INTRODUCTIONセクションは、OpenAPIタイプを初めて扱うシステム担当者の方、開発者の方に向けたドキュメントです。
OpenAPIタイプの全体像、実現できる決済処理、導入までの流れやテストについて説明します。
また、従来の接続方式であるプロトコル/モジュールタイプをご利用の加盟店様が、OpenAPIタイプに移行する場合に考慮すべき事項についても説明しています。
プロトコルタイプの仕様はマルペイDocsを参照してください。
※マルペイDocsの利用方法はこちら

OpenAPIタイプは、簡単かつ安全に利⽤いただくことを⽬指し、RFCやOpenAPI SpecificationなどのWeb標準に従っています。
加えて、決済手段の追加や不正検知への対応を柔軟に行えるよう最適化されています。
具体的な技術的特徴は以下の通りです。より詳細な仕様はGET STARTEDセクションを参照ください。

• OpenAPI Specification(OAS)に準拠
  OpenAPI Generatorなどのツールを使ってコードの一部自動生成やモックサーバーの構築ができます。 OASの標準に従っているので、API仕様を理解しやすく、開発負荷を削減し、接続作業を効率化します。

• Remote Procedure Call(RPC/遠隔手続き呼び出し)に基づいた設計
  決済処理の特性をAPIで表現するには、「リソース」操作をベースとしたREST形式ではなく、「手続き」を要求するRPC形式が最適です。
  全てのAPIはアクションで表され、HTTPメソッドはPOSTで統一されています。
  つまり、取引の「照会」「削除」要求APIであってもRESTとは異なりHTTPメソッドはPOSTです。
  ペイロードはJSON形式で表すこと、HTTPステータスコードでレスポンスの内容を表す様式は、使い慣れたRESTと同じです。

• 冪等性(Idempotency)をサポート
  二重決済となる心配は無用です。同一の冪等キーを設定した決済要求を何度リトライしても、決済は一回しか行われず同じレスポンスを返します。
  ネットワークエラーなどの場合に加盟店様から自動リトライすれば、不整合となった決済リクエストを安全に修復できます。
  決済データの一貫性を保ち、加盟店様サービスのお客様にも安心してご利用いただける環境を提供します。

他にも末永く安心して使っていただけるよう以下の特徴を提供します。

• 簡単な決済手段追加
  支払いタイプごとに集約したAPI構成になっています。
  決済手段追加時の開発コストを削減できるので、貴社ビジネス部門からの「この決済手段を試したい」という要望に迅速に対応できます。

• 決済の不正利用を防止
  あらゆる不正検知ソリューションに対応しています。
  決済要求APIに組み込まれているので、追加の開発は必要ありません。
  主にクレジットカード決済を対象としています。

• 高度なセキュリティ対策
  APIの通信はTLS(SSL)による暗号を必須としており、政府機関レベルの強固な暗号化方式のみを許可しています。
  また、APIへのアクセス認証においては、従来のパスワード方式に加えて、より安全性の高いOAuth 2.0を利用したアクセストークン方式もサポートします。
  PCI DSS(Payment Card Industry Data Security Standard)に準拠した内部システムでは、全ての個人情報が暗号化されています。
  私たちのシステムは常に最新のセキュリティ標準にアップデートしており、お客様に安心してご利用いただける環境を提供しています。

また、OpenAPIタイプと従来のプロトコルタイプ/モジュールタイプには互換性があります。
現在プロトコル/モジュールタイプをご利⽤いただいている加盟店様は、簡単にOpenAPIタイプへ移行できます。
取引の情報や登録済みの会員データはそのまま利⽤ができ、ショップの情報や各種設定は変わりません。
管理画⾯、取引配信サービス、SFTP⼀括処理などはこれまで通りご利⽤になれます。
詳細はプロトコルタイプ/モジュールタイプからの移行を参照ください。

OpenAPIタイプが様々な決済手段をどのように定義し、処理しているかを解説します。
まず、支払いパターンは支払いのタイミングやお客様操作の有無によって3つに分類されます。

