SlideShare une entreprise Scribd logo

PayPalとセキュリティの関係について

Télécharger en tant que PPTX, PDF
J
Junichi Okamura

2017.6.16 @FinTech X Security-JAWS 勉強会#01

Internet
1  sur  28
PayPalと セキュリティの関係について 2017.6.16 @FinTech X Security-JAWS 勉強会#01
Who‘s who? 2 Junichi Okamura (@benzookapi) PayPal Integration Manager/Evangelist Scala/Java/Node.js/Python/Ruby/PHP/../Mobile/../ppt Rock/Beer/DQ/JOJO/I18N/Marketing/Payment API愛好家、農業IT化支援、漫画家
© 2014 PayPal Inc. All rights reserved. Confidential and proprietary. 1998年設立。 17年以上の決済事業における実績を持つシリコンバレーのテックカンパ ニーであり、約2億人が200以上の国と地域、100通貨以上で利用してい る、Eコマースにおけるグローバルスタンダード 出発点はオンライン上でだれでも簡単に支払ったり、支払いを受けつけら れる仕組みを提供し、起業家や中小企業を支援 規模に関わらず、世界中のバイヤーとセラーを安心・安全につなげて、 国境、通貨、デバイスに関係なく、生活やビジネスを簡単に  日本では2010年より本格営業稼動。オフィスは青山・表参道に所在
PayPalの仕組み
PayPal は E コマースにおけるグローバルスタンダードです
本日お話ししたいこと FintechのパイオニアであるPayPalとセキュリティの関係について 3つのキーワードに基づきご説明したいと思います ©2016 PayPal Inc. Confidential and proprietary. 6
Fintechにおける3つのセキュリティキーワード ©2016 PayPal Inc. Confidential and proprietary. 7 1. PCIDSS 2. Tokenization 3. Anti-Fraud
1. PCIDSS ©2016 PayPal Inc. Confidential and proprietary. 8
PCIDSSとは? ©2016 PayPal Inc. Confidential and proprietary. 9 Payment Card Industry Data Security Standard • 国際カードブランド5社が定めたセキュリティ基準 • ISMSと似た基準だが、より範囲が狭くかつ深い(厳しい) • カード情報を伝達・保存する業者は取得しないとカード決済は本来導入できない • PayPalをはじめ決済サービスは取得している(決済以外の大手企業も) • 扱うデータやその方法で取得するランクがある • 維持に多額のコストがかかる • バージョンがある(追従しないとそのうち非準拠となる)
PCIDSSの具体的な内容 ©2016 PayPal Inc. Confidential and proprietary. 10 • 公式ドキュメント − https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf • よく問題になるのは「SAQ A」と「SAQ A-EP」の違い(参考元:Qiita記事) − http://qiita.com/hokkai7go/items/3705120cf73b07570f9e
PCIDSSがもたらす恩恵 ©2016 PayPal Inc. Confidential and proprietary. 11 • 情報漏洩の防止 − 運用にコストや場合によっては不便さもあるが、準拠することで情報漏洩の可能性は格段に下がる − カード情報漏洩事件などを起こす業者は準拠していない • 信頼の獲得 − 厳しいセキュリティ基準のため、決済ベンダー以外でもセキュリティへの信頼誇示に役立つ
2. Tokenization ©2016 PayPal Inc. Confidential and proprietary. 12
Tokenizationとは? ©2016 PayPal Inc. Confidential and proprietary. 13 カード情報などの機密情報を直接やりとりせず一時的引き換え券(トークン)で行う仕組み • 決済だけのものではない(OAuthのトークンとかお馴染み) • 最近決済の手法にも一般的に取り入れられてきた • トークンを介すことでJavaScriptやモバイルといったクライアントの差異を吸収した決済処理 が可能
Tokenizationを使ったPayPalの新しいSDK – Braintree SDK - • Client SDK − JavaScript/iOS/Android : 決済開始、PayPal画面表示 • Server Side SDK − Java/.Net/Node.js/PHP/Python/Ruby : 決済完了 ©2016 PayPal Inc. Confidential and proprietary. 14 たった2ステップの実装で、ウェブ、スマホアプリ同じように決済導入可能! PayPal Developer サイトの「Express Checkout」参照(日本語情報準備中)
Client SDK ( JavaScript)の例 ©2016 PayPal Inc. Confidential and proprietary. 15 JSファイルを読み込んで、こんな感じでほぼコピペで出来ちゃいます
