Безпека
Підписи API-запитів
Запити до Tranzzo API повинні містити підписи. Це дозволяє ідентифікувати мерчанта та забезпечити автентичність та цілісність даних. Під час використання підписів в запитах значення хедеру X-API-AUTH повинно містити назву відповідного алгоритму формування підпису.
Значення підписів вводяться із урахуванням регістру (мають бути в нижньому регістрі Hex).
- Для підписання необхідно використовувати алгоритм HMAC-SHA1
Автентифікаційний хедер:X-API-AUTH: CPAY-HMAC ${API_KEY}:${SIGNATURE}
Зразок підпису:
SECRET=changeme # replace with ${API_SECRET}
DATA='{"name":"Joe","age":20}' # replace with raw request
SIGNATURE=$(echo -n "$DATA" | openssl sha1 -hmac "$SECRET")
echo "$SIGNATURE"
# Expected signature
48731878acbb41e6ee70eac5f1e6f8b8031f9484
Використання HTTPS-протоколу
Для приймання платежів ваші сайти повинні підтримувати HTTPS-протокол.
Використання протоколу 3DS
Tranzzo підтримує безпековий протокол 3DS (3-Domain Secure) версії 2.1, що забезпечує додатковий рівень захисту даних платіжних карток та знижує ймовірність проведення шахрайських операцій.
Проходження 3D Secure передбачає для платника додатковий крок на етапі оплати — підтвердження оплати. А саме: на автентифікаційний сторінці банку платникові необхідно ввести одноразовий код, отриманий в SMS, або підтвердити платіж у мобільному застосунку свого банку.
Керування 3D Secure протоколом відбувається через параметр order_3ds_bypass. Допустимими його значеннями є:
supported (базове налаштування) — залежить від підтримки 3D Secure протоколу самою платіжною системою.
always — платіж буде проведено з використанням 3D Secure протоколу.
never — платіж буде проведено без використання 3D Secure протоколу.
Без додаткових налаштувань та перевірок мерчанти можуть використовувати лише supported та always значення. Щоб мати можливість проводити платежі з опцією never, зверніться до Служби підтримки Tranzzo.