決済手段は以下の支払いタイプに分類されます。

OpenAPIタイプを利用してPGマルチペイメントサービスをインテグレーションする流れを説明します。

1. テストアカウントの申し込み
   PGマルチペイメントサービスのテストアカウントはこちらからどなたでも申し込み可能です。

2. テストアカウントの認証情報でテスト環境に接続してテスト
   テストアカウントのショップIDとショップパスワードがテスト環境の認証情報です。
   認証情報を設定してAPIにアクセスするためには、APIの認証を参照ください。
   テスト環境の接続先情報については、環境とFQDNを参照ください。
   テスト環境はメンテナンス時を除き、24時間365日無料で利用可能です。

3. 本番アカウントの申し込み
   本番環境のアカウント申し込みは、貴社ビジネス担当の方から当サービス営業窓口までお願いします。
   審査、契約のお手続きが完了後に本番アカウントが発行されます。

4. 本番環境に接続を切り替えて商用利用開始
   本番アカウントのショップIDとショップパスワードが本番環境の認証情報です。
   認証情報の設定とAPIエンドポイント(URI)を本番環境のものに切り替えたら接続準備は完了です。

プロトコルタイプ/モジュールタイプは引き続き利用いただけますが、より便利なOpenAPIタイプに移行することを推奨します。
前述の通り、OpenAPIタイプと従来の接続方式には互換性があり併用が可能です。
例えば取引の確定をするスケジュール処理を先⾏して実装するといった柔軟な移⾏が可能です。
詳細な情報については、プロトコルタイプ対応表を参照ください。

プロトコルタイプ/モジュールタイプとOpenAPIタイプで共通して取り扱うデータについて説明します。

従来のプロトコルタイプ/モジュールタイプとOpenAPIタイプには、一部の仕様に差異があります。
移行においては、特に以下の点にご注意ください。

• OpenAPIタイプでは、従来の「結果通知プログラム」は利用できません。
  タイムアウトなどのレスポンスを受け取れない場合は、同一の冪等キーを設定してリトライをお願いします。
• モバイルEdy決済、モバイルSuica決済など、支払い処理に記載のない決済手段は現時点で提供の予定はありません。
• 金額と税送料は統合しました。税送料は個別に設定できません。
• 個別の加盟店様向けの特殊機能やオプションパラメーターは利用できません。
• 同時接続数はプロトコルタイプ/モジュールタイプに適用されている値に準じます。
• プロトコルタイプ/モジュールタイプで取引登録を行った取引に対してOpenAPIタイプで処理を行った場合、従来の「結果通知プログラム」仕様に則り通知がされます。

GET STARTEDセクションは、開発者の方に向けた共通の技術仕様に関するドキュメントです。
実際にOpenAPIタイプに接続するプログラム開発をするにあたりお読みください。

OpenAPIタイプに接続するための第一歩は、テストアカウントの作成です。
こちらのテスト環境申し込みページから即時発行が可能です。
登録が完了すると申し込み時のメールアドレスにショップ管理画面のログイン情報が届きます。
ショップ管理画面にログインし、「ショップ管理」メニューから「ショップパスワード」を確認します。
メールまたは管理画面に表示されている「ショップID」と「ショップパスワード」が、APIを利用するための認証情報です。

APIのエンドポイントはRemote Procedure Call(RPC/遠隔手続き呼び出し)のマナーに従います。
一般に広く利用されているREST APIのようにエンドポイントは操作するリソースを表していません。
クレジットカード決済の「オーソリ(信用照会)」、取引の「確定」のように操作の単位にエンドポイントがあります。
例えばクレジットカードの支払い要求APIは「/credit/charge」、取引照会APIは「/order/inquiry」です。

APIを安全にご利用いただくための情報やご注意事項を説明します。

TLS通信の暗号スイート

APIへの接続は安全なHTTPSおよびSSLプロトコルTLS 1.2の暗号通信を利用します。
高い安全性を実現するために以下のTLS暗号スイートのみが利用可能です。
API通信を行う加盟店様のサーバーがこれらの暗号スイートに対応していることを確認してください。
新たな脆弱性が見つかった場合、この一覧は変更になる可能性があります。