Server Side SDK ( Ruby)の例 ©2016 PayPal Inc. Confidential and proprietary. 16 Gemで簡単にインストールできて、たったこんだけで決済完了
動くサンプルコード(Node.js) ©2016 PayPal Inc. Confidential and proprietary. 17 https://github.com/benzookapi/VZeroNodeDemo • GitHubで「VZeroNodeDemo」で検索 • http://localhost:3000 で動くよ!
Braintree SDKの技術的特徴 ©2016 PayPal Inc. Confidential and proprietary. 18 • Client Side (JavaScript、Mobile)にほとんどの実装を寄せている • Tokenization(トークン化)によってセキュリティ担保とサーバー処理の独立・簡素化 Payment Request APIと似た発想
Braintree SDKのTokenization • ①Access Token − Credentialsで生成したトークンです。サーバー側で管理します。 • ②Client Token − Access Tokenを元にサーバー側で生成します。クライアント(WEBページやアプリの決済画面)で使います。 • ③(Payment Method )Nonce − クライアントがClient Tokenを使って、ユーザー操作の後に生成します。 • ④サーバー側の決済処理 − Access TokenとPayment Method Nonceを使って行います。両者が正しくないと処理できません。 • セキュリティ的な順位付け − Credentials > Access Token > Client Token > Nonce ©2016 PayPal Inc. Confidential and proprietary. 2つのTokenと1つのNonce(ワンタイムトークン)を使って行います
図にするとこんな感じ ©2016 PayPal Inc. Confidential and proprietary.
3. Anti-Fraud ©2016 PayPal Inc. Confidential and proprietary. 21
Anti-Fraudとは? ©2016 PayPal Inc. Confidential and proprietary. 22 詐欺防止、決済においては不正取引防止 • PayPal Developer Siteのセキュリティガイドライン − https://developer.paypal.com/docs/classic/lifecycle/info-security-guidelines/?mark=security • 同じくDeveloper SiteのFraud Managementの説明(クレジットカード決済に利用) − https://developer.paypal.com/docs/classic/fmf/integration-guide/FMFSummary/?mark=faud
昨今のOSS脆弱性にいち早く身を切った取り組み ©2016 PayPal Inc. Confidential and proprietary. 23 2016-1027の全世界規模でのセキュリティアップグレード計画 • APIやその他通信の強制アップグレード − TLS 1.2 HTTP 1.1へのアップグレード − SSL証明書アップグレード − 通知確認用URLなどすべての接続のHTTPサポート終了 − …など − https://www.paypal- knowledge.com/infocenter/index?page=content&id=FAQ1913&expand=true&locale=ja_JP
PayPalの不正対策 ©2016 PayPal Inc. Confidential and proprietary. 24 システム検知とオペレーションのハイブリッドで24/365対応 ごめんなさい、詳しく言えないのでイメージとして以下の動画を見てくだい http://www.cbs.com/shows/cbs_this_morning/video/k_ELVn3PCohOhE4qR5KJDc_figX8 betm/behind-paypal-s-operation-to-stop-cybertheft/
PayPalの不正に対する(実はあまり知られてない?)制度 ©2016 PayPal Inc. Confidential and proprietary. 25 先ほどのオペレーションに該当 売り手保護制度 (買い手もあります) https://www.paypal.com/jp/webapps/mpp/merchant/how-to-protect-seller
まとめ ©2016 PayPal Inc. Confidential and proprietary. 26 安心・安全の決済サービスでペイパろー!
ちょっとだけ宣伝 ©2016 PayPal Inc. Confidential and proprietary. 27 (JAWS-UGみたいな)ユーザーグループ PPUGできました! 再来週第3回勉強会開催! connpassで「PPUG」で検索! facebook groupもあるよ!
PayPalと セキュリティの関係について 2017.6.16 @FinTech X Security-JAWS 勉強会#01

