Jak bezpiecznie zrealizować 3d bezpieczne płatności

Question

Zastanawiam się, jaki jest najlepszy sposób akceptowania płatności z kart kredytowych, które wymagają weryfikacji 3-D Secure. Obecnie przepływ Zamówienie jest tak:

1. Klient składa tantiemy
2. brama Płatność zwraca błąd stwierdzając, że karta wymaga 3-D przetwarzanie bezpiecznego kodu. Zwraca ACS URL w odpowiedzi
3. przekierować użytkownika do strony weryfikacji banku emisyjnego i mijam URL wywołania zwrotnego dla ACS przekierować po zakończeniu weryfikacji
4. klienta wchodzi kod weryfikacyjny i ACS przekierowuje do adresu zwrotnego ze związkiem tokenu autoryzacji wskazując udanej weryfikacji
5. aby zakończyć proces, muszę ponownie zgłosić pierwotnego wniosku z tokenem autoryzacji do bramki płatności

Mój problem jest w końcowym etapie. Ponieważ muszę ponownie przesłać pierwotne żądanie (które zawiera informacje o karcie kredytowej klienta), muszę go gdzieś tymczasowo przechowywać, aby móc je odzyskać po wywołaniu wywołania zwrotnego adresu URL. Czy istnieje alternatywa dla tego?

Mam na myśli wypróbowanie rozwiązania iframe: Oryginalny formularz nigdy nie jest zamknięty, a proces weryfikacji jest wyświetlany w elemencie iframe. Po zakończeniu procesu, tj. Wywołaniu adresu URL wywołania zwrotnego, ukrywam element iframe i aktualizuję oryginalny formularz z wymaganymi wartościami i ponownie przesyłam. Czy ktoś wcześniej próbował tej techniki?

---

Answer 1

Jak już zauważyłeś w artykule, który łączyłeś, preferowaną opcją jest prezentacja strony banku w elemencie iframe. Chociaż czytasz dalej, przedstawia ona inne funkcje bezpieczeństwa, szczególnie w odniesieniu do ochrony przed phishingiem. Ponieważ twój klient nie będzie wiedział, komu naprawdę wysyła swoje hasło.

Ale wracając do Twojej propozycji, jeśli zaprezentujesz ją w elemencie iframe lub oknie wyskakującym, będziesz mógł zapisać oryginalny formularz na stronie bazowej, a następnie ponownie przesłać go z otrzymanym tokenem uwierzytelniania. To bardzo dobry pomysł, ponieważ nie trzeba robić żadnych rzeczy zgodnych z PCI. Więc nie tylko jest to dla Ciebie łatwiejsze, polecam :).

Answer 2

Zrobiłem kilka ostatnich prac z 3d bezpieczne. Z mojego osobistego doświadczenia:

1. przekazać informacje o karcie kredytowej z przodu URL do banków 3d bezpieczne URL.
2. Użytkownik zostaje przekierowany do bezpiecznego adresu URL 3d i poprosił o wpisanie swojego hasła.
3. Po kliknięciu przycisku kontynuacji użytkownik jest przekazywany do adresu docelowego z tokenem autoryzacyjnym - informacje o karcie kredytowej również są przekazywane.

Answer 3

Dzięki Sage Pay (i zakładam, że inni dostawcy usług płatniczych) nie trzeba ponownie podawać w kolejnym kroku pełnej informacji o zamówieniu, tylko kod odpowiedzi z formularza 3D Secure i niepowtarzalny numer referencyjny transakcji. Przechowywanie danych karty nie jest zatem konieczne.

Dla mnie jest to proces:

1. Card itp i wyjątkowy odniesienie transakcja przedłożony bramki płatności.
2. Bramka płatności reaguje na dane 3D bezpieczne (ACSURL i kody referencyjne).
3. Przekieruj użytkownika do formularza 3D Secure (przekazując kody ref i URL wywołania zwrotnego), w którym wprowadza dane.
4. Kod weryfikacyjny przekazywany z powrotem do adresu zwrotnego adresu URL.
5. Serwer musi wysłać kod weryfikacyjny i ten sam numer referencji transakcji od kroku 1 do bramy płatności.
6. Bramka płatności odpowiada informacją o sukcesie/niepowodzeniu.