APIへのアクセス認証

APIにアクセスするための認証方式は以下の2つを用意しています。
組み合わせて利用できますので、現在パスワード方式をご利用の加盟店様は順次アクセストークン方式に切り替え可能です。
APIエンドポイントによりサポートする方式が異なります。各API仕様詳細のAUTHORIZATIONS:欄を確認してください。

• パスワード方式
  ショップIDとショップパスワードの組み合わせで認証します。
  ショップパスワードの紛失・漏洩に備え、定期的なショップパスワード変更を推奨します。
  変更の方法はこちらのFAQページを参照ください。

• アクセストークン方式
  事前に取得したアクセストークンで認証します。
  アクセストークンは有効期間内であれば何回も利用できますが、一定の時間で失効します。
  これにより、万が一アクセストークンが漏洩した場合でも、リスクを最小限に抑えられます。
  本方式を利用する場合、管理画面からパスワード認証方式を無効にすることにより、セキュリティをさらに強化できます。

詳細な仕様については、APIの認証を参照ください。
どちらの認証方式においても、ショップIDとショップパスワードが用いられます。
これら2つの認証情報をセットで外部に公開しないよう、厳重な管理をお願いします。

セッション管理

OpenAPIタイプが提供する全てのAPIはセッションを維持しません。
APIの通信時に毎回上記の認証をします。

偽装通信への対策

リダイレクトやWebhook時は、当サービスから加盟店様サーバーに通信します。
これらの通信は、悪意のあるユーザーにより偽装される可能性があります。
対策としては、事前のリクエスト時にMerchant.csrfTokenパラメーターに加盟店様側で発行した任意の文字列を設定します。
このcsrfTokenの値をリダイレクトやWebhook時に返しますので、通信の正当性を確認してください。

フォーマット

支払いAPIのパラメーターはJSON形式、文字コードはUTF-8で設定します。
認証APIはRFCに準拠しているため、キー・バリューのフォームデータ型で設定します。
利用可能な文字はパラメーターにより異なります。
各APIのリクエストパラメーターの説明を確認してください。

リクエストの必須パラメーター

requiredがついているパラメーターは必ず設定してください。
加盟店(ショップ)情報merchantや取引情報orderなど、支払いのタイプに関係なく共通して利用する可能性があるパラメーターを設定必須にしています。
購入者の氏名(フルネーム)payer.nameなど、加盟店様サイトで取得が難しい項目につきましても、できる限り設定するようお願いします。

リクエストの任意パラメーター

requiredがついてないパラメーターであっても、支払いのタイプによっては設定が必要です。
missing_parameterエラーを返しますので設定をお願いします。
必須ではないパラメーターに値を設定しない場合、以下のいずれの方式でも受け付けます。

• 値に「null」を設定

  {"requestParameter": null}
  

• Stringタイプのパラメーターの場合、値に「空文字 ""」を設定

  {"requestParameter":""}
  

• パラメーターを設定しない

  {}
  

レスポンスパラメーター

レスポンスパラメーターについて、値なし(null)の場合は当サービスからパラメーターを返しません。
加盟店様のシステムでは、パラメーターなしのレスポンスを正しく受け取れるようにしてください。
またアップグレードにより、追加のパラメーターが返される可能性があります。
定義されていないパラメーターをエラーとして扱わないようお願いします。

HTTPヘッダーにはAPIリクエストにおける共通の内容を設定します。
OpenAPIタイプでは以下のデータを送信してください。

パスワード方式で冪等キーとAPIバージョンを利用しない場合の設定例です。

Authorization: Basic dGVzdDoxMjPCow==
Content-Type: application/json

アクセストークン方式で冪等キーとAPIバージョンを利用する場合の設定例です。

Authorization: Bearer M2NlNjE1ZjYtMzc1Yy00ZGQ5LTg0OTAtOGEwNzliMzYyMjUzOjAwMDAwMDAwMDAwMDA=
Content-Type: application/json
Idempotency-Key: ede66c43-9b9d-4222-93ed-5f11c96e08e2
X-MP-Version: 2023-06

