- Κατευθυντήριες οδηγίες ενοποίησης
- Υποστηριζόμενες δυνατότητες (Ασφάλεια)
- Ασφαλίστε την ενοποίησή σας με κωδικούς πρόσβασης ή πιστοποιητικά
Ασφαλίστε την ενοποίησή σας με κωδικούς πρόσβασης ή πιστοποιητικά
Μπορείτε να ταυτοποιήσετε στο Mastercard Gateway χρησιμοποιώντας κωδικούς πρόσβασης ή πιστοποιητικά SSL.
Ταυτοποίηση με κωδικό πρόσβασης
Μπορείτε να ενεργοποιήσετε την ασφαλή πρόσβαση στις ενοποιήσεις Mastercard GatewayDirectAPI και Batch μέσω κωδικού πρόσβασης. Ο κωδικός πρόσβασης που δημιουργείται από το σύστημα είναι μια τυχαία τιμή 16 byte που είναι κωδικοποιημένη ως δεκαεξαδική συμβολοσειρά. Παρόλο που είναι επαρκής ως προς το μήκος και την ποιότητα ώστε να αντισταθεί σε μια επίθεση εξαντλητικής δοκιμής κωδικών, θα πρέπει να ασφαλίζεται με τον ίδιο τρόπο όπως οι κωδικοί πρόσβασης χρήστη και άλλα ευαίσθητα δεδομένα.
Δημιουργία κωδικού πρόσβασης για το DirectAPI
Μπορείτε να δημιουργήσετε τον κωδικό πρόσβασης για το API σας στο Merchant Administration. Ως προαπαιτούμενο, το προφίλ εμπόρου σας θα πρέπει να είναι ενεργοποιημένο για το API, το Batch και τα δικαιώματα "Χρήση ταυτοποίησης με κωδικό πρόσβασης".
Για πρόσβαση στο Merchant Administration, χρειάζεστε τα διαπιστευτήρια σύνδεσης. Τα διαπιστευτήρια σύνδεσης διαχειριστή θα σας δοθούν από τον your payment service provider όταν θα συμπεριληφθείτε με επιτυχία στην πύλη. Ως διαχειριστής, μπορείτε να δημιουργήσετε έναν νέο χειριστή με δικαιώματα για τη δημιουργία του κωδικού πρόσβασης API.
- Συνδεθείτε στο https://na-gateway.mastercard.com/ma με τα διαπιστευτήρια σύνδεσης διαχειριστή.
- Μεταβείτε στην περιοχή Admin > Διαχειριστές
- Δημιουργήστε νέο διαχειριστή συμπληρώνοντας όλα τα υποχρεωτικά πεδία. Αναθέστε το δικαίωμα "Δυνατότητα διαμόρφωσης ρυθμίσεων ενοποίησης" για να επιτραπεί στον διαχειριστή να δημιουργήσει τον κωδικό πρόσβασης API.
- Αποσυνδεθείτε από το Merchant Administration και συνδεθείτε ξανά στο Merchant Administration ως νέος διαχειριστής.
- Ακολουθήστε τη διαδρομή Admin > Ρυθμίσεις ενοποίησης Web Services API > Επεξεργασία.
- Κάντε κλικ στην επιλογή Δημιουργία νέου και επιλέξτε το πλαίσιο Ενεργοποίηση πρόσβασης στο Integration μέσω κωδικού πρόσβασης:.
- Αυτός είναι ο κωδικός πρόσβασης API που θα χρησιμοποιήσετε για την ταυτοποίηση αιτημάτων API που υποβάλλονται από τον web server σας στην πύλη.
- Κάντε κλικ στην Υποβολή.
Πρέπει πάντα να διαθέτετε και να έχετε ενεργοποιήσει τουλάχιστον έναν κωδικό πρόσβασης, αλλά μπορείτε να ρυθμίσετε έως και δύο κωδικούς πρόσβασης. Για λόγους ασφαλείας, θα πρέπει να αλλάζετε τακτικά τον κωδικό πρόσβασης. Θα πρέπει να χρησιμοποιείται μόνο ένας κωδικός πρόσβασης για τη διαμόρφωση της εφαρμογής σας, ενώ ο δεύτερος λειτουργεί ως αναμονή για εναλλαγή κωδικών πρόσβασης.
Μόλις δημιουργηθεί ο κωδικός πρόσβασης, πρέπει να τον συμπεριλάβετε σε όλα τα αιτήματα συναλλαγών που απευθύνονται στο Mastercard Gateway. Αν το αίτημα αποστέλλεται χρησιμοποιώντας το πρωτόκολλο REST-JSON, τότε το αίτημα πρέπει να περιέχει το userid και τον κωδικό πρόσβασης στη βασική κεφαλίδα επικύρωσης σε τυπική HTTP. Με το NVP, πρέπει να δώσετε πρόσθετες παραμέτρους στο αίτημα, apiUsername και apiPassword, για να χρησιμοποιήσετε το API.
