stripeを実際に使う際の注意点など
stripeとrails6を使い
・stripeアカウント登録機能
・購入機能
・売り手側への送金機能
・購入履歴
をつくりました。
そこで実際にwebアプリを公開する際ほかに実装するべき機能・注意点・セキュリティ問題・公開してからやるべきことなどなど、どんな些細なことでもなにかあれば教えていただきたいです。
よろしくお願いいたします。
0
ECサイトは改正割賦販売法への準拠が必要になります。
開発で主に注意する点は以下の2つになります。
- カード情報の非保持化
- 不正使用対策
まず、1番の非保持化ですが、これはDBにカード情報を保存しないというのは言うまでもなく、EC事業者のサーバやネットワークにクレジットカード情報を通過させてはいけません。
例えばカード情報を一時的にセッションに保存したり、次の画面に引き継ぐためにサーバプログラムにPOSTしたりすることもNGになります。(非保持化が難しい場合はPCI DSSへの準拠が必要)
次に2番の不正使用対策ですが、これは以下のような対策を2つ以上実施する必要があります。
- 本人認証・・・3Dセキュアや認証アシストにより利用者本人が取引を行っていることを確認
- 券面認証・・・セキュリティコードの入力により真正なカードが利用されていることを確認
- 属性・行動分析・・・利用者の入力情報、利用端末、過去の取引情報などによりリスク評価を行い不正な取引であるかどうか確認
- 配送先情報・・・不正取引の判断材料に活用。また、取引成立後であっても商品等の配送を事前に止めることで不正利用被害を防止
Stripeをご利用とのことですので以下の記事をご参照ください。
https://stripe.com/jp/guides/installment-sales-act
1Like
@prograti さんコメントありがとうございます!参考にさせていただきます。
0Like