Перейти до основного вмісту

Безпека

Підписи API-запитів

Запити до Financial Line API повинні містити підписи. Це дозволяє ідентифікувати мерчанта та забезпечити автентичність та цілісність даних. Під час використання підписів в запитах значення хедеру X-API-AUTH повинно містити назву відповідного алгоритму формування підпису.

Значення підписів вводяться із урахуванням регістру (мають бути в нижньому регістрі Hex).

  • Для підписання необхідно використовувати алгоритм HMAC-SHA1
    Автентифікаційний хедер: X-API-AUTH: CPAY-HMAC ${API_KEY}:${SIGNATURE}

Зразок підпису:

SECRET=changeme # replace with ${API_SECRET}
DATA='{"name":"Joe","age":20}' # replace with raw request
SIGNATURE=$(echo -n "$DATA" | openssl sha1 -hmac "$SECRET")
echo "$SIGNATURE"
# Expected signature
48731878acbb41e6ee70eac5f1e6f8b8031f9484

Використання HTTPS-протоколу

Для приймання платежів ваші сайти повинні підтримувати HTTPS-протокол.

Використання протоколу 3DS

Financial Line підтримує безпековий протокол 3DS (3-Domain Secure) версії 2.1, що забезпечує додатковий рівень захисту даних платіжних карток та знижує ймовірність проведення шахрайських операцій.

Проходження 3D Secure передбачає для платника додатковий крок на етапі оплати — підтвердження оплати. А саме: на автентифікаційний сторінці банку платникові необхідно ввести одноразовий код, отриманий в SMS, або підтвердити платіж у мобільному застосунку свого банку.

Керування 3D Secure протоколом відбувається через параметр order_3ds_bypass. Допустимими його значеннями є:

supported (базове налаштування) — залежить від підтримки 3D Secure протоколу самою платіжною системою.

always — платіж буде проведено з використанням 3D Secure протоколу.

never — платіж буде проведено без використання 3D Secure протоколу.

Важливо

Без додаткових налаштувань та перевірок мерчанти можуть використовувати лише supported та always значення. Щоб мати можливість проводити платежі з опцією never, зверніться до Служби підтримки Financial Line.