Laatst gewijzigd 4/08/2016

3. FlexCheckout integreren als een tokenisatie

U kunt FlexCheckout op twee manieren gebruiken:

  1. Door de klant om te leiden naar FlexCheckout
  2. Door FlexCheckout op te nemen in een iframe, zodat klanten op uw pagina blijven en daar ook kan afrekenen

Waarschuwing: We raden u aan om FlexCheckout niet te integreren als pure in-app oplossing, omdat sommige functies niet werken op bepaalde smartphones van het middensegment, maar eerder in een mobiele websiteoplossing met volledige browserfuncties.

Als de klant wordt omgeleid naar FlexCheckout moet hij zijn kaartgegevens invoeren en voor tokenisatie verzenden naar FlexCheckout. Daardoor worden de kaartgegevens nooit via uw eigen webserver verzonden. De URL's voor toegang tot FlexCheckout zijn:

  • Testmodus: https://paypage.test.v-psp.com/Tokenization/HostedPage
  • Productiemodus: https://secure.paypage.be/Tokenization/HostedPage

De FlexCheckout werkt standaard met UTF-8-tekencodering. Wilt u in ISO werken, zorg er dan voor dat de "Karaktercodering" correct is geconfigureerd in uw backoffice: Configuratie > Technische instellingen > Algemene beveiligingsparameters > Hasing-methode.

Als de SHA-handtekening wordt berekend met de ISO-tekencodering moet de merchant dit instellen in het backoffice. Deze instelling valideert de SHA-IN- en de SHA-OUT-handtekening. Ook wordt via deze instelling het URL-coderingsschema ingesteld voor de teruggestuurde parameters.

3.1 Invoervelden

Veld

Omschrijving Formaat Verplicht 
ACCOUNT.PSPID Identificatie van merchant AN, 30 Ja
ALIAS.ALIASID Klantalias AN, 50 Nee
ALIAS.ORDERID Identificatie van bestelling AN, 40 Nee
ALIAS.STOREPERMANENTLY

Geef aan of u een alias tijdelijk of permanent wilt opslaan. De mogelijke waarden zijn:

  • "N": de alias wordt na 2 uur verwijderd
  • "Y": de alias wordt permanent opgeslagen, voor toekomstig gebruik

> Raadpleeg de kader onder deze tabel voor meer informatie.

Als een alias wordt aangemaakt met de N-waarde en de transactie binnen twee uur wordt uitgevoerd, moet deze parameter-waardecombinatie ook zijn opgenomen in de transactie, zodat de alias wordt verwijderd. Als deze parameter-waardecombinatie niet in de transactie is opgenomen, blijft de alias behouden voor toekomstig gebruik.

Y / N Nee
CARD.BIC   Bank Identification Code, alleen gebruikt voor automatische incasso's AN, 8  
CARD. BIN Credit-card-type betaalmethodes AN, 6  
CARD.BRAND

Geef aan welk type formulier moet worden weergegeven

 

> Verplicht als geen "PaymentMethod" is opgegeven

AN, 25 Ja/Nee
CARD.PAYMENTMETHOD

CreditCard of ondersteunde automatische incassomethoden - Geef aan welk type formulier moet worden weergegeven