Recommandé

20170324 html5j web_paltform_study
20170324 html5j web_paltform_study20170324 html5j web_paltform_study
20170324 html5j web_paltform_studyJunichi Okamura
 
新しい実装方法 Braintree SDKについて
新しい実装方法 Braintree SDKについて新しい実装方法 Braintree SDKについて
新しい実装方法 Braintree SDKについてJunichi Okamura
 
PPUG Kyoto #1
PPUG Kyoto #1PPUG Kyoto #1
PPUG Kyoto #1Junichi Okamura
 
Shopifyで採用されているPayPal実装とそのデモ
Shopifyで採用されているPayPal実装とそのデモShopifyで採用されているPayPal実装とそのデモ
Shopifyで採用されているPayPal実装とそのデモJunichi Okamura
 
Iot_algyan_hands-on_20161129
Iot_algyan_hands-on_20161129Iot_algyan_hands-on_20161129
Iot_algyan_hands-on_20161129Junichi Okamura
 
PayPalアカウントを使った便利で安心なプラットフォーム運用
PayPalアカウントを使った便利で安心なプラットフォーム運用PayPalアカウントを使った便利で安心なプラットフォーム運用
PayPalアカウントを使った便利で安心なプラットフォーム運用Junichi Okamura
 
PayPal Reference Transaction APIをお財布ケータイぽく使ってみる
PayPal Reference Transaction APIをお財布ケータイぽく使ってみるPayPal Reference Transaction APIをお財布ケータイぽく使ってみる
PayPal Reference Transaction APIをお財布ケータイぽく使ってみるJunichi Okamura
 
20180224 ppug osaka_#3
20180224 ppug osaka_#320180224 ppug osaka_#3
20180224 ppug osaka_#3Junichi Okamura
 

Recommandé

20170324 html5j web_paltform_study
20170324 html5j web_paltform_study20170324 html5j web_paltform_study
20170324 html5j web_paltform_studyJunichi Okamura
 
新しい実装方法 Braintree SDKについて
新しい実装方法 Braintree SDKについて新しい実装方法 Braintree SDKについて
新しい実装方法 Braintree SDKについてJunichi Okamura
 
PPUG Kyoto #1
PPUG Kyoto #1PPUG Kyoto #1
PPUG Kyoto #1Junichi Okamura
 
Shopifyで採用されているPayPal実装とそのデモ
Shopifyで採用されているPayPal実装とそのデモShopifyで採用されているPayPal実装とそのデモ
Shopifyで採用されているPayPal実装とそのデモJunichi Okamura
 
Iot_algyan_hands-on_20161129
Iot_algyan_hands-on_20161129Iot_algyan_hands-on_20161129
Iot_algyan_hands-on_20161129Junichi Okamura
 
PayPalアカウントを使った便利で安心なプラットフォーム運用
PayPalアカウントを使った便利で安心なプラットフォーム運用PayPalアカウントを使った便利で安心なプラットフォーム運用
PayPalアカウントを使った便利で安心なプラットフォーム運用Junichi Okamura
 
PayPal Reference Transaction APIをお財布ケータイぽく使ってみる
PayPal Reference Transaction APIをお財布ケータイぽく使ってみるPayPal Reference Transaction APIをお財布ケータイぽく使ってみる
PayPal Reference Transaction APIをお財布ケータイぽく使ってみるJunichi Okamura
 
20180224 ppug osaka_#3
20180224 ppug osaka_#320180224 ppug osaka_#3
20180224 ppug osaka_#3Junichi Okamura
 
20190312 node gakuen
20190312 node gakuen20190312 node gakuen
20190312 node gakuenJunichi Okamura
 
G's Academy メンター資料 / 20180216
G's Academy メンター資料 / 20180216G's Academy メンター資料 / 20180216
G's Academy メンター資料 / 20180216真一 藤川
 
20180829 ppug fukuoka
20180829 ppug fukuoka20180829 ppug fukuoka
20180829 ppug fukuokaJunichi Okamura
 
20180316 ppug tokyo_#5
20180316 ppug tokyo_#520180316 ppug tokyo_#5
20180316 ppug tokyo_#5Junichi Okamura
 
