Laatst gewijzigd 9/12/2015

2. Algemene procedures en veiligheidsinstellingen

Deze algemene procedures en veiligheidscontroles gelden voor alle DirectLink-verzoeken: nieuwe bestellingsverzoeken, onderhoudsverzoeken en rechtstreekse opvragingen.

2.1 API-gebruiker

Er is een API-gebruiker (Application Program Interface) nodig om DirectLink-verzoeken mee aan te maken.

Dat is een gebruiker die specifiek wordt aangemaakt zodat een toepassing er automatische verzoeken aan het betaalplatform mee kan sturen.

U kunt een API-gebruiker aanmaken in uw Paypage-account via 'Configuratie' > 'Gebruikers'. Kies 'Nieuwe gebruiker' en vul de verplichte velden in.

Om van de nieuwe gebruiker een API-gebruiker te maken, vinkt u het vakje 'Special user for API (no access to admin.)' (Speciale gebruiker voor API (geen toegang tot beheer)) aan.

Een API-gebruiker aanmaken 

Hoewel voor een API-gebruiker de diverse gebruikersprofielen beschikbaar zijn, raden wij u ten zeerste aan deze gebruiker te configureren met het profiel 'Admin'.
Als u de rechten voor het onderhoud van transacties (terugbetalingen, annuleringen enz.) wilt beperken, kunt u het gebruikersprofiel later nog wijzigen, bv. in 'Encoder'.

Als u twijfelt, raden we u aan het profiel 'Admin' te kiezen of de Gebruikersprofielen (User Manager) te bekijken voor meer informatie.

Het wachtwoord van een API-gebruiker hoeft niet regelmatig te worden gewijzigd. Dat is gemakkelijker wanneer het wachtwoord expliciet moet worden opgenomen in de code van uw toepassing. Wij raden u echter aan het wachtwoord van tijd tot tijd te wijzigen.

Meer informatie over soorten gebruikers en hoe u het wachtwoord van de API-gebruiker wijzigt, vindt u in Soorten gebruikers (User Manager).

2.2 Verzoekformulier

Voor nieuwe bestellingsverzoeken, onderhoudsverzoeken en rechtstreekse opvragingen moet u verzoeken met bepaalde parameters naar specifieke URL's sturen. De parameters van uw nieuwe bestelling / onderhoud / opvraging moeten als volgt worden verstuurd in een POST-verzoek:

PSPID=waarde1&USERID=waarde2&PSWD=waarde3&…

Het type/subtype dat het mediatype aangeeft in het veld Content Type in de header van het POST-verzoek, moet 'application/x-www-form-urlencoded' zijn.

DirectLink werkt volgens de modus “één verzoek – één antwoord”: elke betaling wordt afzonderlijk verwerkt. Ons systeem verwerkt individuele transactieverzoeken via DirectLink en kan synchroon werken (als die optie technisch ondersteund wordt). Dat wil zeggen dat we wachten op het antwoord van de bank alvorens een XML-antwoord op het verzoek te sturen.

2.3 Veiligheid

Wanneer wij een verzoek op onze servers ontvangen, controleren wij de versleuteling en het IP-adres van waar het verzoek werd verzonden.

2.3.1 Versleuteling

DirectLink maakt gebruik van een solide, veilig communicatieprotocol. De API is een reeks instructies die worden ingediend met standaard HTTPS POST-verzoeken. Handelaars mogen alleen met ons verbinding maken in beveiligde https-modus.
Aan clientzijde is geen TLS-certificaat nodig.

2.3.2 IP-adres

Voor elk verzoek controleert ons systeem het IP-adres van waar het verzoek afkomstig is om er zeker van te zijn dat de verzoeken worden verzonden vanaf uw server (de server van de handelaar). U moet, op de pagina 'Technical instellingen' van uw account, in het veld IP-adres in de sectie 'Verificatie voor Paypage DirectLink...' van het tabblad 'Verificatie data en herkomst', de IP-adressen of IP-adresbereiken opgeven van de servers die uw verzoeken sturen.

Als het IP-adres van oorsprong niet werd opgegeven in het voorziene veld 'IP-adres', krijgt u de foutboodschap “unknown order/1/i/”. Het IP-adres van waar het verzoek werd verzonden, wordt ook weergegeven in het foutbericht.

2.3.3 SHA-handtekening

De SHA-handtekening werkt volgens het principe dat uw server (de server van de handelaar) voor elke bestelling een unieke tekenreeks aanmaakt, die wordt gehasht met het algoritme SHA-1, SHA-256 of SHA-512. Het resultaat van die hash wordt vervolgens naar ons gestuurd in uw bestellingsverzoek. Ons systeem herberekent die handtekening om de integriteit te controleren van de bestellingsgegevens die we in het verzoek ontvingen.

Meer informatie vindt u in SHA-IN-versleuteling (Paypage e-Commerce-documentatie) - het principe is identiek in e-Commerce- en DirectLink-modus.

Voor DirectLink moet de SHA-IN-wachtzin geconfigureerd worden in de sectie 'Verificatie voor Paypage DirectLink...' van het tabblad 'Verificatie data en herkomst' op de pagina 'Technische instellingen'.

2.4 Verwerking van het antwoord

Wij sturen een XML-antwoord op uw verzoek. Let erop dat uw systemen dit XML-antwoord zo tolerant mogelijk verwerken om later problemen te voorkomen: vermijd hoofdlettergevoelige attribuutnamen, leg geen specifieke volgorde voor de teruggezonden attributen in antwoorden op, zorg ervoor dat nieuwe attributen in het antwoord geen fouten genereren enz.