認証方式によって加盟店様の開発コスト、セキュリティレベルが異なります。
それぞれの特徴・注意事項はセキュリティを参照ください。

パスワード方式

ショップIDとショップパスワードを利用したBasic HTTP認証スキーム(ベーシック認証)で認証します。
ベーシック認証(RFC 7617)で定義されている仕様に従います。
「ショップID」と「:」(コロン)と「ショップパスワード」を連結した文字列をBase64エンコードした値を用意します。
認証スキーマ名である「Basic」と「 」(半角スペース)の後にこのエンコード後の値を続けた文字列が認証データです。
この認証データをHTTPリクエストヘッダーのAuthorizationに設定します。

以下はHTTPリクエストヘッダーの設定例です。

Authorization: Basic dGVzdDoxMjPCow==

アクセストークン方式

事前に取得したアクセストークンで認証します。
OAuth2.0認可フレームワーク(RFC 6749)で定義されている仕様に従います。
アクセストークン発行APIをリクエストすることでアクセストークンが払い出されます。
アクセストークン発行APIの認証は、パスワード方式で行います。
アクセストークンは有効期間内であれば何回も利用できます。
有効期間はデフォルト3,600秒(1時間)ですが、予告なしに変更される場合があります。
実際の値はアクセストークン発行APIのレスポンスの有効期間(秒)expires_inで確認できます。
有効期間を過ぎるとHTTPステータス401のエラーが返されますので、再度アクセストークンを発行してください。

認証スキーマ名である「Bearer」と「 」(半角スペース)の後にアクセストークンを加えた文字列が認証データです。
支払いAPIなどをリクエストする場合は、この認証データをHTTPリクエストヘッダーのAuthorizationに設定します。

以下はHTTPリクエストヘッダーの設定例です。

Authorization: Bearer M2NlNjE1ZjYtMzc1Yy00ZGQ5LTg0OTAtOGEwNzliMzYyMjUzOjAwMDAwMDAwMDAwMDA=

冪等性(べきとうせい)とは、同じ操作を何度繰り返しても、同じ結果が得られるという性質です。
OpenAPIタイプの対象APIは冪等性をサポートしており、安全にリトライが可能です。
冪等にするためには、HTTPヘッダーに任意の値の冪等キーを設定します。
同一の冪等キーが設定された支払い要求は、何度呼ばれても支払いは一回しか行われず同じレスポンスを返します。
冪等キーの有効期間は対象取引の開始から24時間です。
冪等キーは、UUIDv4に則った書式でリクエスト毎にユニークとなる最大36桁の値を設定してください。

以下はHTTPリクエストヘッダーの設定例です。

Idempotency-Key: ede66c43-9b9d-4222-93ed-5f11c96e08e2

主に更新処理を伴うAPIが冪等性を持ちます。冪等性を持つか否かは、各APIの詳細仕様を確認してください。

リダイレクト

3Dセキュア認証処理やPay払いは、外部のサイトにリダイレクトします。
OpenAPIタイプでは全てのリダイレクト処理をHTTPメソッドGETで実現します。
当サービスから返された遷移先URLにリダイレクトする処理のサンプルです。

<!--  HTTPヘッダを使って302リダイレクトする場合 -->
HTTP/1.1 302 Found
Location: {redirectUrl}

<!-- meta refreshでリダイレクトする場合 -->
<html>
  <head>
    <meta http-equiv="refresh" content="0; URL={redirectUrl}" />
  </head>
</html>