20180228 sendai it_workshop
20180228 sendai it_workshop20180228 sendai it_workshop
20180228 sendai it_workshopJunichi Okamura
 
20180530 ppug tokyo
20180530 ppug tokyo20180530 ppug tokyo
20180530 ppug tokyoJunichi Okamura
 
20180525 ppug sendai
20180525 ppug sendai20180525 ppug sendai
20180525 ppug sendaiJunichi Okamura
 
20180519 ppug niigata
20180519 ppug niigata20180519 ppug niigata
20180519 ppug niigataJunichi Okamura
 
20180609 ppug nagoya
20180609 ppug nagoya20180609 ppug nagoya
20180609 ppug nagoyaJunichi Okamura
 
20180607 ppug hachioji
20180607 ppug hachioji20180607 ppug hachioji
20180607 ppug hachiojiJunichi Okamura
 
API Meetup #8 PayPal API
API Meetup #8 PayPal APIAPI Meetup #8 PayPal API
API Meetup #8 PayPal APIJunichi Okamura
 
Payjp
PayjpPayjp
Payjpyoshichiba
 
20180222 serverless meetup_#7
20180222 serverless meetup_#720180222 serverless meetup_#7
20180222 serverless meetup_#7Junichi Okamura
 
CaseStudyJune2018
CaseStudyJune2018CaseStudyJune2018
CaseStudyJune2018Tokyo Bitcoin Ventures
 
Shinjuku.rb 20151125 PayPal 101
Shinjuku.rb 20151125 PayPal 101Shinjuku.rb 20151125 PayPal 101
Shinjuku.rb 20151125 PayPal 101Junichi Okamura
 
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
20180215 devsumi-base
20180215 devsumi-base20180215 devsumi-base
20180215 devsumi-base真一 藤川
 
20170415 mttokyo handson
20170415 mttokyo handson20170415 mttokyo handson
20170415 mttokyo handsonSix Apart
 
20180521 cs hack
20180521 cs hack20180521 cs hack
20180521 cs hackJunichi Okamura
 
Web Standards 2018
Web Standards 2018Web Standards 2018
Web Standards 2018Shogo Sensui
 
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynoteJunya Suzuki
 

Contenu connexe

Tendances

G's Academy メンター資料 / 20180216
G's Academy メンター資料 / 20180216G's Academy メンター資料 / 20180216
G's Academy メンター資料 / 20180216真一 藤川
 
20180228 sendai it_workshop
20180228 sendai it_workshop20180228 sendai it_workshop
20180228 sendai it_workshopJunichi Okamura
 
API Meetup #8 PayPal API
API Meetup #8 PayPal APIAPI Meetup #8 PayPal API
API Meetup #8 PayPal APIJunichi Okamura
 
20180222 serverless meetup_#7
20180222 serverless meetup_#720180222 serverless meetup_#7
20180222 serverless meetup_#7Junichi Okamura
 
Shinjuku.rb 20151125 PayPal 101
Shinjuku.rb 20151125 PayPal 101Shinjuku.rb 20151125 PayPal 101
Shinjuku.rb 20151125 PayPal 101Junichi Okamura
 

Tendances (15)

20190312 node gakuen
20190312 node gakuen20190312 node gakuen
20190312 node gakuen
 
G's Academy メンター資料 / 20180216
G's Academy メンター資料 / 20180216G's Academy メンター資料 / 20180216
G's Academy メンター資料 / 20180216
 
20180829 ppug fukuoka
20180829 ppug fukuoka20180829 ppug fukuoka
20180829 ppug fukuoka
 
20180316 ppug tokyo_#5
20180316 ppug tokyo_#520180316 ppug tokyo_#5
20180316 ppug tokyo_#5
 
20180228 sendai it_workshop
20180228 sendai it_workshop20180228 sendai it_workshop
20180228 sendai it_workshop
 
20180530 ppug tokyo
20180530 ppug tokyo20180530 ppug tokyo
20180530 ppug tokyo
 
20180525 ppug sendai
20180525 ppug sendai20180525 ppug sendai
20180525 ppug sendai
 