Για να ταυτοποιείτε ως έμπορος, το όνομα (apiUsername για NVP και userid για REST-JSON) και ο κωδικός πρόσβασης (apiPassword για NVP και κωδικός πρόσβασης για REST-JSON) πρέπει να περιέχουν το 'merchant.<your gateway merchant ID>' και τον κωδικό πρόσβασης που δημιουργείται από το σύστημα αντίστοιχα.
Κωδικός πρόσβασης - Αναφορά API [REST][NVP]
Ταυτοποίηση πιστοποιητικού
Σημειώστε ότι το όνομα κεντρικού συστήματος για την ταυτοποίηση πιστοποιητικού είναι διαφορετικό από το https://na-gateway.mastercard.com/api. Επικοινωνήστε με τον your payment service provider για το όνομα του κεντρικού συστήματος.
Με την ταυτοποίηση πιστοποιητικού, πρέπει να προσκομίσετε ένα πιστοποιητικό για να ταυτοποιηθείτε στο Mastercard Gateway. Τα πιστοποιητικά τυπικά εκδίδονται από έναν από τους πολλούς οργανισμούς που ενεργούν ως αρχές έκδοσης πιστοποιητικών (CA). Αυτό το μοντέλο ταυτοποίησης αποτελεί συστατικό της υποδομής δημόσιου κλειδιού (Public Key Infrastructure, PKI), όπου η ασφάλεια επιτυγχάνεται μέσω της εμπιστευτικότητας, της ακεραιότητας, της μη άρνησης και της ταυτοποίησης. Η αρχή CA ισχυρίζεται ότι το δημόσιο κλειδί που επισυνάπτεται στο πιστοποιητικό είναι σωστό, ανήκει στο ισχυριζόμενο πρόσωπο ή οντότητα (δηλ. είναι "αυθεντικό") και δεν έχει αλλοιωθεί ή αντικατασταθεί από κακόβουλο τρίτο μέρος.
Ο μηχανισμός ταυτοποίησης για ταυτοποίηση πιστοποιητικού απαιτεί από τον πελάτη (τον Web Server) και τον διακομιστή (Mastercard Gateway HTTP Server) να παρουσιάσουν πιστοποιητικά για να ταυτοποιηθούν. Αυτό ονομάζεται αμοιβαία ταυτοποίηση, η ροή εργασίας για την οποία απεικονίζεται παρακάτω.
Όταν συνδέεστε στο Mastercard Gateway με ταυτοποίηση πιστοποιητικού, συμβαίνουν τα παρακάτω πράγματα:
- Ο πελάτης ζητά σύνδεση σε έναν προστατευμένο πόρο στον διακομιστή. Αυτό γίνεται για κάθε αίτημα συναλλαγής που ξεκινάει ο πελάτης.
- Ο διακομιστής παρουσιάζει την αλυσίδα πιστοποιητικών του στον πελάτη.
- Ο πελάτης επαληθεύει το πιστοποιητικό του διακομιστή χρησιμοποιώντας έναν αξιόπιστο χώρο αποθήκευσης, ο οποίος περιέχει τις αξιόπιστα CA ρίζας. Ο πελάτης επικυρώνει τη διαδρομή πιστοποιητικού σε ένα αξιόπιστο πιστοποιητικό CA ρίζας.
- Αν είναι επιτυχές, ο πελάτης αποστέλλει την αλυσίδα πιστοποιητικών στο διακομιστή, η οποία περιέχεται σε έναν χώρο αποθήκευσης κλειδιών.
- Ο διακομιστής επαληθεύει το πιστοποιητικό του πελάτη χρησιμοποιώντας το πλήρες σύνολο αξιόπιστων/εγκεκριμένων πιστοποιητικών CA ρίζας που έχουν έχουν φορτωθεί στον διακομιστή. Πραγματοποιούνται οι παρακάτω έλεγχοι:
- Ελέγχει αν το πιστοποιητικό είναι σε μορφή πιστοποιητικού X.509.
- Επικυρώνει τη διαδρομή πιστοποιητικού σε ένα αξιόπιστο πιστοποιητικό CA ρίζας.
- Εκτελεί έλεγχο CRL ή OCSP (Online Certificate Status Protocol) για να βεβαιωθεί ότι το πιστοποιητικό δεν έχει ακυρωθεί.
- Ελέγχει αν το πιστοποιητικό δεν έχει λήξει.
