クレジットカードはVISA、Master Card、JCBなどのブランドはよく知られていますが、カードそのものは銀行やカード発行会社から受け取ります。

ではクレジットカードで支払を受ける場合、それらすべての会社と取り引きする必要があるのかと言えば、その必要はありません。

決済代行会社と契約

Webサイトでクレジットカード決済を導入する場合、そのWebサイトはクレジットカード発行会社と直接取り引きせず、決済代行会社と取り引きすることになります。決済代行会社からは、取引先として「店舗」と呼ばれます。

決済代行会社では、インターネットを利用したWeb決済機能の提供からはじまって、クレジットカード会社からの代金の回収、店舗への入金、利用者への返金など、手数料は発生しますがそれらの業務を請け負ってくれます。

なお決済代行会社と取引する場合、信用調査が事前にありますのでご留意ください。

Webサイト上でのカード利用の仕組み

クレジットカード払いの利用形態は、店舗からお客のクレジットカード番号と金額をカード会社に送信し、カード会社から決済完了の通知を受け取り、売り上げとなります。

Webサイトでクレジットカード払いを実施する場合も同様ですが、その操作や動作の過程で第三者にクレジットカード番号が漏洩する可能性はないか、と言う点がセキュリティ上大変重要になります。

これはクレジットカードの情報を入力して送信する場合、そのデータがどこに送られているのか、に注意が払われます。もしそのサイトに直接送信されているのであれば、利用者はそのサイトから情報が漏洩する可能性を心配する事になります。

その心配を払拭する方法が、トークンを利用した決済方法です。

トークンの利用は、そのサイトへカード情報が送信される事なく支払ができるため、カード情報の漏洩の心配を抑えてくれます。

その仕組みを簡単に説明します。下の図をご覧ください。

予約システムにおけるWeb決済の例です

図は決済に関係する情報の流れを表しています。

Web上で決済する操作は

  • 支払い画面で入力したカード情報が決済代行会社へ送られます
  • 決済代行会社から「トークン」が発行されWebサイトへ送信します
  • Webサイトは決済代行会社に受け取ったトークンと金額を送信します
  • 3Dセキュアが実行される場合は利用者側で認証処理が実行されます
  • 支払が完了するとWebサイトへ知らされ完了画面を表示します

という流れになります。

セキュリティについて

トークンの利用は、利用者にとってWebサイト側にカード情報を知られる事がないため、安全性が高くなります。その上でWebサイト側は、さらにセキュリティの注意を払わなければなりません。

なおカード利用者の操作環境により情報を盗み取られる可能性がありますが、その点は省き、こちら側で取れる注意や対策について以下に示します。

あってはならない事のトップは、Webサイトの管理者権限を取られる事です。怖いのは乗っ取られている事が分からず、画面表示の書き替えが行われているかも知れない事です。その場合は、データベースに登録したユーザー情報も取られることになります。

利用するサーバーも注意が必要です。これはレンタルサーバーを扱う専門会社といえども脆弱性が潜んでいる事があるので、できる限り安全性について評判の高いサーバーを利用するのが良いと思います。

自身の利用する端末も同様に注意しなければなりません。ウィルスに感染しているようなPCの利用は言語道断です。ビジネスで利用するPCと個人で利用するPCは、分けてください。メールをむやみに開いたり、URLをクリックしてページを表示したり、あるいはポップアップに驚いてボタンを押したりしないでください。

基本的な注意を払った上で、Webサイトは暗号化通信をするための「SSL」の導入を実施する事になります。インターネットでは通信途上でデータを盗み見することが可能なため、暗号化通信を利用すれば安全です。

WordPressのセキュリティの脆弱性についてはログインを除き、本体のセキュリティホールを突いた攻撃は今のところ聞いた事はありません。ですのでWordPressの利用で注意する点は、プラグインやテーマによって危険性が生じるということです。

WordPressはパスワードが知られなければ、管理者権限を乗っ取られる事はまずありません。またパスワードはハッシュ化して保存されているため、データからパスワードを引き出す事も難しいのです。

ただしWordPressのWebサイトは、世界中から繰り返し不正ログインが試みられています。安易なパスワードを設定していると、あっという間にサイトを乗っ取られますので留意してください。