投稿

Woo Pay.JPを1.2.0にアップデートしました

This post is written only in Japanese. If you want read it in English, please leave a translation request.

Woo Pay.JPを1.2.0にアップデートいたしました。変更点は下記の通りです。

  1. クレジットカード入力フォームをPay.JPのチェックアウト機能に変更。これにより、クレジットカード情報があなたのWordPress上を通過することは一切なくなります。
  2. 確定支払いに対応。これまでは注文の申し込みがあった時点で支払いを確定させていましたが、オプションをオンにすることで、受注時に与信を確保し、発送時に支払いを確定させることができます。

なぜチェックアウト機能を利用したか

チェックアウト機能を利用すると次のように決済フローの見栄えが変わります。

これまでのフォームがなくなり、「カード情報を入力」というボタンに変わります

クリックするとPay.JPのフォームがモーダルで開きます

なぜこのような大きな変更をしたかについて、ご説明いたします。

最近、日本の決済代行業界をにわかに騒がせているのが、クレジット取引セキュリティ対策協議会による2018年3月までのPCI DSS準拠要請です(参考:[ご存知ですか?] 2018年3月までに「カード情報の非保持化」または「PCI DSS準拠」が必要です

昨今、クレジットカード情報の流出が事件となることも珍しくありませんが、この対策として、「カード情報の非保持化」という手段があります。

もちろん、Woo Pay.JPを含め、ここ数年にリリースされた多くの決済ソフトウェアはクレジットカード情報を自サイトのデータベースに保存するようなことをしていませんが、たとえばPOSTで送信したログが残ってしまうようなことはありえました。また、XSS脆弱性が存在していたような場合、カード情報をフォームに入力すること自体が危険ともいえるわけです。

そのために PCI DSS という要求仕様が提案されたのですが、この仕様を満たすための審査費用などが大変高額で、話によると1,000万円かかると言われています。決済代行企業がPCI DSSに準拠するのは当然としても、各ECサイトがそれを自費で実装するのは現実的ではありません。

そこで、各決済代行企業はPCI DSS準拠の必要性がなくなるように、「カード情報の非保持化」「カード情報のトークン化」などの手段を提供しており、Pay.JPの場合、それはチェックアウト機能だということです。

いずれにせよ、このチェックアウト機能を使うことで、あなたのサイトは顧客の情報を守ることができるわけです。

UIとチェックアウトフローが大きく変更することに反発を覚える方もいらっしゃるかもしれませんが、大切なお客様を守るための変更として受け入れていただけますと幸いです。