Μόλις ο HTTP Server επικυρώσει με επιτυχία το πιστοποιητικό πελάτη, η πλήρης αλυσίδα πιστοποιητικών πελάτη μεταβιβάζεται στο DirectAPI για επαλήθευση. Σε αντίθετη περίπτωση, επιστρέφονται τυπικά μηνύματα σφάλματος πιστοποιητικών SSL από τον HTTP Server.
Η επαλήθευση γίνεται στο επίπεδο του HTTP Server και του DirectAPI. Ο HTTP Server εκτελεί πλήρη επικύρωση του πιστοποιητικού SSL και το DirectAPI εκτελεί ταυτοποίηση του πιστοποιητικού σε επίπεδο εταιρείας. - Το DirectAPI εκτελεί τους ακόλουθους ελέγχους:
- Εξάγει το κοινό όνομα του πιστοποιητικού πελάτη και επιβεβαιώνει ότι ταιριάζει με το κοινό όνομα που έχει εγγραφεί για τον έμπορο στη βάση δεδομένων. Το κοινό όνομα του πιστοποιητικού πρέπει να περιέχει το νόμιμο εταιρικό όνομα του εμπόρου.
- Επαληθεύει ότι το πιστοποιητικό πελάτη έχει επέκταση Key-Usage, η οποία χαρακτηρίζεται ως κρίσιμη και περιλαμβάνει την ταυτοποίηση πελάτη ως επιτρεπτή χρήση του πιστοποιητικού.
- Εκτελεί μια απλή επικύρωση του πιστοποιητικού πελάτη σε ένα πιστοποιητικό CA ρίζας που περιέχεται στο σύνολο επιτρεπόμενων CA. Αυτό σημαίνει ότι η εφαρμογή DirectAPI πρέπει να τηρεί το πιστοποιητικό CA ρίζας που χρησιμοποιήθηκε για την έκδοση και την υπογραφή του πιστοποιητικού πελάτη.
Το αρχικό σύνολο επιτρεπόμενων CA καθορίζεται από το Mastercard.
- Ελέγχει αν το πιστοποιητικό που παρουσιάζεται συμφωνεί με την κατάσταση του προφίλ εμπόρου. Ένα προφίλ παραγωγής θα δεχτεί μόνο πιστοποιητικά παραγωγής, ενώ ένα προφίλ δοκιμής θα δεχθεί πιστοποιητικά δοκιμής ή παραγωγής.
Αν τα βήματα 1-4 είναι επιτυχημένα, τότε η ταυτοποίηση εμπόρου θεωρείται επιτυχής, διαφορετικά η σύνδεση απορρίπτεται επιστρέφοντας ένα κατάλληλο μήνυμα σφάλματος.
- Αν όλοι οι έλεγχοι που περιγράφονται στα βήματα 5 και 6 είναι επιτυχείς, τότε ο διακομιστής αποδέχεται τη σύνδεση και επιτρέπει τη συνέχιση του αιτήματος πράξης.
Μπορείτε να επιλέξετε να παρουσιάσετε το πιστοποιητικό πελάτη σας ή ένα άλλο πιστοποιητικό για να ταυτοποιηθείτε όταν ο πληρωτής αποκτήσει πρόσβαση στην εφαρμογή σας. Σε αυτήν την αλληλεπίδραση, ο Web Server σας λειτουργεί ως διακομιστής και ο πληρωτής ως πελάτης. Η ενοποίηση με αυτόν τον μηχανισμό ταυτοποίησης μπορεί να δώσει στους πληρωτές σας την πρόσθετη διαβεβαίωση ότι πραγματοποιούν συναλλαγές με νόμιμη επιχείρηση.
Πριν από τη δημοσίευση του πιστοποιητικού παραγωγής, μπορείτε να αναπτύξετε και να ελέγξετε την ταυτοποίηση PKI με δοκιμαστικό πιστοποιητικό. Αυτό μπορεί να είναι χρήσιμο, για παράδειγμα, όταν δεν θέλετε να μοιραστείτε το πιστοποιητικό παραγωγής και το ιδιωτικό κλειδί με έναν τρίτο ολοκληρωτή web.
Είναι σημαντικό το πιστοποιητικό που προμηθεύετε από την επιλεγμένη CA πληροί τις απαιτήσεις υλοποίησης πιστοποιητικών του Mastercard. Ακολουθούν ορισμένα βασικά σημεία που πρέπει να λάβετε υπόψη όταν προμηθεύεστε το πιστοποιητικό SSL.
- Το πιστοποιητικό πρέπει να είναι σε μορφή πιστοποιητικού X.509.
