カード情報非保持化対応のお願い

近年、セキュリティ対策が不十分なクレジットカード加盟店を狙った不正アクセスによるカード情報漏えい事故が増大しております。

こうした背景をふまえ、2018年6月頃に施行予定の改正割賦販売法 *1 によりクレジットカード番号の適切な管理と不正利用の防止が加盟店さまに義務付けられます。

これに伴い、一般社団法人日本クレジット協会および経済産業省により「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画」*2 (以下「実行計画」)が策定され、 2018年3月末 までに後述するクレジットカード番号の非保持化対応が加盟店さま側で求められております。非保持化対応がされていない場合、加盟店さま側で別途「PCI DSS」*3 の準拠が必要となります。

PAY.JPの加盟店さまにおかれましては、安全な決済環境をご利用いただくよう、以下の内容についてご確認とご対応をお願いいたします。

クレジットカード番号の非保持化について

先述の「実行計画」において、カード情報の「非保持化」とは、「加盟店様で保有する機器・ネットワークにおいてカード情報を『保存』『処理』『通過』しないこと」と定義されています。

内容 必要な対応 PAY.JP 実装
通過型 カード番号が加盟店のサーバーを通過 2018年3月末までに、非通過型決済への移行もしくはPCI DSSへの準拠 サーバーサイドから直接カード番号を指定して PAY.JP API へリクエスト
非通過型 カード番号が加盟店のサーバーを通過しない 対応不要 payjp.js, Checkout モジュールなどでクライアントサイドから PAY.JP API へリクエスト

加盟店さまにおかれましては、下記にあげる方法で、非保持化についてご対応くださいますようお願いいたします。

PAY.JP で非保持化に対応する

PAY.JP ではJSモジュールの payjp.js または Checkout を使ったトークン決済で、非保持化にかんたんに対応することができます。下記のとおり、購入者のブラウザから直接PAY.JPへカード情報を送信するため、加盟店さまのサーバーに触れることなく安全に処理が可能です。

f:id:payjp:20171110172959p:plain
非保持化対応がされたフロー

組込方法は下記チュートリアルやブログ記事にございますので参考にしてください。

通過型の処理について

一方で、PAY.JP APIに対して、サーバーサイドから直接カード番号を指定して処理を実施する方法がございます。

こちらは通過型となりますので、この方法で処理を実施している加盟店さまは、非保持化の対応が必要 となります。

f:id:payjp:20171110152459p:plain
非保持化対応がされていないフロー

下記のようなリクエストを実施されている加盟店さまは先述の payjp.js, Checkout などを使った非保持化への対応をお願いいたします。

リクエスト例(トークン作成):

curl https://api.pay.jp/v1/tokens -u KEY: \
-d card[number]=4242424242424242 \ 
-d card[exp_year]=2020 \
-d card[exp_month]=12 \
-d card[cvc]=123 \

リクエスト例(支払い作成):

curl https://api.pay.jp/v1/charges -u KEY: \
-d card[number]=4242424242424242 \ 
-d card[exp_year]=2020 \
-d card[exp_month]=12 \
-d card[cvc]=123 \
-d amount=500 \
-d currency=jpy

リクエスト(顧客作成):

curl https://api.pay.jp/v1/customers -u KEY: \
-d card[number]=4242424242424242 \ 
-d card[exp_year]=2020 \
-d card[exp_month]=12 \
-d card[cvc]=123 \
-d email=example@pay.jp

通過型処理の今後のサポートについて

PAY.JP では加盟店・購入者の皆さまに安全な決済環境を提供するため、PAY.JP APIにおける下記にあげる通過型の処理を 非推奨 とし、 一部APIのPOSTリクエストにおいて、 来年度中を目処に通過型のパラメーターはサーバー側から送信できない仕様に変更する予定 です。

エンドポイント パラメーター 直近のサポート
/tokens
/charges
/customers
card[number]
card[exp_month]
card[exp_year]
card[cvc]
card[address_state]
card[address_city]
card[address_line1]
card[address_line2]
card[address_zip]
card[country]
card[name]
非推奨
/customers/:id/crads number
exp_month
exp_year
cvc
address_state
address_city
address_line1
address_line2
address_zip
country
name
非推奨

クレジットカード番号の非保持化対応についてご不明点などございましたら、 PAY.JP お問い合わせフォーム よりご連絡をお願いいたします。

EC-CUBE プラグインのサポート予定について

このたび、EC-CUBE用のPAY.JP 決済ライブラリに関しまして、ご利用状況とメンテナンス体制の見直しに伴い、2017年10月末をもってサポートを一時終了することとなりましたのでお知らせいたします。