> Verplicht als geen "Brand" is opgegeven

AN, 26

Ja/Nee
LAYOUT.LANGUAGE Taal die op de pagina wordt gebruikt ("en_EN", "nl_BE", "fr_FR" enz.) AN, 5 Nee
LAYOUT.TEMPLATENAME Inputparameter voor sjabloon. De merchant heeft alleen de naam van de sjabloon nodig und Dateiendung, beispielsweise "new_user.html". AN, 255 Nee
PARAMETERS.ACCEPTURL URL voor omleiding indien succesvol AN, 255 Ja
PARAMETERS.EXCEPTIONURL URL voor omleiding indien mislukt AN, 255 Ja
PARAMETERS.EXCLUDEDPAYMENTMETHODS Lijst van betaalmethoden en/of creditcardmerken die NIET mogen worden getoond. Gescheiden door ';' (puntkomma). AN, 50 Nee
PARAMETERS.PARAMPLUS Pass-Through-veld: Door de merchant te verzenden aanvullende parameters die in de output moeten worden opgehaald AN, 1000 Nee
SHASIGNATURE.SHASIGN Reeks gehasht met behulp van het beveiligde hashalgoritme. AN, 128 Ja
Alias.StorePermanently: Belangrijke opmerkingen
  • Deze parameter mag alleen worden gebruikt in combinatie met Alias Manager. Standaard wordt de alias permanent opgeslagen.
  • Als u een geïntegreerde one-page-checkout gebruikt, adviseren we u met klem om de optie "opt-in/out checkbox" in uw Alias Manager-configuratie, in te schakelen, zodat op de FlexCheckout altijd het selectievakje wordt weergegeven.
  • Als u de "opt-in/out checkbox"-optie in de configuratie van uw Alias Manager heeft ingeschakeld, krijgt dit voorrang op het gebruik van de parameter Alias.StorePermanently.

3.1.1 Controleren op dubbele OrderID

Om te voorkomen dat hackers kaartgegevens vervangen die aan een specifiek token zijn gekoppeld (door de link om het verzoek te activeren vast te krijgen en de kaartgegevens te vervangen door echte kaartgegevens van een echte kaart), controleren we de OrderID (ALIAS.ORDERID) die u in het verzoek verzendt.

Als we constateren dat de OrderID al eens is gebruikt om een token te maken, wordt de alias niet bijgewerkt.

Belangrijk

De controle van de OrderID werkt uiteraard alleen als de OrderID (ALIAS.ORDERID) wordt verzonden. Desondanks is de OrderID alleen niet voldoende; ook de AliasID (ALIAS.ALIASID) moet worden verzonden. Als de AliasID niet wordt verzonden, wordt de controle niet uitgevoerd en wordt een nieuwe alias aangemaakt.

Na detectie van een dubbele OrderID wordt het verzoek geblokkeerd en ziet de klant een algemene foutmelding:

"Bij de verwerking van uw verzoek is een fout opgetreden. Probeer het later opnieuw of neem contact op met uw merchant."

Fouten die worden gegenereerd door een dubbele OrderID kunnen worden vastgesteld als de foutopsporingsmodus in de Foutlogs is geactiveerd (neem hiervoor contact op met ons Customer Care team).

3.2 SHA-handtekening voor invoer

Om de integriteit van de gegevens te controleren, verlangen we dat alle verzoeken vergezeld gaan van een SHA-handtekening, op dezelfde wijze als bij  e-Commerce transacties.

Ons systeem maakt gebruik van het SHA-algoritme zoals gedefinieerd op het tabblad 'Algemene beveiligingsparameters' van de pagina 'Technische informatie'. U kunt dit algoritme altijd weer wijzigen en terugzetten naar SHA-1 of SHA-256.

Voorbeeld

Velden (in alfabetische volgorde):

Parameters.AcceptUrl: https://www.myshop.com/ok.html
Parameters.ExceptionUrl: https://www.myshop.com/nok.html
Account.PspId: test1
Card.Brand:VISA

Geheime wachtzin (zoals gedefinieerd in Technische instellingen): Mysecretsig1875!?

Tekenreeks om te hashen:

ACCOUNT.PSPID=test1Mysecretsig1875!?CARD.BRAND=VISAMysecretsig1875!?PARAMETERS.ACCEPTURL=https://www.myshop.com/ok.htmlMysecretsig1875!?PARAMETERS.EXCEPTIONURL=https://www.myshop.com/nok.htmlMysecretsig1875!?

