Comment mettre en œuvre de 3d secure paiement en toute sécurité
Je me demandais quelle est la meilleure façon d'accepter les paiements par cartes de crédit qui nécessitent 3-D Secure de vérification. Actuellement, la caisse d'écoulement est comme ceci:
- Client soumet le paiement
- De la passerelle de paiement renvoie une erreur indiquant que la carte a besoin de 3-D secure code de traitement. Renvoie l'ACS URL dans la réponse
- Je redirige l'utilisateur à la banque émettrice de la vérification du site et j'ai passer une URL de callback pour l'ACS pour rediriger après l'achèvement de la vérification
- Client passe et code de vérification de l'ACS redirige vers l'URL de callback avec un jeton d'autorisation indiquant succès de vérification
- Pour terminer le processus, j'ai à nouveau la demande d'origine avec le jeton d'autorisation à la passerelle de paiement
Mon problème est lors de l'étape finale. Comme j'ai besoin de soumettre de nouveau la demande d'origine (qui contient les informations de carte de crédit du client), j'ai besoin de le stocker quelque part temporairement afin que je puisse le récupérer lors de l'URL de callback qui est appelée. Est-il une alternative à cela?
Je pense que je vais essayer un iframe solution: La forme originale n'est jamais fermé et j'affiche le processus de vérification dans un iframe. Quand le processus est terminé, c'est à dire l'url de callback est appelé, je me cache dans l'iframe et mise à jour de l'original du formulaire avec les valeurs nécessaires et le soumettre à nouveau. Quelqu'un a déjà essayé cette technique?
OriginalL'auteur Wayne See | 2012-12-07
Vous devez vous connecter pour publier un commentaire.
Comme vous l'avez peut-être déjà remarqué dans l'article lié, banque présentatrice de la page dans un iframe est une option de choix. Bien que si vous lisez en outre, il présente d'autres fonctionnalités de sécurité, particulièrement en ce qui concerne la protection contre le phishing. Parce que votre client ne sait pas à qui est-il vraiment envoyer son mot de passe.
Mais pour en revenir à votre proposition, si vous les présenter dans l'iframe ou une fenêtre pop-up, vous serez en mesure de stocker l'original du formulaire sur votre page de base et renvoyez-le avec reçu le jeton d'authentification. C'est une très bonne idée parce que vous n'auriez pas besoin de faire toute la mise en conformité PCI choses. Ainsi, non seulement il est plus facile pour vous, il est recommandé :).
OriginalL'auteur damiankolasa
Avec Sage Paie (et je suppose que d'autres prestataires de services de paiement), vous n'avez pas besoin de passer toutes les informations de la commande à nouveau dans la dernière étape, juste le code de réponse de la 3D formulaire Sécurisé et un cadre unique de référence de la transaction. Stocker les détails de la carte est donc pas nécessaire.
Pour moi, le processus est le suivant:
OriginalL'auteur barrington
J'ai fait quelques travaux récents avec 3d secure. De mon expérience personnelle:
3d secure url.
OriginalL'auteur Federico