- Το πιστοποιητικό πρέπει να έχει μια επέκταση Key-Usage, η οποία χαρακτηρίζεται ως κρίσιμη και περιλαμβάνει την ταυτοποίηση πελάτη ως επιτρεπτή χρήση του πιστοποιητικού.
- Το πιστοποιητικό πρέπει να εκδοθεί από CA που έχει εγκρίνει η Mastercard. Επικοινωνήστε στο Mastercard για να λάβετε μια λίστα με όλες τις εγκεκριμένες CA.
- Το κοινό όνομα (CN) του πιστοποιητικού πρέπει να περιέχει το πλήρως αναγνωρισμένο όνομα τομέα (με ή χωρίς χαρακτήρα μπαλαντέρ) του ιστότοπου για τον οποίο αγοράζεται το πιστοποιητικό.
- Το πεδίο οργάνωσης (O) πρέπει να περιέχει την οργάνωση του εμπόρου.
Αφού προμηθεύσετε το πιστοποιητικό από μια αξιόπιστη CA, ο your payment service provider πρέπει να διαμορφώσει το δοκιμαστικό πιστοποιητικό σας ή το πιστοποιητικό παραγωγής στο Merchant Manager ως μέρος της διαμόρφωσης όλων των ρυθμίσεων API για το προφίλ εμπόρου σας στην πύλη. Αν χρειαστεί, ένα πιστοποιητικό εμπόρου μπορεί να συνδέεται με πολλαπλά προφίλ εμπόρων από την ίδια επιχείρηση ή από διάφορες επιχειρήσεις. Για περισσότερες πληροφορίες σχετικά με τον τρόπο διαμόρφωσης των πιστοποιητικών εμπόρου στο Merchant Manager, βλ. την ενότητα "Διαμόρφωση API" στον Οδηγό χρήσης του Merchant Manager.
Ο ιστότοπος ελέγχει τη λίστα των αποδεκτών πιστοποιητικών CA ρίζας που χρησιμοποιούνται για την επαλήθευση των πιστοποιητικών εμπόρου. Για να ενεργοποιηθεί η επαλήθευση πιστοποιητικών, το σύστημα συλλέγει την κωδικοποιημένη έκδοση PEM του πιστοποιητικού παραγωγής μέσω του Merchant Manager. Το κοινό όνομα εξάγεται από αυτό το πιστοποιητικό και επαληθεύεται με βάση το κοινό όνομα του πιστοποιητικού που παρουσιάστηκε κατά τη διάρκεια της χειραψίας SSL.
Μετά τη διαμόρφωση του πιστοποιητικού για το προφίλ εμπόρου, πρέπει να εκτελέσετε τα παρακάτω βήματα για να εγκαταστήσετε το πιστοποιητικό στο περιβάλλον σας.
- Κάντε το ιδιωτικό κλειδί και το πιστοποιητικό διαθέσιμα στο λογισμικό πελάτη SSL που πραγματοποιεί τη σύνδεση SSL με το Mastercard Gateway. Ανάλογα με το λογισμικό, το ιδιωτικό κλειδί, το πιστοποιητικό και η συσχετισμένη αλυσίδα πιστοποιητικών ίσως χρειαστεί μετατροπή σε υποστηριζόμενη μορφή. Για παράδειγμα, τα ιδιωτικά κλειδιά και τα πιστοποιητικά παρέχονται συχνά σε αρχεία κειμένου, σε μορφή PEM, με ιδιωτικό κλειδί που προστατεύεται από κωδικό πρόσβασης. Στην Java, αυτά τα αρχεία φορτώνονται συνήθως σε ένα αποθηκευτικό κλειδί Java. Ανατρέξτε στην τεκμηρίωση λογισμικού για τις υποστηριζόμενες μορφές.
Για περιβάλλοντα Java και .NET, συνιστάται να μετατρέψετε τα αρχεία PEM σε PKCS12.
- Σε όλες σχεδόν τις περιπτώσεις, η CA που εκδίδει το πιστοποιητικό παρέχει επίσης πρόσθετα πιστοποιητικά γνωστά ως αλυσίδα πιστοποιητικών. Πρέπει να τα δώσετε στο Mastercard Gateway κατά τη διάρκεια της χειραψίας SSL, για να ενεργοποιήσετε την πύλη για την επικύρωση του πιστοποιητικού σας. Το λογισμικό πελάτη SSL θα έχει οδηγίες σχετικά με το πώς και πού θα τοποθετούνται αυτά τα πιστοποιητικά.