Resulterende SHA-handtekening (SHA-512):

563DC909F70BA5DDD470D69C1B390E7D1C1C47705AC5801B27038446D7033B5787728EA
754EF72E7FA2436FC5962E34E20DF64E7F9139893A33653F118816818

3.3 Outputvelden

De volgende velden kunnen naar u worden teruggestuurd in verband met de status van de aanmaak/bijwerking van de alias. Om de velden in de feedback op te nemen, moeten ze dienovereenkomstig worden geconfigureerd in de dynamische feedbackparameters (Paypage-account: Configuratie > Technische instellingen > Transactiefeedback > Alias gateway en Tokenization: Dynamische parameters).

De SHASIGN is niet optioneel en wordt daarom altijd teruggestuurd.

Veld Omschrijving Max. Lengte
ALIAS.ALIASID

Door merchant verzonden of door PSP gegenereerde alias (volgens het 32-cijferig GUID-formaat).
Voorbeeld: 34F5302C-85D7-4F35-BDF5-103CCEC2FB61

50
ALIAS.NCERROR Foutcode
50
ALIAS.NCERRORCARDNO
Foutcode voor CARDNO
50
ALIAS.NCERRORCN
Foutcode voor CN
50
ALIAS.NCERRORCVC
Foutcode voor CVC
50
ALIAS.NCERRORED
Foutcode voor ED 50
ALIAS.ORDERID Het unieke identificatienummer van de bestelling. (verzonden door de merchant of gegenereerd door het systeem)
40
ALIAS.STATUS Resultaat van het aanmaken van de alias:
  • 0=OK
  • 1=NOK
  • 2=Alias bijgewerkt
  • 3=Geannuleerd door gebruiker
1
ALIAS.STOREPERMANENTLY

Geeft de keuze aan of de alias tijdelijk (N) of permanent (Y) moet worden opgeslagen.

Wanneer met deze alias een transactie wordt uitgevoerd, moet de merchant deze parameter terugzenden in de opgeslagen ALIASPERSISTEDAFTERUSE. Anders wordt de alias permanent opgeslagen.

1 (Y/N)
CARD.BIC  Bankidentificatiecode, alleen gebruikt voor automatische incasso
8  
CARD.BIN Betaalmethoden met creditcard  6
CARD.BRAND Merk van de betaalmethode 25
CARD.CARDHOLDERNAME Naam van kaarthouder
50
CARD.CARDNUMBER

Kaart met X'en ter vervanging van gevoelige gegevens.

Voorbeeld: XXXXXXXXXXXX1111

Opmerking: Bij een fout wordt ook de kaart gemaskeerd.

35
CARD.CVC

Kaartverificatiecode (Card Verification Code) voor creditcards, met X'en ter vervanging van gevoelige gegevens.

Voorbeeld: XXX

6
CARD.EXPIRYDATE Vervaldatum, bv. 0220 (februari 2020) 4
PARAMPLUS
Pass-Through-veld: gegevens opgegeven in de input
/
SHASIGN

SHA-handtekening voor output

128

De geselecteerde parameters worden toegevoegd aan de in uw verzoek gedefinieerde retour-URL (PARAMETERS.ACCEPTURL of PARAMETERS.EXCEPTIONURL) in verband met de feedback over de bewerking.

3.4 SHA-handtekening voor output

Ons systeem stuurt, op dezelfde wijze als bij e-Commerce-transacties, een SHA-OUT-handtekening terug voor de volgende parameters:

ALIAS.ALIASID

ALIAS.NCERROR

ALIAS.NCERRORCARDNO

ALIAS.NCERRORCN

ALIAS.NCERRORCVC

ALIAS.NCERRORED

ALIAS.ORDERID

ALIAS.STATUS

ALIAS.STOREPERMANENTLY

CARD.BIC

CARD.BIN

CARD.BRAND

CARD.CARDHOLDERNAME

CARD.CARDNUMBER

CARD.CVC

CARD.EXPIRYDATE