Datele plăților și plătitorilor
Înainte de a trimite o solicitare de inițiere a unei tranzacții, adunați informațiile necesare direct de la plătitor sau de la sistemul dumneavoastră.
Deși metoda de integrare Direct Payment vă permite să vă creați propria pagină de plată pentru a obține date, asigurați-vă că faceți următoarele:
- Obține datele necesare despre plătitor și comanda de plată a acestuia.
- Asigurați-vă că plătitorul își oferă în siguranță detaliile în aplicația dvs.
- Includeți toate datele necesare pe care le necesită anumite caracteristici de plată și pe care doriți să le utilizați în solicitare.
- Utilizați ID-uri semnificative de comandă și tranzacție pentru a urmări comanda și tranzacția pe parcursul procesului de plată.
Identificatori legați de solicitare
Pentru a identifica comanda și tranzacțiile în sistemul dvs. și la procesorul dvs. de plăți, utilizați următoarele câmpuri:
- ID comandă
- Opțional: Referință comandă
- Opțional: Identificator pentru achizitor
- ID tranzacție
Generați aceste valori asigurând unicitatea necesară și, în mod ideal, profitând de orice chei naturale din sistemul dumneavoastră.
Pentru mai multe informații despre fiecare dintre acești identificatori și despre modul de utilizare a acestora, consultați Identificatori. Pentru a avea o înțelegere de bază despre Comenzi și tranzacții.
Câmpuri obligatorii pentru realizarea tranzacțiilor
Pentru a identifica câmpurile obligatorii pentru operațiunea de tranzacție specifică, consultați Referința API pentru acea operațiune.
Afișarea datelor formularului HTML
Când culegeți datele necesare de la plătitor folosind câmpuri de formular HTML, nu trebuie să afișați toate câmpurile solicitării în formularul HTML. Asigurați următoarele acțiuni:
- Ce să afișați.
- Ce să calculați în cod.
- Ce să nu afișați, chiar și etichetat drept câmpuri ascunse,
Securizați-vă integrarea
Pentru a asigura securitatea integrării dvs., expuneți plătitorului doar cantitatea minimă de date. Ca cea mai bună practică, redați numai câmpurile de formular care necesită introducerea de date din partea plătitorului. De exemplu, câmpurile pentru adresa de expediere și de facturare, detaliile de plată și datele cardului de credit. Iată sfaturi importante pentru securizarea integrării dvs.:
- Nu utilizați niciodată câmpurile de formular ascunse pentru a transmite informații relevante pentru procesarea unei tranzacții, deoarece plătitorul sau o persoană rău intenționată poate edita aceste câmpuri pentru a procesa tranzacții care sunt potențial frauduloase. Acest lucru se aplică în special câmpurilor precum ID-ul comerciantului și parola API. Trebuie să stocați aceste valori în siguranță pe serverul dvs. Dacă un utilizator fraudulos ar obține accesul la aceste date, contul dvs. ar fi expus unui potențial atac.
- Calculați întotdeauna valoarea comenzii imediat înainte de a trimite solicitarea de tranzacție. Dacă stocați valoarea drept câmp ascuns, un plătitor fraudulos poate modifica valoarea și, fără verificările potrivite în integrarea dvs., poate manipula tranzacția. De exemplu, plătind doar 1 USD în loc de 100 USD.
- Pentru exemple de formulare HTML pentru operațiuni de bază, cum ar fi AUTHORIZE, CAPTURE, REFUND, și PAY, consultați Descărcări.
Deși exemplele de formulare acoperă multe câmpuri ca exemple, integrarea dvs. nu trebuie să expună toate acele câmpuri, ci doar pe cele în care aveți nevoie ca plătitorul să introducă date.
Transfer securizat de date pe pagina dvs. de plată
Site-urile web care colectează date sensibile sau confidențiale trebuie să utilizeze TLS pentru a proteja datele transmise între browserul de internet al plătitorului și aplicația dvs. Când un browser de internet transmite date către un server web, cum ar fi aplicația dvs. web, utilizarea TLS securizează datele, iar destinatarii neintenționați nu pot intercepta sau vizualiza datele.
Dacă utilizați metoda de integrare Direct Payment, aplicația dvs. trebuie să prezinte plătitorului un formular securizat folosind TLS pentru colectarea datelor sensibile de plată. Luați în considerare utilizarea unui formular securizat și atunci când colectați informații mai puțin sensibile, dar totuși confidențiale, cum ar fi adresele plătitorilor.
Mai multe browsere necesită acum utilizarea HTTPS cu certificate TLS valide pentru a evita prezentarea unor erori de securitate clienților.