開発者必見:パキスタン決済に対応した決済システムの構築方法
パキスタンにおける決済支援システムの構築:開発者向けガイド
1.パキスタンの決済エコシステムを理解する
開発を始める前に、パキスタンの決済環境の特徴を理解する必要がある:
- おサイフケータイの普及率例:JazzCash、EasyPaisaなど。
- 銀行振込:: IBFT(銀行間即時資金移動)システムの普及
- クレジットカード/デビットカードVisa/MasterCardが優勢だが、普及率はモバイル決済より低い
- 新興トレンドBNPL(今すぐ支払う)とQRコード決済の台頭
2.コンプライアンス要件
パキスタン国立銀行(SBP)の規制を確実に遵守する:
- PSP(ペイメント・サービス・プロバイダー)ライセンスの取得、または現地のライセンシーとの提携
- PECR(個人情報保護規則)への対応
- AML/KYCの検証要件(2010年パキスタンAML法)
API統合オプション
a. ローカル決済ゲートウェイ API インテグレーションの例(JazzCash)
// JazzCash Node.js SDK サンプルコード
const axios = require('axios');
async関数 initiateJazzCashPayment(orderData) { {.
ペイロード = {
pp_Version:「1.1」、
pp_TxnType:「MWALLET」、
pp_Language:"EN"。
pp_MerchantID: process.env.JAZZCASH_MERCHANT_ID、
pp_SubMerchantID: ""、
pp_Password: process.env.JAZZCASH_PASSWORD、
pp_BankID: ""、
// ...その他必要なパラメータ
};
を試す。
const response = await axios.post()
https://sandbox.jazzcash.com.pk/ApplicationAPI/API/Payment/DoTransaction』、
ペイロード。
{ヘッダー: { 'Content-Type': 'application/json' } }。
);
return response.data;
キャッチ (エラー) {
console.error("JazzCash 支払いエラー:", エラー);
エラーをスローする;
}
}
b. IBFT銀行送金実施プログラム
# Pythonシュードコード - IBFT処理フロー例
def process_ibft_transfer(bank_details, amount).
"""
即時銀行間送金の処理
パラメーター
bank_details - dict には口座情報、支店コードなどが含まれます。
amount - フロート・トランザクションの金額
リターンズ
ディクトには、トランザクションのステータスと参照番号が含まれます。
"""
# SBPが指定する標準フィールド
イブフト・ペイロード = {
"channel_id": "WEB"、
「transaction_type": "IBFT_OUTGOING".
「sender_account": 設定。
# ...その他の必須項目
}
# PKNIC認定エンドポイント
response = requests.post()
https://api.sbp.org.pk/v2/payments』、
json=ibft_payload.
auth=(settings.PSP_API_KEY、settings.PSP_SECRET)、
verify='sbp_root_cert.pem' # SBP が提供する証明書
)
if response.status_code == 202.
return {"status": "processing",...}.
return handle_error_response(response)
UI/UXノート
パキスタン人ユーザー向けにインターフェースを最適化する際の考慮点:
[ ] UI要素には現地語オプション(ウルドゥー語)を含めるべき
[OTP 検証プロセスは、SBP の二要素認証要件に従う。
[JazzCash/EasyPaisa などの主要ウォレットのロゴが目立つ。
[IBFTフォームには以下のフィールドが必要です。
銀行コード(3桁)
アカウント・タイトル(アカウント名で完全一致)
CNIC/NICOP番号(KYC用)
ウェブフックとセキュリティの実践
// Java Spring BootセキュアWebhookハンドラの例
@RestController @RequestMapping("/webhooks")
パブリッククラス PaymentWebhookController {
ポストマッピング("/jazzcash")
public ResponseEntity handleJazzCallback()
RequestHeader("X-JC-Signature")文字列の署名、
@RequestBody String rawPayload ) throws SecurityException {.
// ステップ1:HMAC署名検証
String computedSig = HmacUtils.hmacSha256Hex()
apiSecret.getBytes()、rawPayload.getBytes());
if(!computedSig.equals(signature)){。
throw new SecurityException("Invalid signature");
}
// Step2 :ビジネス・ロジックの処理...