サポート終了後は上記 payjp-eccube レポジトリを非公開とし、当ライブラリに関連するお問い合わせ対応を一旦終了いたします。

ステータスページの正式運用開始について

f:id:payjp:20170727174720p:plain

PAY.JP のシステム情報を配信するステータスページの運用を正式に開始いたしましたので、ご案内いたします。

これまで当アナウンスブログやTwitter公式アカウントで、システム状況やメンテナンス予定の掲載を実施してまいりましたが、より素早く正確なシステム状況をご利用のみなさまに配信するため、ステータスページにて当該情報を配信する運用を開始いたしました。

ステータスページで配信される情報は下記となります。

  • 障害発生時のリアルタイム情報
  • メンテナンス予定

今後はステータスページを障害、メンテナンス連絡の一次情報源とし、当アナウンスブログは詳細をお伝えする際に記載する運用とさせていただきます。

ステータスページの更新通知は、RSS、メールで受け取ることが可能です。ぜひご活用ください。

今後とも PAY.JP をよろしくお願いいたします。

2017/07/12-14の障害に関しまして

2017/07/12-14の連日に渡り、上流接続先(SonyPaymentServices)とのシステム障害が起こっており、ご利用のお客さまには多大なご迷惑をおかけして大変申し訳ございませんでした。

本記事では、これまでの障害状況と現状における再発防止策を共有させていただきます。

2017/07/12, 13

  • 原因
    • SonyPaymentServices側へ、弊社とは異なる別の加盟店への大量アクセスにより、弊社を含めたSonyPaymentServicesを利用している加盟店に接続障害が発生
  • 再発防止策
    • 大量不正アクセスの検知の早期化
    • 不正なアクセスのIP遮断を早急に実施する体制の整備

2017/07/14

  • 原因
    • PAY.JP の特定加盟店による大量不正リクエストにより、連日同様の原因でシステム障害が起きている状況のため、SonyPaymentServices側から PAY.JP 経由のリクエストを制限
    • SonyPaymentServices側と PAY.JP の2社間の連絡経路に問題があったことによる検知の遅れ

PAY.JP としての再発防止策

  • 不正なリクエストを送信してくる加盟店を素早く検知できる監視体制および制御システムの構築
  • SonyPaymentServices・PAY.JP側問わず障害時の連絡体制の強化
  • 障害時に加盟店への第一報を迅速に行える体制の構築
  • リアルタイムで検知可能なシステムのステータスページを用意 (https://status.pay.jp/)

このたびはこちらの不備で大変なご迷惑をおかけいたしましたこと、深くお詫び申し上げます。

弊社および上流接続先ではこの事態を重く受け止め、同様の事態を二度と招かぬよう 再発防止に向けて全力をあげて取り組んでまいります。

ご利用のお客さまにはご迷惑をおかけいたしまして大変申し訳ございませんでした。

2017/07/14 07:43 - 2017/07/14 08:53 上流接続先(SonyPaymentServices)との接続障害が発生いたしました

下記時間帯に上流接続先(SonyPaymentServices)との接続障害が発生いたしました

  • 2017/07/14 07:43 - 2017/07/14 08:53

これにより、一部の決済処理 (支払い作成、確定処理、返金)およびカード登録処理で失敗が発生しておりました。

ご利用のお客さまにはご迷惑をおかけいたしまして大変申し訳ございませんでした。

2017/07/13 21:00 - 2017/07/13 21:20 上流接続先(SonyPaymentServices)で障害が発生いたしました

下記時間帯に上流接続先(SonyPaymentServices)で障害が発生いたしました。

  • 2017/07/13 21:00 - 2017/07/13 21:20

これにより、決済処理 (支払い作成、確定処理、返金)およびカード登録処理で失敗が発生しておりました。

ご利用のお客さまにはご迷惑をおかけいたしまして大変申し訳ございませんでした。

2017/07/12 21:02 - 2017/07/12 22:12 上流接続先(SonyPaymentServices)で障害が発生いたしました

更新情報

2017/07/12 22:25 更新

■ 復旧: 22:25 復旧を確認


下記時間帯に上流接続先(SonyPaymentServices)で障害が発生いたしました。

  • 2017/07/12 21:02 - 2017/07/12 22:12

これにより、決済処理 (支払い作成、確定処理、返金)およびカード登録処理で失敗が発生しておりました。

ご利用のお客さまにはご迷惑をおかけいたしまして大変申し訳ございませんでした。