コールバック

リダイレクト後は、お客様と遷移先のサイトの間で処理が行われます。
処理が終わると取引リクエスト時に設定した加盟店様のコールバックURLcallbackUrlに遷移を戻します。
加盟店様のシステムで遷移を受け取れるようコールバックのエンドポイントをご用意ください。
コールバックの呼び出し時のHTTPメソッドはGETです。
元の取引を特定するために、以下のパラメーターを送信します。
パラーメーターはJSON形式の文字列をBase64URLエンコードし、コールバックURLのクエリパラメーターpに設定します。
Base64URLデコードしてご利用ください。

例を以下に示します。

取引リクエスト時に加盟店様が設定したコールバックURL

https://merchant.example.com/callback

コールバック時に当サービスにてBase64URLエンコードした値をクエリパラメーターに追加

https://merchant.example.com/callback?p=eyJhY2Nlc3NJZCI6ImFjZGM3ZDUzZjdhNzhmNDg4ZDhkMDk5N2VmZjk5YzZmIiwiZXZlbnQiOiJURFNfQ0hBUkdFX0ZJTklTSEVEIiwiY3NyZlRva2VuIjoiYmRiMDRjNWYtNDJmMC0yOWUyLTA5NzktZWRhZTNlNzc2MGJmIn0=

上記pパラメーターの値をBase64URLデコードした結果

{
  "accessId":"acdc7d53f7a78f488d8d0997eff99c6f",
  "event":"TDS_CHARGE_FINISHED",
  "csrfToken":"bdb04c5f-42f0-29e2-0979-edae3e7760bf"
}

非同期で処理された取引の結果を取引リクエスト時に設定した加盟店様のWebhook URLwebhookUrlに通知します。
以下の取引イベントが通知の対象です。

• 現金払いの支払い完了
• 支払い完了済みのAmazon Pay V2をキャンセルした結果

加盟店様のシステムで通知を受け取れるようWebhookエンドポイントをご用意ください。
Webhookを通知する時のHTTPメソッドはPOSTで、HTTPリクエストヘッダーのContent-Typeは、application/jsonです。
通知のパラメーターは、WebhookのAPI仕様を参照ください。
Webhookを受信して正常に処理をした後は、HTTPステータス200番台を返してください。
レスポンスのボディは不要です。
200番台以外が返された場合は通知失敗とみなし、約60分毎に最大5回再送します。

加盟店様システムにて通信制限をしている場合、Webhookを受け取るよう以下のIPアドレスを許可してください。

テスト環境と本番環境を用意しています。
各環境はFQDN(絶対ドメイン名)で区別され、取引のデータは共用されません。
テスト環境での確認を終えて商用利用を開始する際は、以下の2点を切り替えます。

• HTTPヘッダーの「認証情報」を本番アカウントのものに更新
• 接続先のAPIエンドポイントのFQDNを以下のものに更新

OpenAPIタイプのAPI仕様は順次アップグレードされ機能が追加されていきますが、加盟店様の稼働中システムに影響を与える破壊的変更は原則行いません。
それでも破壊的変更を伴うアップグレード時は、数ヵ月前に加盟店様にご連絡いたします。
以下は破壊的変更ではなく、後方互換があるものとして扱われます。

• エンドポイントの追加
• Webhook通知、コールバック時イベントeventの追加 (加盟店様側で新たなイベントを受け取れるための開発は必要です)
• 設定任意リクエストパラメーターの追加
• レスポンスパラメーターの追加
• 設定任意リクエストHTTPヘッダー項目の追加
• レスポンスHTTPヘッダー項目の追加
• リクエストパラメーターに設定する文字列長・文字種・パターンの追加
• 設定必須リクエストパラメーターを任意へ変更

OpenAPIタイプのAPIリファレンス(OASファイル)とAPI仕様それぞれにバージョンがあります。
変更の内容は変更履歴を参照ください。

APIリファレンス(OASファイル)バージョン

OpenAPIタイプのAPIリファレンス、およびダウンロード可能なOpenAPI specification(OAS)ファイルのバージョンです。
以下の基準で各バージョンが上がります。