- Μια απλή δοκιμή για να ελέγξετε αν έχετε όλα τα απαραίτητα πιστοποιητικά είναι να τα φορτώσετε σε έναν web browser, όπως τους Internet Explorer, Firefox ή Safari, να μεταβείτε στη διεύθυνση URL Check Gateway του DirectAPI και να ανακτήστε την κατάσταση της πύλης. Αν τα πιστοποιητικά έχουν φορτωθεί σωστά, η πρόσβαση στη διεύθυνση URL Check Gateway θα προκαλέσει τον browser να σας ζητήσει να επιλέξετε/αποδεχθείτε το πιστοποιητικό που θα χρησιμοποιηθεί για τη σύνδεση με την πύλη. Αν ο browser σάς το ζητήσει και επιτευχθεί σύνδεση, θα λάβετε την ακόλουθη απόκριση: {κατάσταση: "OPERATING"}.
Μπορεί να θέλετε να αλλάξετε από το υπάρχον πιστοποιητικό σε νέο πιστοποιητικό για διάφορους λόγους. Για παράδειγμα, αναβαθμίστε το πιστοποιητικό για αλλαγή της επωνυμίας της εταιρείας ή αλλάξτε από δοκιμαστικό πιστοποιητικό σε πιστοποιητικό παραγωγής.
Για εναλλαγή σε νέο πιστοποιητικό, ο your payment service provider πρέπει να προσθέσει το νέο πιστοποιητικό ως κύριο πιστοποιητικό, ενώ το παλιό πιστοποιητικό γίνεται πρόσθετο πιστοποιητικό. Μπορείτε να έχετε ένα ή περισσότερα πρόσθετα πιστοποιητικά. Οι έμποροι που έχουν διαμορφωθεί να χρησιμοποιούν το νέο πιστοποιητικό ενδέχεται να ταυτοποιούνται στο DirectAPI χρησιμοποιώντας είτε το παλιό πιστοποιητικό είτε το νέο πιστοποιητικό. Αυτό σημαίνει ότι πρόκειται για μια προσωρινή διαμόρφωση έως ότου έχουν αναβαθμιστεί όλες οι ενοποιήσεις για να χρησιμοποιηθεί το νέο πιστοποιητικό. Για περισσότερες πληροφορίες σχετικά με τον τρόπο προσθήκης πρόσθετων πιστοποιητικών, βλ. Διαμόρφωση API στον Οδηγό χρήστη Merchant Manager.
Ταυτοποίηση περιόδου λειτουργίας
Η ταυτοποίηση περιόδου λειτουργίας (session) χρησιμοποιεί την περίοδο λειτουργίας (session) πληρωμής της πύλης, ένα προσωρινό κοντέινερ για πεδία αιτημάτων, για την ταυτοποίηση του εμπόρου. Επειδή η περίοδος λειτουργίας πληρωμής δημιουργείται από έναν ταυτοποιημένο έμπορο (χρησιμοποιώντας τον κωδικό πρόσβασης/πιστοποιητικό ταυτοποίησης), ο πληρωτής μπορεί να την χρησιμοποιήσει για αλληλεπιδράσεις πύλης, όπως εκτέλεση πράξεων ταυτοποίησης.
Αυτός ο μηχανισμός ταυτοποίησης επιτρέπει στους πληρωτές να παρέχουν τις λεπτομέρειες πληρωμής απευθείας στην πύλη. Τα δεδομένα του πληρωτή λαμβάνονται μέσω αλληλεπίδρασης του client με την πύλη, είτε μέσω του browser του πληρωτή είτε μέσω μιας εφαρμογής στην κινητή συσκευή του πληρωτή. Παρέχει ένα απλό μοντέλο ενοποίησης για την ασφαλή λήψη των απαιτούμενων δεδομένων πληρωτή, καθώς τα αιτήματα του API στην πύλη εκτελούνται απευθείας από τον client παρά από τον διακομιστή σας.
Χρησιμοποιεί έναν βασικό μηχανισμό ταυτοποίησης HTTP (παρόμοιο με την ταυτοποίηση χρησιμοποιώντας κωδικό πρόσβασης), όπου θα πρέπει να δώσετε το 'merchant.<your gateway merchant ID>;> στην ενότητα userid και το session Id στην ενότητα password.
Για να χρησιμοποιήσετε αυτόν τον τύπο ταυτοποίησης:
- Δημιουργήστε μια περίοδο λειτουργίας υποβάλλοντας ένα αίτημα API Create Session από τον διακομιστή σας στον διακομιστή πύλης. Αυτή η πράξη επιστρέφει ένα ID περιόδου λειτουργίας (session).
- Υποβάλετε το αίτημα Update Session χρησιμοποιώντας την ταυτοποίηση περιόδου λειτουργίας για να προσθέσετε συναφή δεδομένα στην περίοδο λειτουργίας που δημιουργήθηκε στο Βήμα 1.