20180519 ppug niigata
20180519 ppug niigata20180519 ppug niigata
20180519 ppug niigata
 
20180609 ppug nagoya
20180609 ppug nagoya20180609 ppug nagoya
20180609 ppug nagoya
 
20180607 ppug hachioji
20180607 ppug hachioji20180607 ppug hachioji
20180607 ppug hachioji
 
API Meetup #8 PayPal API
API Meetup #8 PayPal APIAPI Meetup #8 PayPal API
API Meetup #8 PayPal API
 
Payjp
PayjpPayjp
Payjp
 
20180222 serverless meetup_#7
20180222 serverless meetup_#720180222 serverless meetup_#7
20180222 serverless meetup_#7
 
CaseStudyJune2018
CaseStudyJune2018CaseStudyJune2018
CaseStudyJune2018
 
Shinjuku.rb 20151125 PayPal 101
Shinjuku.rb 20151125 PayPal 101Shinjuku.rb 20151125 PayPal 101
Shinjuku.rb 20151125 PayPal 101
 

Similaire à PayPalとセキュリティの関係について

IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
20180215 devsumi-base
20180215 devsumi-base20180215 devsumi-base
20180215 devsumi-base真一 藤川
 
20170415 mttokyo handson
20170415 mttokyo handson20170415 mttokyo handson
20170415 mttokyo handsonSix Apart
 
Web Standards 2018
Web Standards 2018Web Standards 2018
Web Standards 2018Shogo Sensui
 
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynoteJunya Suzuki
 
起業家的?!エンジニアのススメ | Developer Summit 2020
起業家的?!エンジニアのススメ | Developer Summit 2020起業家的?!エンジニアのススメ | Developer Summit 2020
起業家的?!エンジニアのススメ | Developer Summit 2020SORACOM,INC
 
Api meet up online#6 session1 ginco
Api meet up online#6 session1 gincoApi meet up online#6 session1 ginco
Api meet up online#6 session1 gincoNihei Tsukasa
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUTatsuo Kudo
 
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...FinTechLabs.io
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Kengo Suzuki
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
kintone 連携スマホアプリの開発・配布体験
kintone 連携スマホアプリの開発・配布体験kintone 連携スマホアプリの開発・配布体験
kintone 連携スマホアプリの開発・配布体験アシアル株式会社
 
Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用Lumin Hacker
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてTakashi Yahata
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルMasaru Kurahayashi
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例briscola-tokyo
 
SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜
SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜
SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜SORACOM,INC
 

Similaire à PayPalとセキュリティの関係について (19)

IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリングIIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
IIJ Technical DAY 2019 ~ 安全なデジタル通貨流通を支えるアーキテクチャとエンジニアリング
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューション
 
20180215 devsumi-base
20180215 devsumi-base20180215 devsumi-base
20180215 devsumi-base
 
20170415 mttokyo handson
20170415 mttokyo handson20170415 mttokyo handson
20170415 mttokyo handson
 
20180521 cs hack
20180521 cs hack20180521 cs hack
20180521 cs hack
 
Web Standards 2018
Web Standards 2018Web Standards 2018
Web Standards 2018
 
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
決済システムの内製化への旅 - SpringとPCFで作るクラウドネイティブなシステム開発 #cndt2019 #osdt2019 #keynote
 
起業家的?!エンジニアのススメ | Developer Summit 2020
起業家的?!エンジニアのススメ | Developer Summit 2020起業家的?!エンジニアのススメ | Developer Summit 2020
起業家的?!エンジニアのススメ | Developer Summit 2020
 
Api meet up online#6 session1 ginco
Api meet up online#6 session1 gincoApi meet up online#6 session1 ginco
Api meet up online#6 session1 ginco
 
APIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAUAPIdays Australia 2017 TOI #APIdaysAU
APIdays Australia 2017 TOI #APIdaysAU
 
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
Trends in Banking APIs #fapisum - Japan/UK Open Banking and APIs Summit 2018 ...
 