APIバージョン

当サービスのAPI仕様のバージョン番号です。
後方互換がない破壊的変更を伴うリリース時の年月を新規に割りあてます。
HTTPヘッダーのAPIバージョンを設定することで破壊的変更前の仕様を保証します。
該当しないバージョン番号(年月)が設定されている場合、それより過去で最も近い年月のバージョンで動作します。
APIバージョンは頻繁に上がりませんが、将来の破壊的変更に備えて予めHTTPヘッダーにバージョン番号または加盟店様システム構築時の年月を設定してください。

例)
APIバージョンが2023-06から2024-06にアップグレード
HTTPヘッダーのAPIバージョンに2023-10が設定されている場合は2023-06バージョンで動作
ただし、2023-13のように日付の様式が正しくない場合は最新バージョンで動作

HTTPステータスコードは、APIリクエストに対する処理結果を表す3桁の数字です。
OpenAPIタイプでは、RFC 7231, section 6の仕様に従って、以下の3つのカテゴリのHTTPステータスコードを返します。

• 2xxはリクエストが正常に受け付けられ、当サービスで処理されたことを表します。
• 4xxは接続方法やパラメーターが正しくないなどのリクエストに誤りがあることを表します。
  お客様のアカウント状態や残高に問題があり、支払いが完了できない場合のエラーも含まれます。
• 5xxは、当サービスまたは当サービスから先のネットワーク事業者、決済事業者に問題が発生していることを表します。

APIごとに発生するHTTPステータスコードについては、各API仕様のResponsesを確認してください。
ただし、以下表の「種別」が「認証エラー」、「アクセスエラー」は、APIを受け付ける前のエラーであり、全てのAPIで発生する可能性があります。

APIリクエストがエラーになると、前述の通りHTTPステータスコードは4xx、5xxで返します。
レスポンスボディはRFC 9457の仕様に従って以下のエラー情報をJSON形式で返します。
HTTPレスポンスヘッダーのContent-Typeは、application/problem+jsonです。

titleパラメーター(エラーの内容サマリー)の一覧は以下の通りです。

以下はエラーレスポンスのサンプルです。

{
  "type":"https://mp-faq.gmo-pg.com/s/article/XXXXXX",
  "title":"invalid_parameter",
  "detail":"The parameter value is invalid.(order.amount)",
  "instance":"/credit/charge"
}

支払いAPIを利用するためのアクセストークンを発行します

クレカ払いで利用するAPIです。

ご利用可能なカード

以下の国際ブランドがついたクレジットカード・デビットカード、およびそのカード情報を登録したApple Pay、Google Payのお支払いに対応します。

• VISA
• Mastercard
• JCB
• American Express
• Diners Club

仮売上と確定

「仮売上」については、こちらのFAQページを参照ください。
支払い要求タイプが仮売上"creditChargeOptions.authorizationMode" : "AUTH"の支払いは、確定処理により売上が確定します。
仮売上の有効期限は60日後の23時59分59秒であり、詳細な日時は支払い完了後に返される仮売上有効日時creditResult.captureExpiryDateTimeを確認してください。
例えば2020/1/8 17:00に仮売上の支払いをした場合、確定処理の期限は2020/3/8 23:59:59です。
即時売上"creditChargeOptions.authorizationMode" : "CAPTURE"の支払いは、即座に売上が確定するため、確定処理は必要ありません。

処理シーケンス

3Dセキュア認証(EMV 3-D Secure)は、自動オーソリの有無により処理のシーケンスが異なります。
不正検知サービスは、非同期モードの設定により処理のシーケンスが異なります。
いずれの場合も、カード情報のトークン化は本APIの呼び出し前に行ってください。