- Δώστε την περίοδο λειτουργίας στον πληρωτή.
Υποστηριζόμενες συναλλαγές
Οι ακόλουθες πράξεις υποστηρίζουν την ταυτοποίηση χρησιμοποιώντας ID περιόδου λειτουργίας.
- Update Session
- Initiate Authentication
- Authenticate Payer
Πεδία εισαγωγής πληρωτή και εξόδου πληρωτή
Στις αλληλεπιδράσεις με την πύλη για τις οποίες έχει ταυτοποιηθεί η περίοδος λειτουργίας, ο πληρωτής περιορίζεται σε ένα υποσύνολο πεδίων μέσα σε μια πράξη API. Αυτά αναφέρονται ως πεδία εισόδου πληρωτή. Αν δώσετε πεδία διαφορετικά από τα πεδία εισαγωγής πληρωτή σε ένα αίτημα με ταυτοποιημένη περίοδο λειτουργίας, το αίτημα απορρίπτεται. Για παράδειγμα, ο πληρωτής δεν μπορεί να υποβάλει δεδομένα όπως το ποσό της παραγγελίας.
Παρόμοια με τα πεδία εισόδου πληρωτή, η πύλη επιτρέπει την επιστροφή μόνο ορισμένων πεδίων ως απόκριση για αλληλεπιδράσεις με ταυτοποιημένη περίοδο λειτουργίας με την πύλη. Αυτά αναφέρονται ως πεδία εξόδου πληρωτή. Επιστρέφονται μόνο τα πεδία που πρέπει να εμφανίζονται σε έναν πληρωτή στον browser ή σε μια εφαρμογή για εκτέλεση μιας συναλλαγής. Για παράδειγμα, τα ευαίσθητα δεδομένα ως προς την ασφάλεια, όπως το ID περιόδου λειτουργίας, δεν επιστρέφονται.
Update Session
- billing.address.city
- billing.address.company
- billing.address.country
- billing.address.postcodeZip
- billing.address.stateProvince
- billing.address.stateProvinceCode
- billing.address.street
- billing.address.street2
- browserPayment.preferredLanguage
- correlationId
- customer.dateOfBirth
- customer.email
- customer.firstName
- customer.lastName
- customer.mobilePhone
- customer.nationalId
- customer.phone
- customer.taxRegistrationId
- device.browser
- device.browserDetails.3DSecureChallengeWindowSize
- device.browserDetails.acceptHeaders
- device.browserDetails.colorDepth
- device.browserDetails.javaEnabled
- device.browserDetails.language
- device.browserDetails.screenHeight
- device.browserDetails.screenWidth
- device.browserDetails.timeZone
- device.fingerprint
- device.hostname
- device.ipAddress
- device.mobilePhoneModel
- gatewayEntryPoint
- locale
- merchant
- order.id
- order.walletProvider
- session.version
- shipping.contact.email
- shipping.contact.firstName
- shipping.contact.lastName
- shipping.contact.mobilePhone
- shipping.contact.phone
- sourceOfFunds.provided.card.devicePayment.3DSecure.eciIndicator
- sourceOfFunds.provided.card.devicePayment.3DSecure.onlinePaymentCryptogram
- sourceOfFunds.provided.card.devicePayment.cryptogramFormat
- sourceOfFunds.provided.card.devicePayment.emv.emvData
- sourceOfFunds.provided.card.devicePayment.paymentToken
- sourceOfFunds.provided.card.expiry.month
- sourceOfFunds.provided.card.expiry.year
- sourceOfFunds.provided.card.mobileWallet.emv.emvData
- sourceOfFunds.provided.card.nameOnCard
- sourceOfFunds.provided.card.number
- sourceOfFunds.provided.card.provided.card.prefix
- sourceOfFunds.provided.card.securityCode
- sourceOfFunds.token
- sourceOfFunds.type
- transaction.acquirer.customData
- transaction.acquirer.traceId
- transaction.id
- correlationId
- error.cause
- error.field
- error.supportCode
- error.validationType
- order.amount
- order.currency
- order.customerNote
- order.customerReference
- order.invoiceNumber
- result
- session.updateStatus
- session.version
Initiate Authentication
- apiOperation
- correlationId
- order.walletProvider
- session.id
- session.version
- sourceOfFunds.provided.card.devicePayment.3DSecure.eciIndicator
- sourceOfFunds.provided.card.devicePayment.3DSecure.onlinePaymentCryptogram
- sourceOfFunds.provided.card.devicePayment.cryptogramFormat
- sourceOfFunds.provided.card.devicePayment.emv.emvData
- sourceOfFunds.provided.card.devicePayment.paymentToken
