキュア2 3. Stripeで、3Dセキュア2への追加対応が必要なケース 4. Radarルールで、より細やかな追加認証を実施する 2

    JP_Stripes Deep Dive Vol.10 #JP_Stripes

  3. 今日のトピック 1. 3Dセキュアについてのおさらい 2. 3Dセキュア1と3Dセキュア2 3. Stripeで、3Dセキュア2への追加対応が必要なケース 4. Radarルールで、より細やかな追加認証を実施する 3

    JP_Stripes Deep Dive Vol.10 #JP_Stripes

  4. 3Dセキュアでの認証とは • 身近な例では、カード情報を入力した際に、 カード会社アカウントのID/Password入力などを求められる画面のこと • 「追加の本人確認」を要求することで、 クレジットカードの不正利用リスクを減らすことを目指している • 不正利用によるチャージバック要求があった場合、 その責任がカード発行会社側を移せる(ライアビリティシフト)

    4 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  5. 今日のトピック 1. 3Dセキュアについてのおさらい 2. 3Dセキュア1と3Dセキュア2 3. Stripeで、3Dセキュア2への追加対応が必要なケース 4. Radarルールで、より細やかな追加認証を実施する 5

    JP_Stripes Deep Dive Vol.10 #JP_Stripes

  6. 最近の3Dセキュアは、リダイレクトしない • 通販などでよく見かける、「認証画面へのリダイレクト」 ◦ 追加のステップが発生することで、カゴ落ちリスクが生まれる ◦ ID / Passwordを忘れたことによる、カゴ落ちリスクも ◦

    別ドメインへリダイレクトされることで、実装が複雑になる • 3Dセキュア2では、認証をリダイレクトせずに実施 ◦ 住所やデバイス情報などを使った、バックグラウンドでの認証 -> リスクベース認証 ◦ 追加情報が必要な場合の画面を、サイト・アプリ内にモーダル表示 6 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  7. 7 #Stripe #JP_Stripes https://stripe.com/jp/guides/3d-secure-2

  8. 8 #Stripe #JP_Stripes https://stripe.com/jp/guides/3d-secure-2 追加認証の モーダルを表示

  9. 3Dセキュア2のモーダル認証画面サンプル 9 JP_Stripes Deep Dive Vol.10

  10. 2022/10までに3Dセキュア2への移行が必要 • 2022/10時点で、多くのカードネットワークが3Dセキュア1を終了 ◦ ライアビリティシフトも3DS1では終了 ◦ チャージバック発生時のカード発行会社による補償がなくなる • ユーザー体験の改善にもなる、3Dセキュア2への移行を ◦

    モバイルアプリでも、認証のためにブラウザへ遷移しない ◦ 事前のリスクベース評価で、「追加認証画面なし」の認証も可能に ◦ Stripeでは、Radarルールで追加認証画面表示の要件をカスタマイズ可 10 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  11. 今日のトピック 1. 3Dセキュアについてのおさらい 2. 3Dセキュア1と3Dセキュア2 3. Stripeで、3Dセキュア2への追加対応が必要なケース 4. Radarルールで、より細やかな追加認証を実施する 11

    JP_Stripes Deep Dive Vol.10 #JP_Stripes

  12. Stripeで、3Dセキュア2への移行対応が「不要」なケース • 「Stripeが用意する決済画面」を使っているケース ◦ 例: ▪ Checkout / Payment Links

    ▪ BillingやInvoicingでの、メール送信による請求 • Payment Intent / Setup Intentを利用した組み込みをしているケース ◦ Card Element / Payment Element (Stripe.js) ◦ confirmXXXメソッド実行時に、SDKがモーダル表示などをハンドル • これからStripeを組み込む人は、 3Dセキュア対応の追加作業をほぼやらなくてOK 12 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  13. Stripeで、3Dセキュア2への移行対応が「必須」なケース • 非推奨なAPIを利用しているケース ◦ Source API / Token API /

    Charge API ◦ 3Dセキュア2で認証できないため、決済エラーになる ◦ Payment Intent / Setup Intent またはStripeが用意する決済ページに移動するように実装を変更する 13 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  14. Payment Intent / Setup Intentへの移行 • 主な変更点: ◦ サーバー側でのStripe API呼び出しタイミング

    ▪ これまで: 決済フォーム入力後 • Stripe.jsでのcreateXXXメソッド実行後 ▪ Payment / Setup Intent: 決済フォームの表示前 • 先にAPIを呼び出す • 取得したclient_secretを、Stripe.jsに渡してフォームを表示 ◦ 3Dセキュア認証のためのリダイレクト処理などが不要に ▪ Stripe.jsでconfirmXXXを呼び出せば、あとはお任せできる 14 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  15. Payment Intent / Setup Intentへの移行ガイド • Charge API: [Docs |

    Payment Intents API への移行] https://stripe.com/docs/payments/payment-intents/migration • Token / Source API: [Docs: Payment Methods API に移行する] https://stripe.com/docs/payments/payment-methods/transitioning 15 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  16. 今日のトピック 1. 3Dセキュアについてのおさらい 2. 3Dセキュア1と3Dセキュア2 3. Stripeで、3Dセキュア2への追加対応が必要なケース 4. Radarルールで、より細やかな追加認証を実施する 16

    JP_Stripes Deep Dive Vol.10 #JP_Stripes

  17. 特定の商品や顧客・条件で3Dセキュアを必須にする 17 JP_Stripes Deep Dive Vol.10 認証画面の表示ルールカスタマイズ • 3つのレベルから指定可能 ◦

    必須のみ ◦ 推奨含む ◦ 全て • 厳しくするほど、 カゴ落ちリスクが上がる点に注意 Radar for Team (有料) • スクリーニング対象の 取引ごとに7円 • カスタムの追加認証ルール機能 ◦ 決済金額やIP、メアド ◦ メタデータも含む ◦ 「高額商品は必須」 ◦ 「未成年の注文は必須」 ◦ etc…

  18. 支払い認証レポートで、リクエスト閾値をチューニング 18 JP_Stripes Deep Dive Vol.10

  19. まとめ • 2022/10までに、3Dセキュア2への切り替えが必要 ◦ ただし非推奨APIを使っていなければ、Stripeユーザーは対応不要 ◦ 4000 0000 0000 3220:

    テスト環境で、3DS2を試すカード番号 ▪ 上のカード番号で、認証画面が出る & エラーにならないならOK • Source / Token / Charge APIユーザーは、早めの切り替えを ◦ Docsの移行ガイドをご確認ください • Radar (無料) と Radar for Team (有料) で、不正利用リスクをより軽減 ◦ 無料版では、リクエストの閾値がカスタム可能 ◦ Radar for teamで、商品・顧客などに応じたカスタムルールを設定 ▪ metadataを活用することで、複雑なルールも設定可能 19 JP_Stripes Deep Dive Vol.10 #JP_Stripes

  20. 参考リンク • Charge API: [Docs | Payment Intents API への移行]

    https://bit.ly/3StfOdl • Token / Source API: [Docs: Payment Methods API に移行する] https://bit.ly/3Svk7Vp • 3Dセキュア2に関するガイド https://stripe.com/jp/guides/3d-secure-2 20 JP_Stripes Deep Dive Vol.10 #JP_Stripes