Assurer la sécurité des données
1. Introduction
Chez Nexi Payengine, la continuité de vos activités et votre sécurité sont nos priorités. Par conséquent, nous accordons beaucoup d’importance à la sécurité des données et à la conformité. Nous menons des audits et évaluations réguliers pour nous assurer que notre manière de travailler et les échanges de données entre vous et nous sont totalement conformes.
D’après les Payment Card Industry Data Security Standard (PCI DSS)(normes de sécurité des données de l’industrie des cartes de paiement), toute entreprise qui accepte des paiements par carte doit mettre en œuvre des politiques de protection des données et protéger les données des titulaires de cartes afin de garantir la conformité aux exigences PCI. L’un des aspects clés de la conformité PCI DSS consiste à vous assurer que vous utilisez la méthode POST, avec les données relatives aux transactions contenues le corps de la demande de paiement HTTP, pour envoyer les demandes de paiement à une plateforme de paiement. Il s’agit de la seule méthode conforme aux exigences PCI et cela garantit que vous ne dévoilez pas de données sensibles de vos clients relatives aux transactions sur Internet.
2. Comprendre les différentes méthodes de demande HTTP
Toutes les demandes que votre système envoie à notre plateforme suivent les principes de l’Hypertext Transfer Protocol Le protocole HTTP dispose de différentes méthodes pour ce faire :
- GET: Les informations de paiement font partie de l’URL qui reçoit les données
- POST (Les informations de paiement font partie de l’URL qui reçoit les données)
- POST (Les informations de paiement font partie du corps du message HTML)
Cependant, la seule façon d’envoyer des informations de paiement vers notre plateforme qui soit totalement conforme aux exigences PCI est la méthode POST (Les informations de paiement font partie du corps du message HTML)
Regardez cet exemple générique pour comprendre la façon dont cette méthode fonctionne :
<form method="post" action="https://secure.payengine.de/ncol/test/orderdirect_utf8.asp" id=form1 name=form1>
<!-- the HTML form on your checkout page -->
<input type="hidden" name="PSPID" value="">
<input type="hidden" name="ORDERID" value="">
<input type="hidden" name="AMOUNT" value="">
<input type="hidden" name="CURRENCY" value="">
<input type="hidden" name="CARDNO" value="4111111111111111">
<input type="hidden" name="CVC" value="123">
<input type="hidden" name="ED" value="12/36">
<input type="hidden" name="CN" value="John Doe">
<input type="hidden" name="SHASIGN" value="">
<!-- Authentication parameters USERID/PSWD are added to the server code (see below) -->
.
.
.
</form>
<!-- the HTML form on your checkout page -->
Your server code (programming language used here: cURL) sending this HTML form (including authentication parameters userid/pswd) as a POST request
curl -i -X POST -H 'Content-Type: application/x-www-form-urlencoded' -d
'pspid=<pspid>&orderid=<orderid>&amount=<amount>¤cy=<currency>&cardno=<cardno>&cvc=<cvc>&ed=<ed>&cn=<cn>&userid=<userid>&pswd=<pswd>' https://secure.payengine.de/ncol/test/orderdirect_utf8.asp
Veuillez prêter attention aux attributs suivants :
- "method" doit être POST
- "action" doit uniquement contenir l’URL de destination
Si vous travaillez avec notre solution DirectLink, contactez votre intégrateur afin de vous assurer que votre système utilise cette méthode de demande correcte.