Comment mettre en œuvre de 3d secure paiement en toute sécurité

Je me demandais quelle est la meilleure façon d'accepter les paiements par cartes de crédit qui nécessitent 3-D Secure de vérification. Actuellement, la caisse d'écoulement est comme ceci:

  1. Client soumet le paiement
  2. De la passerelle de paiement renvoie une erreur indiquant que la carte a besoin de 3-D secure code de traitement. Renvoie l'ACS URL dans la réponse
  3. Je redirige l'utilisateur à la banque émettrice de la vérification du site et j'ai passer une URL de callback pour l'ACS pour rediriger après l'achèvement de la vérification
  4. Client passe et code de vérification de l'ACS redirige vers l'URL de callback avec un jeton d'autorisation indiquant succès de vérification
  5. Pour terminer le processus, j'ai à nouveau la demande d'origine avec le jeton d'autorisation à la passerelle de paiement

Mon problème est lors de l'étape finale. Comme j'ai besoin de soumettre de nouveau la demande d'origine (qui contient les informations de carte de crédit du client), j'ai besoin de le stocker quelque part temporairement afin que je puisse le récupérer lors de l'URL de callback qui est appelée. Est-il une alternative à cela?

Je pense que je vais essayer un iframe solution: La forme originale n'est jamais fermé et j'affiche le processus de vérification dans un iframe. Quand le processus est terminé, c'est à dire l'url de callback est appelé, je me cache dans l'iframe et mise à jour de l'original du formulaire avec les valeurs nécessaires et le soumettre à nouveau. Quelqu'un a déjà essayé cette technique?

OriginalL'auteur Wayne See | 2012-12-07

  1. 6

    Comme vous l'avez peut-être déjà remarqué dans l'article lié, banque présentatrice de la page dans un iframe est une option de choix. Bien que si vous lisez en outre, il présente d'autres fonctionnalités de sécurité, particulièrement en ce qui concerne la protection contre le phishing. Parce que votre client ne sait pas à qui est-il vraiment envoyer son mot de passe.

    Mais pour en revenir à votre proposition, si vous les présenter dans l'iframe ou une fenêtre pop-up, vous serez en mesure de stocker l'original du formulaire sur votre page de base et renvoyez-le avec reçu le jeton d'authentification. C'est une très bonne idée parce que vous n'auriez pas besoin de faire toute la mise en conformité PCI choses. Ainsi, non seulement il est plus facile pour vous, il est recommandé :).

    OriginalL'auteur damiankolasa

  2. 2

    Avec Sage Paie (et je suppose que d'autres prestataires de services de paiement), vous n'avez pas besoin de passer toutes les informations de la commande à nouveau dans la dernière étape, juste le code de réponse de la 3D formulaire Sécurisé et un cadre unique de référence de la transaction. Stocker les détails de la carte est donc pas nécessaire.

    Pour moi, le processus est le suivant:

    1. Les détails de la carte etc. et unique de référence de la transaction soumise à la passerelle de paiement.
    2. De la passerelle de paiement répond avec 3D secure détails (ACSURL et des codes de référence).
    3. Rediriger l'utilisateur de 3D Secure forme (passage ref codes et URL de callback) où ils entrent dans leurs détails.
    4. Code de vérification passé à l'URL de callback.
    5. Serveur doit envoyer le code de vérification et de même référence de l'opération à partir de l'étape 1 à la passerelle de paiement.
    6. De la passerelle de paiement répond avec succès/échec de l'information.
    Je voudrais qu'il en a été de même avec Paybox. Nous avons besoin de transmettre l'intégralité des détails de carte de nouveau dans l'autorisation d'appel.

    OriginalL'auteur barrington

  3. -1

    J'ai fait quelques travaux récents avec 3d secure. De mon expérience personnelle:

    1. Je passe les informations de carte de crédit à l'avant d'une url pour les banques
      3d secure url.
    2. L'utilisateur est redirigé vers le 3d secure url et vous êtes invité à taper son mot de passe.
    3. Quand il clique sur continuer, l'utilisateur est transmis à l'url de l'avant avec le jeton d'autorisation -- les informations de carte de crédit est transmis le long ainsi.
    comment pourriez-vous définir le retour d'appel de l'url dans le mobile de domaine? après cliquez sur continuer 3d secure avec impatience le retour d'appel de l'url. alors, comment définir le retour d'appel de l'url à partir de l'appelant android de programmation.

    OriginalL'auteur Federico