35дд. Руководство оператора Документ предназначен для внутреннего использования Введение 4 Вход в систему 5
 Скачать 2.53 Mb.
|
Ввод реквизитов карты на сайте коммерсантаВ случае если в запрос передаются парметры crd_pan, crd_exp, crd_cvc (номер карты, дата устаревания карты и cvv/cvc/cvc2), то страница ввода карты не выдается, а сразу запускается операция в MPI. Параметры crd_pan, crd_exp, crd_cvc должны быть зашифрованы на веб-странице, на которой они вводятся, перед передачей с помощью публичного ключа, предоставленного менеджером банка. Данные для подписи на сервере коммерсанта должны включать уже зашифрованные данные полей crd_pan, crd_exp, crd_cvc: vSign=hash("sha512",C_SHARED_KEY.$_POST["ORDER"].";".$_POST["AMOUNT"].";".$_POST["CURRENCY"].";".$_POST["MERCHANT"].";".$_POST["TERMINAL"].";".$_POST["NONCE"].";".$_POST["CLIENT_ID"].";".preg_replace("/\n|\r/g","",$_POST["DESC"]).";".preg_replace("/\n|\r/g","",$_POST["DESC_ORDER"]).";".$_POST["EMAIL"].";".$_POST["BACKREF"].";".$_POST["Ucaf_Flag"].";".$_POST["Ucaf_Authentication_Data"].";".$_POST["RECUR_FREQ"].";".$_POST["RECUR_EXP"].";".$_POST["INT_REF"].";".$_POST["RECUR_REF"].";".$_POST["PAYMENT_TO"].";".$_POST["crd_pan"].";".$_POST["crd_exp"].";".$_POST["crd_cvc"].";" ); Пример шифрования реквизитов карт см. на странице: http://host/eCom/static/e/test_crd_.html. На этой-же странице можно взять тестовый публичный ключ, которым нужно шифровать данные. Продуктовый публичный ключ выдается банком по запросу. Обратите внимание! Шифрованние данных карты алгоритмом RSA обязательно производится JS-скриптом на веб-странице ввода данных карты в браузере клиента. На сервер коммерсанта не должны попадать данные карты клиента в открытом виде! В продуктовой системе хэш подписи должен вычисляться не в браузере на стороне клиента, а в процедуре на стороне веб-сервера коммерсанта! Пример на странице test_crd_.html – только для тестирования, секретный ключ SHARED_SECRET ни в коем случае не должен быть доступен кому-либо вне сервера коммерсанта! Подписывание производится для данных карты уже в зашифрованном виде. В случае ввода реквизитов платежной карты на сайте коммерсанта, весь сайт коммерсанта считается влияющим на безопасность карточных данных, и согласно PCI DSS к сайту применяются следующие требования: работа только по HTTPS с валидным SSL сертификатом заполнение листа самооценки SAQ-EP ежеквартальное прохождение ASV тестирования (процедуры автоматизированной проверки сайта на наличие уязвимостей) Рекуррентные (периодические) платежиПериодические платежи - это регулярные запланированные транзакции, могут использоваться например как ежемесячные подписки, арендные платежи и др. Первая операция должна содержать план платежей, состоящих из двух полей (оба должны присутствовать одновременно): частота платежей RECUR_FREQ и срок действия подписки RECUR_EXP. Частота платежей указывает минимальное количество дней между авторизациями, например 28. Срок действия периодических платежей указывается в формате ГГГГММДД. После этой даты ни одна авторизация не будет обслужена. Самая ранняя возможная дата для каждой авторизации основывается на фактической дате предыдущей авторизации. Последующие авторизации принимаются до истечения срока. В последующих операциях, в полях RECUR_REF и INT_REF нужно указывать значения RRN и INT_REF из результата первой операции. Номер карты, срок действия карты в последующих операциях можно не указывать. Платежный виджет на сайте коммерсантаПлатежную страницу на сайте коммерсанта можно вывести в виде виджета, например в виде диалога:  или в указанном месте на странице сайта коммерсанта:  Платежная страница банка выводится в iframe, параметры заказа могут передаваться POST или GET методом. Значения параметров должны быть подписаны SHA512, так-же как в обычном вызове (см. выше). Подпись должна формироваться на бэк-стороне сайта коммерсанта. Тип виджета указывается в параметре WTYPE. Допустимые значения 1,2 или 3. Это значение не добавляется в строку параметров для подписывания, для совместимости с прошлыми версиями. Примерная последовательность процесса оплаты следующая: клиент выбирает товары/услуги клиент переходит на страницу оплаты сайта коммерсанта, при этом параметры заказа проверяются на сайте коммерсанта и подписываются на странице сайта коммерсанта выводится платежная страница банка в iframe, параметры заказа и подпись передаются в параметрах вызова Пример вывода виджета можно посмотреть на тестовой странице: https://host:port/ecom/static/e/test_widget.html Из iframe виджета на родительскую страницу высылается window.postMessage c результом. Значение targetOrigin берется из указанного адреса сайта коммерсанта в параметре BACKREF или в поле “URL отправки ответа”.
|