Proteggi la sicurezza dei dati
1. Introduzione
In Nexi Payengine, la continuità e la sicurezza della tua azienda sono le nostre priorità. Pertanto, prendiamo molto sul serio la sicurezza e la conformità dei dati ed effettuiamo controlli e valutazioni regolari per garantire che il nostro modo di lavorare e scambiare dati tra noi e i nostri utenti sia pienamente conforme.
Secondo gli standard Payment Card Industry Data Security Standard (PCI DSS), qualsiasi azienda che accetta pagamenti con carta deve implementare politiche di protezione dei dati e proteggere i dati dei titolari di carta per garantire la conformità ai PCI. Uno degli aspetti chiave della conformità agli standard PCI DSS è garantire l’utilizzo del metodo POST con i dati delle transazioni nel corpo delle richieste di pagamento HTTP per l’invio di richieste di pagamento a una piattaforma di pagamento. Questo è l’unico metodo conforme ai PCI e garantisce di non esporre i dati sensibili delle transazioni dei clienti su Internet.
2. Comprensione dei diversi metodi di richiesta HTTP
Ogni richiesta inviata dal sistema alla nostra piattaforma segue i principi di Hypertext Transfer Protocol. Il protocollo HTTP incorpora diversi metodi per renderlo possibile:
- GET: le informazioni di pagamento fanno parte dell’URL che riceve i dati
- POST: le informazioni di pagamento fanno parte dell’URL che riceve i dati
- POST: le informazioni di pagamento fanno parte del corpo HTML
Tuttavia, l’unico modo completamente conforme ai PCI per inviare informazioni di pagamento alla nostra piattaforma è POST (le informazioni di pagamento fanno parte del corpo HTML)
Dai un’occhiata a questo esempio generico per capire come funziona questo metodo:
<form method="post" action="https://secure.payengine.de/ncol/test/orderdirect_utf8.asp" id=form1 name=form1>
<!-- the HTML form on your checkout page -->
<input type="hidden" name="PSPID" value="">
<input type="hidden" name="ORDERID" value="">
<input type="hidden" name="AMOUNT" value="">
<input type="hidden" name="CURRENCY" value="">
<input type="hidden" name="CARDNO" value="4111111111111111">
<input type="hidden" name="CVC" value="123">
<input type="hidden" name="ED" value="12/36">
<input type="hidden" name="CN" value="John Doe">
<input type="hidden" name="SHASIGN" value="">
<!-- Authentication parameters USERID/PSWD are added to the server code (see below) -->
.
.
.
</form>
<!-- the HTML form on your checkout page -->
Your server code (programming language used here: cURL) sending this HTML form (including authentication parameters userid/pswd) as a POST request
curl -i -X POST -H 'Content-Type: application/x-www-form-urlencoded' -d
'pspid=<pspid>&orderid=<orderid>&amount=<amount>¤cy=<currency>&cardno=<cardno>&cvc=<cvc>&ed=<ed>&cn=<cn>&userid=<userid>&pswd=<pswd>' https://secure.payengine.de/ncol/test/orderdirect_utf8.asp
Tieni presente i seguenti attributi:
- "method" deve essere POST
- "action" deve contenere solo l’URL dell’endpoint
Se stai lavorando con la nostra soluzione DirectLink, contatta il tuo integratore affinché il tuo sistema utilizzi questo metodo di richiesta corretto.