Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

PayPalとセキュリティの関係について

1,610 views

Published on

2017.6.16 @FinTech X Security-JAWS 勉強会#01

Published in: Internet
  • Hey guys! Who wants to chat with me? More photos with me here 👉 http://www.bit.ly/katekoxx
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

PayPalとセキュリティの関係について

  1. 1. PayPalと セキュリティの関係について 2017.6.16 @FinTech X Security-JAWS 勉強会#01
  2. 2. Who‘s who? 2 Junichi Okamura (@benzookapi) PayPal Integration Manager/Evangelist Scala/Java/Node.js/Python/Ruby/PHP/../Mobile/../ppt Rock/Beer/DQ/JOJO/I18N/Marketing/Payment API愛好家、農業IT化支援、漫画家
  3. 3. © 2014 PayPal Inc. All rights reserved. Confidential and proprietary. 1998年設立。 17年以上の決済事業における実績を持つシリコンバレーのテックカンパ ニーであり、約2億人が200以上の国と地域、100通貨以上で利用してい る、Eコマースにおけるグローバルスタンダード 出発点はオンライン上でだれでも簡単に支払ったり、支払いを受けつけら れる仕組みを提供し、起業家や中小企業を支援 規模に関わらず、世界中のバイヤーとセラーを安心・安全につなげて、 国境、通貨、デバイスに関係なく、生活やビジネスを簡単に  日本では2010年より本格営業稼動。オフィスは青山・表参道に所在
  4. 4. PayPalの仕組み
  5. 5. PayPal は E コマースにおけるグローバルスタンダードです
  6. 6. 本日お話ししたいこと FintechのパイオニアであるPayPalとセキュリティの関係について 3つのキーワードに基づきご説明したいと思います ©2016 PayPal Inc. Confidential and proprietary. 6
  7. 7. Fintechにおける3つのセキュリティキーワード ©2016 PayPal Inc. Confidential and proprietary. 7 1. PCIDSS 2. Tokenization 3. Anti-Fraud
  8. 8. 1. PCIDSS ©2016 PayPal Inc. Confidential and proprietary. 8
  9. 9. PCIDSSとは? ©2016 PayPal Inc. Confidential and proprietary. 9 Payment Card Industry Data Security Standard • 国際カードブランド5社が定めたセキュリティ基準 • ISMSと似た基準だが、より範囲が狭くかつ深い(厳しい) • カード情報を伝達・保存する業者は取得しないとカード決済は本来導入できない • PayPalをはじめ決済サービスは取得している(決済以外の大手企業も) • 扱うデータやその方法で取得するランクがある • 維持に多額のコストがかかる • バージョンがある(追従しないとそのうち非準拠となる)
  10. 10. PCIDSSの具体的な内容 ©2016 PayPal Inc. Confidential and proprietary. 10 • 公式ドキュメント − https://www.pcisecuritystandards.org/documents/Understanding_SAQs_PCI_DSS_v3.pdf • よく問題になるのは「SAQ A」と「SAQ A-EP」の違い(参考元:Qiita記事) − http://qiita.com/hokkai7go/items/3705120cf73b07570f9e
  11. 11. PCIDSSがもたらす恩恵 ©2016 PayPal Inc. Confidential and proprietary. 11 • 情報漏洩の防止 − 運用にコストや場合によっては不便さもあるが、準拠することで情報漏洩の可能性は格段に下がる − カード情報漏洩事件などを起こす業者は準拠していない • 信頼の獲得 − 厳しいセキュリティ基準のため、決済ベンダー以外でもセキュリティへの信頼誇示に役立つ
  12. 12. 2. Tokenization ©2016 PayPal Inc. Confidential and proprietary. 12
  13. 13. Tokenizationとは? ©2016 PayPal Inc. Confidential and proprietary. 13 カード情報などの機密情報を直接やりとりせず一時的引き換え券(トークン)で行う仕組み • 決済だけのものではない(OAuthのトークンとかお馴染み) • 最近決済の手法にも一般的に取り入れられてきた • トークンを介すことでJavaScriptやモバイルといったクライアントの差異を吸収した決済処理 が可能
  14. 14. Tokenizationを使ったPayPalの新しいSDK – Braintree SDK - • Client SDK − JavaScript/iOS/Android : 決済開始、PayPal画面表示 • Server Side SDK − Java/.Net/Node.js/PHP/Python/Ruby : 決済完了 ©2016 PayPal Inc. Confidential and proprietary. 14 たった2ステップの実装で、ウェブ、スマホアプリ同じように決済導入可能! PayPal Developer サイトの「Express Checkout」参照(日本語情報準備中)
