概要
Secure Payment Confirmation(SPC)は、お客様がクレジット カード発行会社、銀行、その他の決済サービス プロバイダに対して、プラットフォーム認証システム(通常は指紋認証センサーなどのデバイスの画面ロック解除機能によって有効化)を使用して認証できるようにするウェブ標準案です。これは通常、EMV 3-D Secure や Open Banking などのお支払い認証プロトコル中に発生します。たとえば、EMV 3-D Secure の v2.3 仕様リリースでは、SPC がサポートされています。以前お知らせしたとおり、SPC は macOS と Windows 版 Google Chrome 向けにリリースされ、登録と認証の両方のデベロッパー ガイドが提供されています。
M109(現在は Beta チャンネル)より、SPC は Android の Google Chrome でも使用できるようになります。ユーザーは、デバイスの画面ロックを使用して、SPC を使用する販売者のサイトで支払い確認プロセスを完了できるようになります。
SPC のテストにご興味をお持ちの場合は、デモサイトで試すことができます。また、ユーザーのお支払いの認証に SPC をサポートする予定があるかどうか、お支払いサービス プロバイダにお問い合わせください。
支払いのための厳格な認証
認証は、支払い不正行為の防止に重要な役割を果たします。しかし、現在の支払い認証では、脆弱な(CVC コードなど)または煩雑な(SMS OTP など)確認方法が使用されることがよくあります。これらの認証方法では、ユーザーが不正行為に対して脆弱な状態になるか、摩擦によってカートが放棄される可能性があります。
SPC は Web Authentication(WebAuthn)をベースに構築されており、ユーザーのデバイスに組み込まれているプラットフォーム認証システムを使用して、支払い取引に強力な認証を導入します。発行銀行や決済サービス プロバイダなどの認証局(WebAuthn ではリレーリング パーティ)は、ウェブサイトまたは従来の認証取引中に、1 回限りのプロセスでユーザーを登録します。その後、この登録情報を使用して、後続のお支払いフローでユーザーを認証できます。
信頼できる当事者が同じである限り(同じ発行銀行など)、ユーザーは SPC を統合しているすべての販売者で、その信頼できる当事者との今後のすべての支払いに 1 つの登録を使用できる必要があります。
API の変更
デベロッパーは、デスクトップ統合用に作成された既存の実装ガイドに沿って、API の仕組みを確認できます。
navigator.credentials.create({
publicKey: {
...,
authenticatorSelection: {
residentKey: 'preferred',
...,
},
extensions: {
payment: {
isPayment: true,
}
},
}
});
payment プロパティは、これが SPC 認証情報であることを示します。使用方法については、以前の登録ガイドをご覧ください。
現在、このコードは SPC で機能する検出不能な認証情報を作成します。Android 版 Google Chrome の SPC で検出可能な認証情報がサポートされると、このコードは自動的に検出可能な認証情報の作成に切り替わります。
リソース
安全な支払い確認の実装方法の詳細