%%{
 init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#f0f2f5',
    'primaryTextColor': '#001C40',
    'noteBkgColor': '#d9f4fc',
    'noteTextColor': '#001C40',
    'noteBorderColor': '#54C5E8'
  }
 }
}%%
sequenceDiagram
actor pyr as お客様
participant brw as ブラウザ
participant mer as 加盟店様
participant psp as 決済代行<br>(当サービス)
participant acq as カード会社
pyr->>+brw: 「支払い/カード確認」<br>ボタンクリック
brw->>+mer: 支払い/有効性確認
mer->>+psp: クレカ払い/有効性確認要求<br>charge/verify card
Note right of psp: 3Dセキュア利用なし<br>または未対応カード
psp->>+acq: オーソリ(信用照会)
acq-->>-psp: オーソリ(信用照会)結果
psp-->>-mer: クレカ払い/有効性確認結果
mer-->>-brw: 結果画面
brw-->>-pyr: 「支払い/カード確認」<br>結果表示

%%{
 init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#f0f2f5',
    'primaryTextColor': '#001C40',
    'noteBkgColor': '#d9f4fc',
    'noteTextColor': '#001C40',
    'noteBorderColor': '#54C5E8'
  }
 }
}%%
sequenceDiagram
actor pyr as お客様
participant brw as ブラウザ
participant mer as 加盟店様
participant psp as 決済代行<br>(当サービス)
participant tds as 3Dセキュア<br>サーバー
participant acq as カード会社
pyr->>+brw: 「支払い/カード確認」<br>ボタンクリック
brw->>+mer: 支払い/有効性確認
mer->>+psp: クレカ払い/有効性確認要求<br>charge/verify card
psp->>+tds: 認証初期化
tds-->>-psp: 認証URL
psp-->>-mer: リダイレクト情報
mer->>-brw: 認証開始URLへの<br>リダイレクト
brw->>brw: 
brw->>+psp: 
psp->>-brw: 3DセキュアURLへのリダイレクト
brw->>brw: 
brw->>+tds: 
tds->>-brw: 当サービスのコールバックURLへのリダイレクト
brw->>brw: 
brw->>+psp: 
psp->>+tds: 認証依頼
tds-->>-psp: 認証結果
opt 認証チャレンジが必要な場合
  psp->>-brw: チャレンジ画面へのリダイレクト
  brw->>brw: 
  brw->>+tds: 
  tds-->>-brw: 認証チャレンジ画面
  brw-->>-pyr: 認証画面
  pyr->>+brw: パスワード入力等の認証
  brw->>+tds: 本人認証情報
  tds->>-brw: 当サービスのコールバックURLへのリダイレクト
  brw->>brw: 
  brw->>+psp: 
  psp->>+tds: チャレンジ判定依頼
  tds-->>-psp: チャレンジ結果
end
psp->>-brw: 当サービスのコールバックURLへのリダイレクト
brw->>brw: 
alt 認証失敗、チャレンジ失敗の場合
  brw->>+psp: 
  psp->>-brw: 加盟店様コールバックURLへのリダイレクト
else 認証成功の場合
  brw->>+psp: 
  psp->>+acq: オーソリ(信用照会)
  acq-->>-psp: オーソリ(信用照会)結果
  psp->>-brw: 加盟店様コールバックURLへのリダイレクト
end
brw->>brw: 
brw->>+mer: 
mer->>+psp: 取引照会
psp-->>-mer: 取引結果
mer-->>-brw: 結果画面
brw-->>-pyr: 「支払い/カード確認」<br>結果表示      