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
Androidのセキュア開発について考えてみた(明日、敗訴しないためのセキュアコーディング.ver2)
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
kintone 連携スマホアプリの開発・配布体験
kintone 連携スマホアプリの開発・配布体験kintone 連携スマホアプリの開発・配布体験
kintone 連携スマホアプリの開発・配布体験
 
Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用Androidアプリ内蔵広告 徹底解析 公開用
Androidアプリ内蔵広告 徹底解析 公開用
 
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けてOpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
OpenID ConnectとSCIMによるエンタープライズでのID連携活用に向けて
 
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクルOpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
 
Kongの概要と導入事例
Kongの概要と導入事例Kongの概要と導入事例
Kongの概要と導入事例
 
SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜
SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜
SORACOM Conference Discovery 2017 | キーノート〜IoTの最先端を探しに〜
 

Plus de Junichi Okamura

20180915 word camp_tokyo
20180915 word camp_tokyo20180915 word camp_tokyo
20180915 word camp_tokyoJunichi Okamura
 
20180616 pay pal_meetup_osaka
20180616 pay pal_meetup_osaka20180616 pay pal_meetup_osaka
20180616 pay pal_meetup_osakaJunichi Okamura
 
20180529 fukuoka ec_night
20180529 fukuoka ec_night20180529 fukuoka ec_night
20180529 fukuoka ec_nightJunichi Okamura
 
20180323 junction tokyo_2018
20180323 junction tokyo_201820180323 junction tokyo_2018
20180323 junction tokyo_2018Junichi Okamura
 
PayPal Tech Meetup #7 Year End Party with PayPal Masters!
PayPal Tech Meetup #7 Year End Party with PayPal Masters!PayPal Tech Meetup #7 Year End Party with PayPal Masters!
PayPal Tech Meetup #7 Year End Party with PayPal Masters!Junichi Okamura
 
PayPal User Groupの振り返り
PayPal User Groupの振り返りPayPal User Groupの振り返り
PayPal User Groupの振り返りJunichi Okamura
 
Tokyo nodefestival workshop_20161112
Tokyo nodefestival workshop_20161112Tokyo nodefestival workshop_20161112
Tokyo nodefestival workshop_20161112Junichi Okamura
 
Rakuten Tech Conf 2015 Yet Another Security Talk
Rakuten Tech Conf 2015 Yet Another Security TalkRakuten Tech Conf 2015 Yet Another Security Talk
Rakuten Tech Conf 2015 Yet Another Security TalkJunichi Okamura
 
WebRTCでリアル店舗を作ってみる
WebRTCでリアル店舗を作ってみるWebRTCでリアル店舗を作ってみる
WebRTCでリアル店舗を作ってみるJunichi Okamura
 

Plus de Junichi Okamura (10)

20180915 word camp_tokyo
20180915 word camp_tokyo20180915 word camp_tokyo
20180915 word camp_tokyo
 
20180616 pay pal_meetup_osaka
20180616 pay pal_meetup_osaka20180616 pay pal_meetup_osaka
20180616 pay pal_meetup_osaka
 
20180529 fukuoka ec_night
20180529 fukuoka ec_night20180529 fukuoka ec_night
20180529 fukuoka ec_night
 
20180322 tech meetup_#8
20180322 tech meetup_#820180322 tech meetup_#8
20180322 tech meetup_#8
 
20180323 junction tokyo_2018
20180323 junction tokyo_201820180323 junction tokyo_2018
20180323 junction tokyo_2018
 
PayPal Tech Meetup #7 Year End Party with PayPal Masters!
PayPal Tech Meetup #7 Year End Party with PayPal Masters!PayPal Tech Meetup #7 Year End Party with PayPal Masters!
PayPal Tech Meetup #7 Year End Party with PayPal Masters!
 