- sourceOfFunds.provided.card.number
- sourceOfFunds.token
- sourceOfFunds.type
- authentication.3ds2.methodCompleted
- authentication.3ds2.methodSupported
- authentication.redirect.customized.3DS.methodPostData
- authentication.redirect.customized.3DS.methodUrl
- authentication.redirectHtml
- authentication.version
- correlationId
- error.cause
- error.field
- error.supportCode
- error.validationType
- order.authenticationStatus
- order.currency
- order.status
- response.gatewayCode
- response.gatewayRecommendation
- result
- sourceOfFunds.provided.card.number
- sourceOfFunds.type
- transaction.authenticationStatus
- version
Authenticate Payer
- apiOperation
- billing.address.city
- billing.address.company
- billing.address.country
- billing.address.postcodeZip
- billing.address.stateProvince
- billing.address.stateProvinceCode
- billing.address.street
- billing.address.street2
- correlationId
- device.browser
- device.browserDetails.3DSecureChallengeWindowSize
- device.browserDetails.acceptHeaders
- device.browserDetails.colorDepth
- device.browserDetails.javaEnabled
- device.browserDetails.language
- device.browserDetails.screenHeight
- device.browserDetails.screenWidth
- device.browserDetails.timeZone
- device.ipAddress
- order.walletProvider
- session.id
- session.version
- sourceOfFunds.provided.card.devicePayment.3DSecure.eciIndicator
- sourceOfFunds.provided.card.devicePayment.3DSecure.onlinePaymentCryptogram
- sourceOfFunds.provided.card.devicePayment.cryptogramFormat
- sourceOfFunds.provided.card.devicePayment.emv.emvData
- sourceOfFunds.provided.card.devicePayment.paymentToken
- sourceOfFunds.provided.card.expiry.month
- sourceOfFunds.provided.card.expiry.year
- sourceOfFunds.provided.card.number
- sourceOfFunds.provided.card.securityCode
- authentication.3ds2.acsReference
- authentication.3ds2.challenge.signedContent
- authentication.3ds2.methodCompleted
- authentication.3ds2.methodSupported
- authentication.3ds2.sdk.interface
- authentication.3ds2.sdk.timeout
- authentication.3ds2.sdk.uiType
- authentication.payerInteraction
- authentication.redirect.customized.3DS.acsUrl
- authentication.redirect.customized.3DS.cReq
- authentication.redirect.domainName
- authentication.redirectHtml
- authentication.version
- correlationId
- encryptedData.ciphertext
- encryptedData.nonce
- encryptedData.tag
- error.cause
- error.field
- error.supportCode
- error.validationType
- order.authenticationStatus
- order.currency
- order.status
- response.gatewayCode
- response.gatewayRecommendation
- result
- sourceOfFunds.provided.card.number
- sourceOfFunds.type
- transaction.authenticationStatus
- version
Προστασία πληροφοριών πληρωτή με χρήση SSL
Όλοι οι ιστότοποι που συλλέγουν ευαίσθητες ή εμπιστευτικές πληροφορίες πρέπει να προστατεύουν τα δεδομένα που μεταφέρονται μεταξύ του browser στο Internet του πληρωτή, της εφαρμογής και του Mastercard Gateway.
Το SSL είναι μια τεχνολογία ασφαλείας που χρησιμοποιείται για την προστασία των web serve στις συναλλαγές του browser στο Internet. Αυτό περιλαμβάνει την εξασφάλιση οποιασδήποτε πληροφορίας (όπως τον αριθμό της πιστωτικής κάρτας του πληρωτή) που μεταφέρεται από έναν browser σε έναν web server (όπως η εφαρμογή web "Shop & Buy"). Το SSL προστατεύει τα δεδομένα που υποβάλλονται μέσω του Internet, ώστε να μην είναι δυνατή η παρέμβαση σε αυτά και η προβολή τους από παραλήπτες που δεν είναι οι προοριζόμενοι.
Όταν υλοποιείτε το Direct Payment, πρέπει να βεβαιωθείτε ότι η εφαρμογή σας εμφανίζει μια ασφαλή φόρμα χρησιμοποιώντας SSL. Θα πρέπει επίσης να χρησιμοποιήσετε μια ασφαλή φόρμα στην αίτησή σας κατά τη συλλογή εμπιστευτικών πληροφοριών, όπως είναι οι διευθύνσεις πληρωτή.
