読者です 読者をやめる 読者になる 読者になる

heki1224の適当な日記

技術知識を忘れないように書き留めておくブログ

初めてBPStudyに行ってみました

今回初めてBPStudyという勉強会に行ってみました。
長く続いている勉強会で今回74回目だそうです。
http://connpass.com/event/3631/

私用があったので前半のみ聞かせていただきました。ごめんなさい。

参加者のみなさんはエンジニアが多いようで、
質問など具体的でレベルが高いものばかりだなと思いました。
あとPythonモヒカンズ多い…。

次回もまた参加してみようと思います。
今度は最後まで…。

以下、当日のメモを書きます。

開発者のためのWeb決済入門

久保渓(@keikubo) ウェブペイ株式会社 代表取締役

・カード決済を組み込む際に、開発者が直面する課題
組み込みが複雑
セキュリティがそんなに高くない

・WebPayやってます
https://webpay.jp

・シンプル
どんな環境でも簡単に組み込めるよ

・セキュア
最新技術でセキュアな環境を提供しているよ

・スピーディ
審査期間を短くする
 3週間->3営業日
テスト環境
 10秒で用意


・決済ソリューションの欠点
大手
 組み込みが複雑
 決済手段は種類豊富
 価格は個別交渉で決まっちゃう
Paypal
 組み込み簡単
 価格は透明

・一般的な決済機能導入フロー
1. テスト環境への登録
2. 開発
3. 本番環境の申請
4. 本番環境での稼働
(追加で考慮すること)
1. ワンクリック決済、定期購読
2. セキュリティ向上
3. 特商法の記載

・開発フロー
WebPayの例
 簡単です

(追加で考慮すること)
1. ワンクリック決済、定期購読
 →スタンダードな方法がない
  →サービスによりけり
 →WebPayだとプログラムできる部品だけ用意する
  →トークンだけを保存して決済
   1. クレジットカード情報の登録
   2. CustomerIDの保存
   3. CustomerIDを用いた決済

2. セキュリティ向上させる方法
 経済産業省の指針により2013年3月からPCI DSSへの準拠が義務化(罰則なし)
  維持するだけで数百万円後半がかかる
  PCI DSSの基準は288項目ある
  アメリカでは罰則あります
  認定機関が3日がかりで審査します
 
 従来の加盟店サーバ経由で行うカード決済は危険
 →リスクがある3要素をいかに回避するかがキモ
   処理、伝送、保存
 
 アメリカ:Stripe
 https://stripe.com
  クライアントサイドトークンを使った決済環境を提供
   →アメリカでは3年くらい前から提供されてて、メジャーになってます
   →WebPayでもやってます
   →クライアントサイドトークンが漏洩しても、サーバサイドトークンや秘密鍵が分からないと
    漏洩しても意味がないものに。

3. 特商法に基づく表記
 結局は11項目ですよ。

(質問)
・物理端末でWebPay使えますか?
 使えないです。
  →カードリーダとか暗証番号の機能も用意していません
・トークンの予測可能性は?
 →生成アルゴリズムでは再帰性考慮しています。
・Javascriptでの利用は?
 →Paypalではクレジット情報入力からすでにPaypalページ
 →Webpayではそこはサービス運営者に任せている
  その分ユーザビリティは向上する
   XSSなどのリスクはその分負うことになる
・クライアントトークンを使う場合はSSLは?
 使わないとやばいです。