PayPal User Groupの振り返り
PayPal User Groupの振り返りPayPal User Groupの振り返り
PayPal User Groupの振り返り
 
Tokyo nodefestival workshop_20161112
Tokyo nodefestival workshop_20161112Tokyo nodefestival workshop_20161112
Tokyo nodefestival workshop_20161112
 
Rakuten Tech Conf 2015 Yet Another Security Talk
Rakuten Tech Conf 2015 Yet Another Security TalkRakuten Tech Conf 2015 Yet Another Security Talk
Rakuten Tech Conf 2015 Yet Another Security Talk
 
WebRTCでリアル店舗を作ってみる
WebRTCでリアル店舗を作ってみるWebRTCでリアル店舗を作ってみる
WebRTCでリアル店舗を作ってみる
 

PayPalとセキュリティの関係について

  • 2. Who‘s who? 2 Junichi Okamura (@benzookapi) PayPal Integration Manager/Evangelist Scala/Java/Node.js/Python/Ruby/PHP/../Mobile/../ppt Rock/Beer/DQ/JOJO/I18N/Marketing/Payment API愛好家、農業IT化支援、漫画家
  • 3. © 2014 PayPal Inc. All rights reserved. Confidential and proprietary. 1998年設立。 17年以上の決済事業における実績を持つシリコンバレーのテックカンパ ニーであり、約2億人が200以上の国と地域、100通貨以上で利用してい る、Eコマースにおけるグローバルスタンダード 出発点はオンライン上でだれでも簡単に支払ったり、支払いを受けつけら れる仕組みを提供し、起業家や中小企業を支援 規模に関わらず、世界中のバイヤーとセラーを安心・安全につなげて、 国境、通貨、デバイスに関係なく、生活やビジネスを簡単に  日本では2010年より本格営業稼動。オフィスは青山・表参道に所在
  • 5. PayPal は E コマースにおけるグローバルスタンダードです
  • 7. Fintechにおける3つのセキュリティキーワード ©2016 PayPal Inc. Confidential and proprietary. 7 1. PCIDSS 2. Tokenization 3. Anti-Fraud
  • 8. 1. PCIDSS ©2016 PayPal Inc. Confidential and proprietary. 8
  • 9. PCIDSSとは? ©2016 PayPal Inc. Confidential and proprietary. 9 Payment Card Industry Data Security Standard • 国際カードブランド5社が定めたセキュリティ基準 • ISMSと似た基準だが、より範囲が狭くかつ深い(厳しい) • カード情報を伝達・保存する業者は取得しないとカード決済は本来導入できない • PayPalをはじめ決済サービスは取得している(決済以外の大手企業も) • 扱うデータやその方法で取得するランクがある • 維持に多額のコストがかかる • バージョンがある(追従しないとそのうち非準拠となる)
  • 10. PCIDSSの具体的な内容 ©2016 PayPal Inc. Confidential and proprietary. 10 • 公式ドキュメント − https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf • よく問題になるのは「SAQ A」と「SAQ A-EP」の違い(参考元:Qiita記事) − http://qiita.com/hokkai7go/items/3705120cf73b07570f9e
  • 11. PCIDSSがもたらす恩恵 ©2016 PayPal Inc. Confidential and proprietary. 11 • 情報漏洩の防止 − 運用にコストや場合によっては不便さもあるが、準拠することで情報漏洩の可能性は格段に下がる − カード情報漏洩事件などを起こす業者は準拠していない • 信頼の獲得 − 厳しいセキュリティ基準のため、決済ベンダー以外でもセキュリティへの信頼誇示に役立つ
  • 12. 2. Tokenization ©2016 PayPal Inc. Confidential and proprietary. 12
  • 13. Tokenizationとは? ©2016 PayPal Inc. Confidential and proprietary. 13 カード情報などの機密情報を直接やりとりせず一時的引き換え券(トークン)で行う仕組み • 決済だけのものではない(OAuthのトークンとかお馴染み) • 最近決済の手法にも一般的に取り入れられてきた • トークンを介すことでJavaScriptやモバイルといったクライアントの差異を吸収した決済処理 が可能
  • 14. Tokenizationを使ったPayPalの新しいSDK – Braintree SDK - • Client SDK − JavaScript/iOS/Android : 決済開始、PayPal画面表示 • Server Side SDK − Java/.Net/Node.js/PHP/Python/Ruby : 決済完了 ©2016 PayPal Inc. Confidential and proprietary. 14 たった2ステップの実装で、ウェブ、スマホアプリ同じように決済導入可能! PayPal Developer サイトの「Express Checkout」参照(日本語情報準備中)
