1. Introductie

Jouw bedrijfscontinuïteit en beveiliging zijn bij Nexi Payengine onze prioriteit. We nemen gegevensbeveiliging en naleving daarom erg serieus. We voeren regelmatig audits en beoordelingen uit om ervoor te zorgen dat onze manier van werken en onze gegevensuitwisseling tussen jou en ons volledig aan alle vereisten voldoet.

Volgens de Payment Card Industry Data Security Standard (PCI DSS) moet elk bedrijf dat creditcardbetalingen accepteert, gegevensbeschermingsbeleid implementeren en de gegevens van kaarthouders beschermen om naleving van PCI te garanderen. Een van de belangrijkste aspecten van de PCI DSS -naleving is ervoor zorgen dat je de POST-methode gebruikt, met de transactiegegevens in de hoofdtekst van het HTTP-betalingsverzoek voor het verzenden van een betalingsverzoek naar een betalingsplatform. Dit is de enige methode die aan PCI voldoet en zorgt ervoor dat je geen gevoelige transactiegegevens van jouw klanten blootgeeft via het internet.

2. Hoe werken de verschillende HTTP-verzoekmethoden?

Alle verzoeken die jouw systeem naar ons platform stuurt, volgen de principes van het Hypertext Transfer Protocol. Het HTTP-protocol omvat verschillende methoden waarmee je dit kunt doen:

  • GET: De betalingsinformatie maakt deel uit van de URL die de gegevens ontvangt
  • POST (De betalingsinformatie maakt deel uit van de URL die de gegevens ontvangt)
  • POST (De betalingsinformatie bevindt zich in de HTML-hoofdtekst)

De enige methode waarbij PCI volledig wordt nageleefd bij het verzenden van betalingsinformatie naar ons platform. is echter POST (De betalingsinformatie bevindt zich in de HTML-hoofdtekst)

Werp een blik op het volgende generieke voorbeeld om te zien hoe deze methode werkt:

<form method="post" action="https://secure.payengine.de/ncol/test/orderdirect_utf8.asp" id=form1 name=form1>
<!-- the HTML form on your checkout page -->

<input type="hidden" name="PSPID" value="">
<input type="hidden" name="ORDERID" value="">
<input type="hidden" name="AMOUNT" value="">
<input type="hidden" name="CURRENCY" value="">

<input type="hidden" name="CARDNO" value="4111111111111111">
<input type="hidden" name="CVC" value="123">
<input type="hidden" name="ED" value="12/36">
<input type="hidden" name="CN" value="John Doe">

<input type="hidden" name="SHASIGN" value="">
<!-- Authentication parameters USERID/PSWD are added to the server code (see below) -->

.
.
.



</form>
<!-- the HTML form on your checkout page -->

Your server code (programming language used here: cURL) sending this HTML form (including authentication parameters userid/pswd) as a POST request
curl -i -X POST -H 'Content-Type: application/x-www-form-urlencoded' -d 
'pspid=<pspid>&orderid=<orderid>&amount=<amount>&currency=<currency>&cardno=<cardno>&cvc=<cvc>&ed=<ed>&cn=<cn>&userid=<userid>&pswd=<pswd>'  https://secure.payengine.de/ncol/test/orderdirect_utf8.asp

Houd hierbij de volgende kenmerken in de gaten:

  • "method" moet POST zijn
  • "action" mag alleen de eindpunt-URL bevatten

Als je met onze oplossing DirectLink werkt, moet je contact opnemen met jouw integrator en doorgeven dat jouw systeem deze correcte verzoekmethode gebruikt.