概要
Secure Payment Confirmation(SPC)は、提案されているウェブ標準であり、プラットフォーム認証システムを使用してクレジット カード発行会社、銀行、またはその他の決済サービス プロバイダに対して認証を行うことができます。通常、指紋認証センサーなどのデバイスの画面ロック解除機能で有効化されます。これは通常、EMV 3-D セキュアやオープン バンキングなどの支払い認証プロトコルで発生します。たとえば、EMV 3-D セキュアは、v2.3 仕様リリースで SPC をサポートしています。以前にお知らせしたとおり、macOS と Windows の Google Chrome 向けに SPC がリリースされました。また、登録と認証の両方に関するデベロッパー ガイドを提供しました。
M109(現在は Beta チャンネル)以降、SPC は Android 版 Google Chrome でも利用できるようになります。ユーザーはデバイスの画面ロックを使用して、SPC を使用する販売者サイトで支払い確認プロセスを完了できます。
SPC の試験運用にご興味がある場合は、デモサイトでお試しいただけます。または、ユーザーの支払いの認証で SPC をサポートする予定があるかどうか、決済サービス プロバイダにお問い合わせください。
支払いの強力な認証
認証は、決済に関する詐欺の防止において重要な役割を果たします。しかし、現在の支払い認証では、脆弱な認証方法(CVC コードなど)や煩雑な認証方法(SMS OTP など)がよく使用されています。このような認証方法では、ユーザーが不正行為に対して脆弱なままにしたり、摩擦が原因でカートを放棄したりする可能性があります。
SPC はウェブ認証(WebAuthn)を基盤とし、ユーザーのデバイスに組み込まれているプラットフォーム認証システムを使用して、支払い取引に強力な認証をもたらします。カード会社や決済サービス プロバイダなどの認証者(WebAuthn ではリライング パーティ)は、ウェブサイトまたは従来の認証されたトランザクション中に、1 回限りのプロセスでユーザーを登録します。その後、ユーザーはこの登録を使用して、後続の支払いフローでユーザーを認証できます。
リライング パーティが同じ(同じカード会社など)である限り、ユーザーは SPC を統合したすべての販売者のリライング パーティとの今後のすべての支払いで 1 つの登録を使用できます。
API の変更
デベロッパーは、デスクトップ統合用に作成された既存の実装ガイドで、API の仕組みを確認できます。
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
payment プロパティは、これが SPC 認証情報であることを示します。使用方法については、以前の登録ガイドをご覧ください。
現在、このコードは SPC で機能する検出不能な認証情報を作成します。検出可能な認証情報が Android 版 Google Chrome の SPC でサポートされるようになると、このコードは検出可能な認証情報の作成に自動的に切り替わります。
リソース
安全なお支払いの確認の実装方法