Laatst gewijzigd 22/05/2014

5. Beveiliging: Controle voor de betaling

5.1 SHA-IN-versleuteling

Om de naar ons systeem gestuurde data te controleren (in het geval van e-Commerce de verborgen velden naar de betaalpagina), vereist Paypage de veilige datacontrolemethode SHA. Voor elke bestelling genereert uw server een unieke tekenstring (=digest) die gehasht wordt volgens het SHA-algoritme van uw keuze: SHA-1, SHA-256 of SHA-512. Bij SHA-IN wordt door het systeem automatisch een GUID ingevuld. Het standaard SHA-algoritme van uw PSPID is SHA-512. Wijzig deze configuratie als voor uw systeem het SHA-1- of SHA-256-algoritme is vereist.

Eenzelfde berekening kan worden uitgevoerd na de transactie, om de met de redirectie-URL's teruggestuurde parameters te controleren. Dit heet de SHA-OUT.

5.1.1 De string aanmaken

De string is opgebouwd uit de aaneenschakeling van de waarden van de velden die met de order zijn verzonden (in alfabetische volgorde, met het formaat ‘PARAMETER=waarde’), telkens gevolgd door een "passphrase" (wachtwoordzin). Deze passphrase is gedefinieerd in de "Technische instellingen", onder het tabblad "Verificatie data en herkomst", in het onderdeel "Verificatie voor e-Commerce". De volledige lijst met parameters voor de SHA Digest kunt u hier downloaden. Deze waarden zijn hoofdlettergevoelig wanneer deze uit de string worden opgebouwd voorafgaand aan de hash!

Belangrijk

  • Alle verzonden parameters die verstuurd worden (en die voorkomen in de Lijst met parameters die in de SHA-IN moeten worden opgenomen) moeten in de string aanwezig zijn;
  • Alle parameternamen moeten in HOOFDLETTERS staan
  • Parameters moeten alfabetisch gesorteerd zijn
  • Parameters zonder waarden mogen NIET in de string voorkomen
  • Merk op dat sommige sorteeralgoritmes speciale tekens voor het begin van het alfabet plaatsen, anderen zetten deze aan het eind. In geval van twijfel, hanteer de volgorde zoals omschreven in de SHA-lijst.
  • Voor extra veiligheid vragen we u om verschillende SHA pass phrases te gebruiken in TEST en PROD. 

Wanneer u de met het SHA-algoritme opgebouwde string hasht, zal er een hexadecimale tekenreeks worden aangemaakt. De lengte van de SHA-tekenreeks is 40 tekens voor SHA-1, 64 voor SHA-256 en 128 voor SHA-512. Dit resultaat moet naar ons systeem worden gezonden in uw orderaanvraag, via het veld “SHASIGN”.

Ons systeem stelt de SHA-string opnieuw samen, gebaseerd op de ontvangen parameters en vergelijkt de tekenreeks van de Merchant met onze gegenereerde tekenreeks. Als het resultaat niet gelijk is, zal de order worden geweigerd. Deze controle verzekert nauwkeurigheid en integriteit van de ordergegevens.

U kunt uw SHASIGN hier testen.

Voorbeeld van een SHA-1-IN versleuteling (enkel basis parameters)

Parameters (in alfabetische volgorde):

AMOUNT=1500 (15.00 x100)
CURRENCY=EUR
LANGUAGE=en_US
ORDERID=1234
PSPID=MyPSPID

SHA pass phrase (In Technische instellingen/informatie)
Mysecretsig1875!?

Te hashen string:
AMOUNT=1500Mysecretsig1875!?CURRENCY=EURMysecretsig1875!?LANGUAGE=en_USMysecretsig1875!?
ORDERID=1234Mysecretsig1875!?PSPID=MyPSPIDMysecretsig1875!?

Resultaat (SHA-1):
F4CC376CD7A834D997B91598FA747825A238BE0A

Indien de verzonden SHASIGN (verborgen HTML veld) van de transactie niet overeenstemt met de SHASIGN die door ons gemaakt is met de details van de bestelling en de extra string (wachtwoord/wachtzin) die in het "SHA-IN Versleuteling"-veld in de "Verificatie voor e-Commerce"-sectie in de "Data en herkomst verificatie" tab van de Technische instellingen-pagina ingevoerd werd, zult u “unknown order/1/s" als foutmelding krijgen.

Indien er niets in het “SHASIGN”-veld (verborgen HTML veld) verzonden wordt, hoewel er een extra string (wachtwoord/wachtzin) werd ingegeven in het "SHA-IN Versleuteling" veld in de "Verificatie voor $ecommerce" sectie in de "Data en herkomst verificatie" tab van de Technische instellingen-pagina – waarmee u aangeeft dat u een SHA versleuteling bij elke transactie wenst te gebruiken- zal u de foutmelding “unknown order/0/s" krijgen.

Deze foutmeldingen vindt u in uw account in de Error logs. Meer uitleg vindt u in Mogelijke foutmeldingen.

Het volgende verborgen veld wordt gebruikt om de SHA handtekening naar ons systeem te zenden:

Veld Omschrijving
SHASIGN
Unieke tekenreeks om de bestelgegevens te valideren. Een string gehashed met het SHA-1 algoritme is altijd 40 tekens lang.

5.2 Referrer

Naast de SHA-controle, kunt u ook de zogenaamde Referrer (herkomst)-controle instellen. Met deze instelling controleert ons systeem de herkomst van een transactieverzoek, d.i. de URL van waar het verzoek komt. Op die manier kunnen ongeautoriseerde URL's (die dus niet geconfigureerd zijn in uw account) de betaalpagina niet aanroepen.

U dient de URL('s) van de pagina('s), die het bestelformulier met de verborgen velden bevat, in te voeren in uw account via "Technische instellingen" > tabblad "Verificatie data en herkomst" > sectie "Verificatie voor e-Commerce".

Belangrijk

  • De URL('s) moet(en) altijd beginnen met http:// of https://
  • U kunt de volledige URL of gewoon de domeinnaam invoeren; als u de domeinnaam invoert, worden alle submappen en pagina's van dat domein aanvaard.
  • Als u verschillende domeinen hebt, kunt u meerdere URL's invoeren, bijvoorbeeld http://www.mysite.com;http://www.mysite.net;http://www.secure.mysite.com. De URL's moeten worden gescheiden door een puntkomma, zonder spaties vóór of na de puntkomma.
  • Als u vanuit onze testpagina een testtransactie uitvoert, vergeet dan niet om de URL van onze site in te voeren als een verwijzer, anders krijgt u een foutbericht.
Hoewel ons systeem aan de hand van de referrer de oorsprong van een bestelling kan identificeren, garandeert dit niet de integriteit van de gegevens.

Mogelijke gerelateerde foutmeldingen zijn "unknown order/1/r" en "unknown order/0/r". Ga naar Mogelijke foutmeldingen voor meer informatie over deze en andere foutmeldingen.