%%{
 init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#f0f2f5',
    'primaryTextColor': '#001C40',
    'noteBkgColor': '#d9f4fc',
    'noteTextColor': '#001C40',
    'noteBorderColor': '#54C5E8'
  }
 }
}%%
sequenceDiagram
actor pyr as お客様
participant brw as ブラウザ
participant mer as 加盟店様
participant psp as 決済代行<br>(当サービス)
participant tds as 3Dセキュア<br>サーバー
participant acq as カード会社
pyr->>+brw: 「支払い/カード確認」<br>ボタンクリック
brw->>+mer: 支払い/有効性確認
mer->>+psp: クレカ払い/有効性確認要求<br>charge/verify card
psp->>+tds: 認証初期化
tds-->>-psp: 認証URL
psp-->>-mer: リダイレクト情報
mer->>-brw: 認証開始URLへの<br>リダイレクト
brw->>brw: 
brw->>+psp: 
psp->>-brw: 3DセキュアURLへのリダイレクト
brw->>brw: 
brw->>+tds: 
tds->>-brw: 当サービスのコールバックURLへのリダイレクト
brw->>brw: 
brw->>+psp: 
psp->>+tds: 認証依頼
tds-->>-psp: 認証結果
opt 認証チャレンジが必要な場合
  psp->>-brw: チャレンジ画面へのリダイレクト
  brw->>brw: 
  brw->>+tds: 
  tds-->>-brw: 認証チャレンジ画面
  brw-->>-pyr: 認証画面
  pyr->>+brw: パスワード入力等の認証
  brw->>+tds: 本人認証情報
  tds->>-brw: 当サービスのコールバックURLへのリダイレクト
  brw->>brw: 
  brw->>+psp: 
  psp->>+tds: チャレンジ判定依頼
  tds-->>-psp: チャレンジ結果
end
psp->>-brw: 加盟店様コールバックURLへのリダイレクト
brw->>brw: 
brw->>+mer: 
mer->>+psp: 認証後クレカ払い/有効性確認要求<br>finalize charge/verification
alt 認証失敗、チャレンジ失敗の場合
  psp-->>mer: 3Dセキュア結果
else 認証成功の場合
  psp->>+acq: オーソリ(信用照会)
  acq-->>-psp: オーソリ(信用照会)結果
  psp-->>-mer: 3Dセキュア結果<br>クレカ払い/有効性確認結果
end
mer-->>-brw: 結果画面
brw-->>-pyr: 「支払い/カード確認」<br>結果表示

%%{
 init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#f0f2f5',
    'primaryTextColor': '#001C40',
    'noteBkgColor': '#d9f4fc',
    'noteTextColor': '#001C40',
    'noteBorderColor': '#54C5E8'
  }
 }
}%%
sequenceDiagram
actor pyr as お客様
participant brw as ブラウザ
participant mer as 加盟店様
participant psp as 決済代行<br>(当サービス)
participant acq as カード会社
participant frd as 不正防止<br>サービス
pyr->>+brw: 「支払い」<br>ボタンクリック
brw->>+mer: 支払い
mer->>+psp: クレカ払い要求<br>charge
psp->>+acq: オーソリ(信用照会)
acq-->>-psp: オーソリ(信用照会)結果
psp->>+frd: 不正検知API呼び出し
frd-->>-psp: 審査結果返却
psp-->>-mer: クレカ払い結果
mer-->>-brw: 結果画面
brw-->>-pyr: 「支払い」<br>結果表示

%%{
 init: {
  'theme': 'base',
  'themeVariables': {
    'primaryColor': '#f0f2f5',
    'primaryTextColor': '#001C40',
    'noteBkgColor': '#d9f4fc',
    'noteTextColor': '#001C40',
    'noteBorderColor': '#54C5E8'
  }
 }
}%%
sequenceDiagram
actor pyr as お客様
participant brw as ブラウザ
participant mer as 加盟店様
participant psp as 決済代行<br>(当サービス)
participant acq as カード会社
participant frd as 不正検知<br>サービス
pyr->>+brw: 「支払い」<br>ボタンクリック
brw->>+mer: 支払い
mer->>+psp: クレカ払い<br>charge
psp->>+acq: オーソリ(信用照会)
acq-->>-psp: オーソリ(信用照会)結果
psp->>+frd: 不正検知API呼び出し<br>(非同期)
psp-->>-mer: クレカ払い結果
mer-->>-brw: 結果画面
brw-->>-pyr: 「支払い」<br>結果表示
frd-->>-psp: 審査結果返却
mer-->>+psp: 取引照会<br>/order/inquiry
psp-->>-mer: 不正検知結果を含む<br>取引情報を返却

共通パラメーター

merchant order payerは、全ての支払いタイプで共通のパラメーターです。
設定した値は、各決済手段ごとに以下の目的で利用されます。
その決済手段で利用されないパラメーターは「-」で表しており、設定した値は無視されます。