前提
タグでstripeとしていますが、他の外部決済サービスも考えています。
なお、本投稿ではあくまでも学習の一環で作っているシステムであり実運用を目的にはしていません。
知りたいこと
Uberやメルカリのようなc2cサービスのシステムで外部決済APIを導入する時に、自社サービスでも口座登録情報などを保存すべきか知りたい。
現在の状況
Stripeではユーザーの基本情報(名前、メール、電話など)や口座情報などをAPIを叩けば登録先の情報を取得することができます。
そのため、自社のサービスでは登録先のstripe_id(ユーザーID)とユーザーIDだけを保存するテーブル(stripe_payment)を作れば、必要に応じてStripeから登録している情報を呼び出せばいいだけなのでstripeに登録している情報を丸々自社のテーブルで保存しなくてもいいのではないかと考えています。
一方で、不測の事態が生じてStripeのデータがなくなった時のことを考えると自社でも同じ情報を丸々保存しておくべきなのかなと考えています。
懸念している点
自社で、stripeと丸々同じ情報を持つとなると保持する個人情報も増えるためセキュリティ面で懸念があります。
決済機能を使う以上、出来る限りのセキュリティ面はちゃんとするつもりですが万が一外部から攻撃を受けたこときのことを考慮するとstripe_idとuser_idだけを保存するテーブルにした方がいいのかなとも思っています。
以上、皆さんならどうするか意見をお聞かせていただけると幸いです。
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2020/01/21 02:18