Πώς γνωρίζουν οι πληρωτές μου αν ο ιστότοπός μου χρησιμοποιεί SSL;
Όταν ένας πληρωτής συνδέεται με την εφαρμογή σας χρησιμοποιώντας SSL, θα δει ότι το http:// αλλάζει σε https:// και επίσης θα εμφανιστεί ένα μικρό χρυσό λουκέτο στον browser, για παράδειγμα:
Κάθε φορά που ο browser συνδέεται με έναν web server (ιστότοπο) μέσω https:// - αυτό σημαίνει ότι η επικοινωνία με το Mastercard Gateway θα είναι κρυπτογραφημένα και ασφαλή. Μπορείτε να ειδοποιήσετε τους πληρωτές σας για αυτό το γεγονός, ώστε να γνωρίζουν τι πρέπει να αναζητήσουν όταν πραγματοποιούν συναλλαγές στον ιστότοπό σας.
Πίνακας αναφοράς των βασικών διαφορών μεταξύ των μοντέλων ασφαλείας
Ο παρακάτω πίνακας περιγράφει μερικές βασικές διαφορές μεταξύ των μοντέλων ταυτοποίησης με κωδικό πρόσβασης και πιστοποιητικό, με σκοπό να σας βοηθήσει να επιλέξετε τη λύση ταυτοποίησης που ανταποκρίνεται καλύτερα στις απαιτήσεις ταυτοποίησης της επιχείρησής σας.
| Ταυτοποίηση με κωδικό πρόσβασης | Ταυτοποίηση πιστοποιητικού | |
| Πότε να χρησιμοποιηθεί |
Με μικρές επιχειρήσεις όπου η απλή ταυτοποίηση πληροί τις απαιτήσεις. | Με τις μεγάλες επιχειρήσεις όπου το κόστος της υποδομής για την εφαρμογή του PKI είναι ελάχιστο σε σχέση με την ασφάλεια που αποκτήθηκε χρησιμοποιώντας ένα υψηλότερο επίπεδο ταυτοποίησης. |
| Απαιτούμενες τεχνικές δεξιότητες |
Απαιτεί γνώσεις βασικής ταυτοποίησης HTTP | Απαιτεί γνώσεις αμοιβαίας ταυτοποίησης και PKI με χρήση τις Αρχών Έκδοσης Πιστοποιητικών |
| Ευκολία ενοποίησης |
Εύκολο στην ενοποίηση | Η δημιουργία του αρχείου αποθήκευσης κλειδιών και άλλων υποδομών μπορεί να αυξήσει την πολυπλοκότητα της ενοποίησης. |
| Επίπεδο ταυτοποίησης | Μέτριο | Υψηλό |
| Κόστος | Η λιγότερο ακριβή μέθοδος ταυτοποίησης για χρήση. | Περιλαμβάνει επιπλέον κόστος, όπως το κόστος συνδρομής της αρχής πιστοποίησης για την έκδοση των πιστοποιητικών SSL. |
| Οφέλη | Ιδανικό για μικρότερους εμπόρους, όπου το κόστος ενοποίησης είναι ένας σημαντικός παράγοντας και τα επιχειρηματικά μοντέλα δεν απαιτούν υψηλότερα επίπεδα ασφάλειας. | Η αμοιβαία ταυτοποίηση SSL παρέχει πολύ υψηλή ασφάλεια και θεωρείται βέλτιστη πρακτική του κλάδου. Βελτιστοποιεί την απόδοση ταυτοποίησης χρησιμοποιώντας την υπάρχουσα σύνδεση SSL, η οποία συνήθως δημιουργείται ούτως ή άλλως. Το επιπλέον κόστος της αποστολής του πιστοποιητικού πελάτη είναι ελάχιστο. |
| Μειονεκτήματα | Ο κωδικός πρόσβασης είναι ενσωματωμένος ως cleartext στην κεφαλίδα ταυτοποίησης HTTP και πρέπει πάντα να στέλνεται μέσω SSL. Το Mastercard Gateway δέχεται μόνο συνδέσεις που προστατεύονται από SSL, προστατεύοντας έτσι τον κωδικό πρόσβασης από αποκάλυψη. Ωστόσο, είναι πολύ σημαντικό για την ασφάλεια της σύνδεσης να πραγματοποιείται η σωστή ταυτοποίηση διακομιστή, ώστε να αποφεύγεται η ακούσια αποκάλυψη σε μη ταυτοποιημένους διακομιστές. | Κανένα |
| Υποστήριξη για τα διαπιστευτήρια κοινής χρήσης σε πολλαπλά προφίλ εμπόρων | Δεν είναι δυνατή η κοινή χρήση κωδικών πρόσβασης σε πολλά προφίλ εμπόρων | Σας δίνει τη δυνατότητα να μοιραστείτε ένα αναγνωριστικό συνόλου πιστοποιητικών με πολλαπλά προφίλ εμπόρων εντός και μεταξύ MSO (βάσει δικαιωμάτων). |