  15. 15. Client SDK ( JavaScript)の例 ©2016 PayPal Inc. Confidential and proprietary. 15 JSファイルを読み込んで、こんな感じでほぼコピペで出来ちゃいます
  16. 16. Server Side SDK ( Ruby)の例 ©2016 PayPal Inc. Confidential and proprietary. 16 Gemで簡単にインストールできて、たったこんだけで決済完了
  17. 17. 動くサンプルコード(Node.js) ©2016 PayPal Inc. Confidential and proprietary. 17 https://github.com/benzookapi/VZeroNodeDemo • GitHubで「VZeroNodeDemo」で検索 • http://localhost:3000 で動くよ!
  18. 18. Braintree SDKの技術的特徴 ©2016 PayPal Inc. Confidential and proprietary. 18 • Client Side (JavaScript、Mobile)にほとんどの実装を寄せている • Tokenization(トークン化)によってセキュリティ担保とサーバー処理の独立・簡素化 Payment Request APIと似た発想
  19. 19. Braintree SDKのTokenization • ①Access Token − Credentialsで生成したトークンです。サーバー側で管理します。 • ②Client Token − Access Tokenを元にサーバー側で生成します。クライアント(WEBページやアプリの決済画面)で使います。 • ③(Payment Method )Nonce − クライアントがClient Tokenを使って、ユーザー操作の後に生成します。 • ④サーバー側の決済処理 − Access TokenとPayment Method Nonceを使って行います。両者が正しくないと処理できません。 • セキュリティ的な順位付け − Credentials > Access Token > Client Token > Nonce ©2016 PayPal Inc. Confidential and proprietary. 2つのTokenと1つのNonce(ワンタイムトークン)を使って行います
  20. 20. 図にするとこんな感じ ©2016 PayPal Inc. Confidential and proprietary.
  21. 21. 3. Anti-Fraud ©2016 PayPal Inc. Confidential and proprietary. 21
  22. 22. Anti-Fraudとは? ©2016 PayPal Inc. Confidential and proprietary. 22 詐欺防止、決済においては不正取引防止 • PayPal Developer Siteのセキュリティガイドライン − https://developer.paypal.com/docs/classic/lifecycle/info-security-guidelines/?mark=security • 同じくDeveloper SiteのFraud Managementの説明(クレジットカード決済に利用) − https://developer.paypal.com/docs/classic/fmf/integration-guide/FMFSummary/?mark=faud
  23. 23. 昨今のOSS脆弱性にいち早く身を切った取り組み ©2016 PayPal Inc. Confidential and proprietary. 23 2016-1027の全世界規模でのセキュリティアップグレード計画 • APIやその他通信の強制アップグレード − TLS 1.2 HTTP 1.1へのアップグレード − SSL証明書アップグレード − 通知確認用URLなどすべての接続のHTTPサポート終了 − …など − https://www.paypal- knowledge.com/infocenter/index?page=content&id=FAQ1913&expand=true&locale=ja_JP
  24. 24. PayPalの不正対策 ©2016 PayPal Inc. Confidential and proprietary. 24 システム検知とオペレーションのハイブリッドで24/365対応 ごめんなさい、詳しく言えないのでイメージとして以下の動画を見てくだい http://www.cbs.com/shows/cbs_this_morning/video/k_ELVn3PCohOhE4qR5KJDc_figX8 betm/behind-paypal-s-operation-to-stop-cybertheft/
  25. 25. PayPalの不正に対する(実はあまり知られてない?)制度 ©2016 PayPal Inc. Confidential and proprietary. 25 先ほどのオペレーションに該当 売り手保護制度 (買い手もあります) https://www.paypal.com/jp/webapps/mpp/merchant/how-to-protect-seller
  26. 26. まとめ ©2016 PayPal Inc. Confidential and proprietary. 26 安心・安全の決済サービスでペイパろー!
  27. 27. ちょっとだけ宣伝 ©2016 PayPal Inc. Confidential and proprietary. 27 (JAWS-UGみたいな)ユーザーグループ PPUGできました! 再来週第3回勉強会開催! connpassで「PPUG」で検索! facebook groupもあるよ!
  28. 28. PayPalと セキュリティの関係について 2017.6.16 @FinTech X Security-JAWS 勉強会#01

×