Données de paiement et de payeur
Avant d'envoyer une demande de lancement de transaction, recueillez les informations nécessaires directement auprès du payeur ou de votre système.
Bien que la méthode d'intégration Direct Payment vous permette de créer votre propre page de paiement pour recueillir les données, assurez-vous de procéder comme suit :
- Obtenez les données nécessaires à propos du payeur et de son ordre de paiement.
- Veillez à ce que le payeur vous communique ses coordonnées en toute sécurité sur votre application.
- Incluez toutes les données nécessaires requises par les fonctionnalités de paiement spécifiques et que vous souhaitez utiliser dans la demande.
- Utilisez des identifiants de commande et de transaction significatifs pour suivre la commande et la transaction tout au long du processus de paiement.
Identifiants liés à la demande
Pour identifier la commande et les transactions dans l'ensemble de votre système et auprès de votre processeur de paiement, utilisez les champs suivants :
- ID de commande
- Facultatif : Référence de la commande
- Facultatif : Identifiant de l'acquéreur
- ID de la transaction
Générez ces valeurs en veillant à ce qu'elles soient uniques et, idéalement, en tirant parti des clés naturelles de votre système.
Pour plus d'informations sur chacun de ces identifiants et sur leur utilisation, voir Identifiants. Pour comprendre les commandes et les transactions.
Champs obligatoires pour l'opération de transaction
Pour identifier les champs obligatoires pour une opération de transaction spécifique, voir la Référence de l'API pour cette opération.
Affichage des données du formulaire HTML
Lorsque vous recueillez les données nécessaires auprès du payeur à l'aide de champs de formulaire HTML, vous ne devez pas afficher tous les champs de demande dans le formulaire HTML Veillez à prendre les mesures suivantes :
- Ce qu'il faut afficher.
- Ce qu'il faut calculer dans le code.
- Ce qu'il ne faut pas afficher, même s'il s'agit de champs masqués.
Sécurisation de votre intégration
Pour garantir la sécurité de votre intégration, ne communiquez que le minimum de données à votre payeur. Il est recommandé de n'afficher que les champs de formulaire qui nécessitent une saisie de la part du payeur. Par exemple, les champs d'dresse d'expédition et de facturation, les détails de paiement et les données de carte de crédit. Voici quelques conseils importants pour sécuriser votre intégration :
- N'utilisez jamais les champs masqués du formulaire pour transmettre des informations pertinentes pour le traitement d'une transaction, car le payeur ou une personne mal intentionnée peut modifier ces champs pour traiter des transactions potentiellement frauduleuses. Cela s'applique particulièrement aux champs tels que l'ID du commerçant et le mot de passe de l'API. Vous devez stocker ces valeurs en toute sécurité sur votre serveur. Si un utilisateur frauduleux parvenait à accéder à ces données, votre compte serait susceptible d'être attaqué.
- Calculez toujours le montant de la commande immédiatement avant d'envoyer la demande de transaction. Si vous stockez la valeur dans un champ caché, un payeur frauduleux peut modifier le montant et, sans les contrôles appropriés dans votre intégration, il peut manipuler la transaction. Par exemple, payer uniquement 1 USD au lieu de 100 USD.
- Pour obtenir des exemples de formulaires HTML pour les opérations de base telles que AUTHORIZE (Autoriser), CAPTURE (Collecter), REFUND (Rembourser) et PAY (Payer), voir Téléchargements.
Bien que les formulaires types couvrent de nombreux champs à titre d'exemple, votre intégration ne doit pas exposer tous ces champs, mais uniquement ceux pour lesquels vous avez besoin d'une saisie de la part du payeur.
Transfert de données sécurisé sur votre page de paiement
Les sites Web qui collectent des données sensibles ou confidentielles doivent utiliser TLS pour protéger les données transmises entre le navigateur Internet du payeur et votre application. Lorsqu'un navigateur Internet transmet des données à un serveur Web, tel que votre application Web, l'utilisation TLS sécurise les données et aucun destinataire non intentionnel ne peut pas intercepter ou visualiser les données.
Si vous utilisez la méthode d'intégration Direct Payment, votre application doit présenter au payeur un formulaire sécurisé utilisant TLS pour collecter les données de paiement sensibles. Envisagez également d'utiliser un formulaire sécurisé lorsque vous collectez des informations moins sensibles mais néanmoins confidentielles, telles que les adresses des payeurs.
Plusieurs navigateurs exigent désormais l'utilisation de HTTPS avec des certificats TLS valides pour éviter de présenter des erreurs de sécurité aux clients.