  • 15. Client SDK ( JavaScript)の例 ©2016 PayPal Inc. Confidential and proprietary. 15 JSファイルを読み込んで、こんな感じでほぼコピペで出来ちゃいます
  • 16. Server Side SDK ( Ruby)の例 ©2016 PayPal Inc. Confidential and proprietary. 16 Gemで簡単にインストールできて、たったこんだけで決済完了
  • 17. 動くサンプルコード(Node.js) ©2016 PayPal Inc. Confidential and proprietary. 17 https://github.com/benzookapi/VZeroNodeDemo • GitHubで「VZeroNodeDemo」で検索 • http://localhost:3000 で動くよ!
  • 18. Braintree SDKの技術的特徴 ©2016 PayPal Inc. Confidential and proprietary. 18 • Client Side (JavaScript、Mobile)にほとんどの実装を寄せている • Tokenization(トークン化)によってセキュリティ担保とサーバー処理の独立・簡素化 Payment Request APIと似た発想
  • 19. Braintree SDKのTokenization • ①Access Token − Credentialsで生成したトークンです。サーバー側で管理します。 • ②Client Token − Access Tokenを元にサーバー側で生成します。クライアント(WEBページやアプリの決済画面)で使います。 • ③(Payment Method )Nonce − クライアントがClient Tokenを使って、ユーザー操作の後に生成します。 • ④サーバー側の決済処理 − Access TokenとPayment Method Nonceを使って行います。両者が正しくないと処理できません。 • セキュリティ的な順位付け − Credentials > Access Token > Client Token > Nonce ©2016 PayPal Inc. Confidential and proprietary. 2つのTokenと1つのNonce(ワンタイムトークン)を使って行います
  • 20. 図にするとこんな感じ ©2016 PayPal Inc. Confidential and proprietary.
  • 21. 3. Anti-Fraud ©2016 PayPal Inc. Confidential and proprietary. 21
  • 22. Anti-Fraudとは? ©2016 PayPal Inc. Confidential and proprietary. 22 詐欺防止、決済においては不正取引防止 • PayPal Developer Siteのセキュリティガイドライン − https://developer.paypal.com/docs/classic/lifecycle/info-security-guidelines/?mark=security • 同じくDeveloper SiteのFraud Managementの説明(クレジットカード決済に利用) − https://developer.paypal.com/docs/classic/fmf/integration-guide/FMFSummary/?mark=faud
  • 23. 昨今のOSS脆弱性にいち早く身を切った取り組み ©2016 PayPal Inc. Confidential and proprietary. 23 2016-1027の全世界規模でのセキュリティアップグレード計画 • APIやその他通信の強制アップグレード − TLS 1.2 HTTP 1.1へのアップグレード − SSL証明書アップグレード − 通知確認用URLなどすべての接続のHTTPサポート終了 − …など − https://www.paypal- knowledge.com/infocenter/index?page=content&id=FAQ1913&expand=true&locale=ja_JP
  • 24. PayPalの不正対策 ©2016 PayPal Inc. Confidential and proprietary. 24 システム検知とオペレーションのハイブリッドで24/365対応 ごめんなさい、詳しく言えないのでイメージとして以下の動画を見てくだい http://www.cbs.com/shows/cbs_this_morning/video/k_ELVn3PCohOhE4qR5KJDc_figX8 betm/behind-paypal-s-operation-to-stop-cybertheft/
  • 25. PayPalの不正に対する(実はあまり知られてない?)制度 ©2016 PayPal Inc. Confidential and proprietary. 25 先ほどのオペレーションに該当 売り手保護制度 (買い手もあります) https://www.paypal.com/jp/webapps/mpp/merchant/how-to-protect-seller
  • 26. まとめ ©2016 PayPal Inc. Confidential and proprietary. 26 安心・安全の決済サービスでペイパろー!
  • 27. ちょっとだけ宣伝 ©2016 PayPal Inc. Confidential and proprietary. 27 (JAWS-UGみたいな)ユーザーグループ PPUGできました! 再来週第3回勉強会開催! connpassで「PPUG」で検索! facebook groupもあるよ!

Notes de l'éditeur

  1. http
  2. http
  3. http
  4. http