オンライン決済やモバイル決済の普及を背景に、カード決済業界は急速な成長を遂げています。カード発行会社やプロセシング会社をいかに選ぶかは、売上、顧客獲得、顧客維持など、自社のビジネスの成長に大きな影響を与えます。Marqueta、GPS、I2Cをはじめとする数多くの事業者が存在するなか、どのようなパートナーを選んでいけばよいのでしょうか?
お客様企業が業界でパートナーシップを結び、デジタルバンキングサービスを構築できるよう支援してきた私たちは、しばしば見過ごされがちな技術的評価やAPIの重要性を実感してきました。
そこで今回は、カード発行戦略において、初期段階から活用できる5つの必須ポイントを紹介します。
1. プラットフォームを検討する際に、表面的な機能を見るだけでは不十分
I2CやGPS、Marquetaといったメジャーなサービス以外にも、より低コストで導入できるカード発行システム機能がないか念入りに検討することが重要です(たとえば、多くの企業が必要とする支出管理機能など)。その際、APIのリストにその機能名があることを確認するだけでは不十分です。自社の製品やサービスの目的に沿った、具体的な機能を探す必要があります。たとえば、1日あたり500ドルまでに支出を制限する機能や、娯楽目的での取引を許可しないよう支出を特定のタイプの加盟店に制限する決済ソリューションなどです。
カード発行サービス事業者を選ぶ前に、このようなポイントについて検討しておく必要があります。これを怠ると、機能を自前で構築するなどの必要に迫られ、予期せぬ費用が発生する可能性があります。
2. 機密データを直接扱わないことで、PCI DSS準拠を実現
PCI DSS(ペイメントカード業界データセキュリティ基準)は、カード番号(PAN)やセキュリティコード(CVV)といった機密性の高い決済データを扱う事業者に対して、カードブランドが定めているセキュリティ基準です。
多くの時間と費用をかけて認証を得るよりも、限られたリソースをビジネスの成長に使いたい中小企業は、どのような戦略をとるべきでしょうか?
機密性の高い決済データに直接触れずに運用することで、PCI DSSへの準拠はより容易になります。
PCI DSSへの準拠を容易にする方法
1. カード発行会社がAPIフローを提供していて、機密性の高いカードデータが自社のサーバーを迂回できるようになっているかどうかをチェックしましょう。多くの場合、バックエンド側で一時的なクライアントトークンを発行し、それをモバイルアプリケーションから使用することで、発行プラットフォームのAPIを介してカード番号を直接取得できる仕組みが提供されています。
2. そのようなAPIを備えていない事業者もあります。その場合は、VGSなどのベンダーが提供しているトークン化ソリューションを用いることで、PCI DSSへの準拠を簡素化できます。そのようなソリューションでは基本的に2つのプロキシが提供されています。それをインストールすることで、機密データが自社のバックエンドシステムに入る際にトークン化され、そこから出る際にトークン化解除される仕組みで運用できます。
3. イベントサブスクリプションAPIを確認する
プロセシングパートナーとの連携には、さまざまな方法がありますが、洗練されたバンキングソリューションを構築するためにおすすめの方法の一つは、口座、カード、取引のデータをデータベースに同期させることです。
それにより(モバイルアプリとカード発行会社間の、GETメソッドによるリクエストのプロキシングと比較して)アプリのパフォーマンスが向上するだけでなく、すべてのデータをリアルタイムの分析やビジネスインサイトに利用できるようになります。
カード発行会社がイベントサブスクリプションAPIを備えている(通常はWebhookとして実装されている)場合、必要なのは残高変更、新規取引、カード出荷状況変更といったイベントを登録し、データを保存することだけです。このようなAPIが用意されていない場合、最悪のケースでは、自社ですべての金融口座の更新を調べ、変更点をチェックする必要があります。
後払い決済(BNPL)サービスを構築している場合、または単に口座と残高を自社で管理したい場合は、ジャストインタイム(JIT)決済のWebhookを探しましょう。それにより、自社の決済ソリューションに応じて、カード承認イベントを最適に処理できます。たとえば、JIT決済がリクエストされた場合に、簡単な信用調査、加盟店や取引の検証、購入の承認を行えます。
4. API認証について確認する
カード発行処理会社の多くは、サーバー間の統合に必要な、キーベースのAPI認証を備えています。この機能について確認すべきことは、複数のキーを作成できるかどうかです。それが可能であれば、ダウンタイムなしのキーローテーションを実現できます。
もうひとつの認証方法として、OAuth2が提供されているケースもあります。ただこれは、使用するすべての場所でアクセストークンを「新鮮」に保つ必要があるため、サーバ間通信に最適な方法とは言えません。それでも、サーバーレスのアプローチでデジタルウォレットを迅速に構築する方法を探していて、カード発行会社がユーザー認証およびID発行・管理の機能を備えているなら、選ぶべき認証方法になるでしょう。
5. サンドボックス環境が必要な機能をすべて備えていることを確認する
カード発行会社やプロセシング会社は、通常サンドボックス環境へのアクセスを提供しています。ただそこで、実装したいと考えているすべてのシナリオのシミュレーションが可能でしょうか?
私たちの経験からすると、その答えは「ノー」であることが多いようです。たとえば、物理的なカード発行を実装する場合、プリンターへ送信、印刷済み、発送済みといったカードの各種ステータスをシミュレートできないケースがあります。その場合、一部の機能は本番環境でしかテストできないため、不具合検出のコストが高くなります。
長期的な視点で、適切なカード発行会社を見つける
カード発行戦略は、自社の製品やサービスのロードマップ、市場参入、ユーザーエクスペリエンス、コンプライアンスに影響を及ぼします。今回紹介したポイントを踏まえて、現在利用している、または潜在的なベンダーを評価することで、カード施策の成功に求められる柔軟性、サポート、ツールを備えた、長期的に提携できる適切なパートナーを見つけ、ビジネスの成長につなげましょう。
適切なカード発行ソフトウェアパートナー選びから、ソリューションの設計・構築まで
Starのカード発行開発サービスがお客様のビジネスをサポートします。ぜひ詳細をご覧ください。