return ResponseEntity.ok().build();
}
}
重要なセキュリティ対策のリスト:
✔️ PCI DSSレベル4以上準拠(カードデータが含まれる場合)
✔️ TLS1.2+ エンフォースメント (古いSSLを無効にする)
✔️ IPホワイトリスト・アクセス(特にバックエンド管理インターフェース用)
テストの推奨
| テスト・タイプ | 推奨ツール | 主な検査項目 |
|---|---|---|
| サンドボックステスト | ポストマン/Jメーター | エラーコードマッピングの正しさ |
| 負荷テスト | Locust.io | QPS≥50 TPSピーク処理能力 |
| 侵入テスト | OWASP ZAP/BurpSuite Pro | SQLi/XSSプロテクションの有効性 |
SBPが要求する3つのレベルの認証のうち、少なくとも最初のレベルは、本稼働前に完了していなければならない。
パキスタンでの決済をサポートする決済システムの構築:上級開発者向けガイド(続き)
3.ローカライズされた支払い方法の深い統合
a. EasyPaisaモバイルウォレット統合の要点
// PHPサンプル - EasyPaisa Telenor銀行APIコール
$easyPaisaConfig = [ ] です。
'store_id' => env('EASYPAISA_STORE_ID')、
'hash_key' => env('EASYPAISA_HASH_KEY')、
'post_url' => env('EASYPAISA_POST_URL'), //本番環境は異なる。
];
function generateEasyPaisaHash($params) { { {関数生成EasyPaisaHash($params)
ksort($params)。
$concatenated = implode('&', array_map()。
fn ($k, $v) => "$k = $v"、
array_keys($params)である。
array_values($params)
));
return hash_hmac('sha256', $concatenated, $easyPaisaConfig['hash_key']);
}
// 支払いリクエストの例
$paymentData = [ ] です。
'amount' => 1500.00、
'orderId' => uniqid('EP')、
'mobileAccountNo' => '+923001234567', //パキスタン番号形式でなければなりません。
];
主な検証ポイント::
- MSISDN番号フォーマットチェック(+92で始まる)
- PKRの限度額(通常、1回の取引で50,000ルピーまで)
- 自動有効期限設定(デフォルト30分)
b. IBAN銀行送金処理の流れ
IBAN処理フローチャート:
[マーチャントシステム] → [バーチャルIBANの生成] → [ユーザー支払い]
↓ ↑
[ポーリング・ステータスAPI】 ← 【PSPゲートウェイ】 ← 【資金到着
// Go言語で実装されたIBAN状態チェックのためのワーカープールパターンの例
func startIbanPolling(orders []string) {.
workerCount := 3 // SBPは1秒間に5回以上のクエリを行わないことを推奨している。
var wg sync.WaitGroup
workChan := make(chan 文字列)
for i := 0; i< workerCount; i++{
go func() {
for iban := 範囲 workChan {.
status := queryIbanStatus(iban)
updatePayment(ステータス)
}
}()
}
for _, o:= range orders{
仕事ちゃん <- o.OrderIban
}
close(workChan)
wg.Wait()
}
func queryIbanStatus(iban string) PaymentStatus{...}.
4.SBPコンプライアンス強化
a. AML スクリーニング・チェックリストの実施
| フィールド | バリデーション・ルール | データソース |
|---|---|---|
| CNIC番号 | 13桁、最後の1桁はチェックデジット | NADRA公式API |
| アカウント名 | フルネーム・マッチング、スペースの違いも可 | 勘定系システム |
| トランザクション監視しきい値の構成例(YAML)。 | ||
| 「ヤムル | ||
| aml_rules. | ||
| suspicious_amount: >=500000 PKR # 約1800 USD | ||
| frequency_alert:5回/時間以上の同一IP操作 | ||
| country_risk: ["AFG", "IRN"] #ハイリスク国コード |
スクリーニング・プロバイダー。
プライマリー: "https://sbp-screening.pak.gov"
フォールバック:"local_db_cache"
b. PECRデータ保護実施プログラム
暗号化されたストレージの要件:
1.個人を特定できるすべての情報(PII)のAES-256暗号化
2.CNIC番号は個別のソルトハッシュに格納する必要がある。
3.ログの減感作のための正規表現の例:
正規表現/(Ⅾbd=5})(Ⅾd=8})(Ⅾb)/➔ $1$3/g```.
5.パフォーマンス最適化戦略
接続プール構成比較表
| 伝統的なアプローチ|最適化されたソリューション
|---|---|---|
最大接続数|10|50(オートスケーリング)
アイドルタイムアウト|60s|300s(パキスタンのネットワーク変動に対応するため)
SSLハンドシェイク|フルプロセス|セッション再利用+TLSフォルススタート
実践的なチューニングのヒント
nginx# PK決済のためのNginx最適化スニペット
上流の支払いゲートウェイ
ゾーン pk_gateway64M.
サーバー jazzcash.pk resolve keepalive=32;
#はアンバランスPKキャリアネットワークに適しています。
keepalive_timeout 75秒。
keepalive_requests1000。
}
サーバー
listen443 quic reuseport;# HTTP/3サポート
ssl_buffer_size8k;# RTT時間の短縮
...
location /api/v2/payments {.
limit_req zone=apilimit burst=20 nodelay; #スワイプ防止設定
}
}
6.災害への備えと監視体制
🛡️ マルチライブ・アーキテクチャーの設計原則
イスラマバード主要DC ↔︎ カラチ代替DC
MySQLグループレプリケーション(クロスリージョン同期レイテンシ <800ms)
Redis CRDT データ構造の競合解決
専用VPN回線+PTCLバックアップ回線デュアルチャネル
📈 Sample Prometheus Monitoring Key Metrics Alert Rule.
yaml alert.rulesgroups:-name:pkr_payment_failures rules:-alert: "HighFailureRate" expr:| sum(rate(payment_failed_total{gateway_type="15for :10mlabels :severity: "critical" (重大度: "重要")annotations :summary : "故障率の高い加盟店{{labels merchant_id }}" description : "JazzCashの故障率は{{value}}%である"
次のステップの提案: ▶️ まずSBPサンドボックス環境のアクセステストを完了させる ▶️ 現地の法律顧問から条件に関するコンプライアンスレビューの意見を得る ▶ PTCLやZongなどの大手ISPと実際のネットワークダイヤルインテストを手配する
Chinese (China) 
English 
Chinese (Taiwan) 
Japanese 
Korean 
Russian