Сравнение версий

Старая версия 2

changes.mady.by.user Неизвестный пользователь (admin)

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Неизвестный пользователь (sd)

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

Чтобы избежать мошеннических действий со стороны третьих лиц необходимо проверять параметр check (цифровая подпись) при обработке запроса от системы РФИПровайдера. Цифровая подпись обеспечивает высокий уровень безопасности, так как использует параметр формируется с использованием secret_key, известный известному лишь Вашему сервису и системе БанкаПровайдера. В случае компрометации данного ключа необходимо сообщить об этом по адресу isupport@rficb.ru.Также необходимо проверять параметр system_income, сверяя его с параметром cost (который Вы передаете нам). Это является сверкой стоимости товара/услуги с уплаченной клиентом суммой. В случае несовпадения этих параметров нужно отказывать покупателю в предоставлении товара/услуги и сообщать о таких случаях по адресу isupport@rficb.ru. secret_key необходимо сообщить об этом Вашему менеджеру или в техническую поддержку.

Если магазин не использует Если Вы не используйте скрипт для обработки запросов от системы, то обязательно указывайте Email при создании сервиса. Так , так как будет необходимо вручную проверять стоимость товара и заплаченную клиентом сумму (она будет указана в электронном письме).

Подписываемые параметры должны быть представлены в urldecoded ­формате. Например, если значение поля name будет на кириллице (что будет довольно часто), то в переменной $_POST[“name”] будет содержаться urlencode($name), в то время как для подписи с нашей стороны используется $name.

Кроме параметров, участвующих в цифровой подписи, на обработчик и страницу успешной покупки приходят параметры phone_number и email ­ , телефон и email пользователя (если Вы сделали обязательным ввод этих данных в настройках сервиса)

Если сумма платежа изменена до входа в нашу систему и скрипт на Вашей стороне её магазина не проверяет подлинность запроса, то возможно мошенничество со стороны недобросовестных пользователей.

Внимание! Чтобы избежать мошеннических действий со стороны третьих лиц при обработке нотификации необходимо проверять параметр :

  • соответствие переданных в нотификации значений параметров и check (цифровая подпись)
и
  • соответствие переданного в нотификации значения system_income и суммы платежа cost указанной при инициализации оплаты.
  • опционально можно проверять и другие параметры переданные при инициацизации оплаты, например order_id, comment.

Указанные проверки обеспечивают сверку при обработке запроса. Цифровая подпись обеспечивает высокий уровень безопасности, так как использует параметр key, известный лишь Вашему сервису и системе РФИ Банка.Также необходимо проверять параметр system_income, сверяя его с параметром cost (который передаете нам). Это является сверкой стоимости товара/услуги с фактически уплаченной клиентом суммой. В случае несовпадения этих параметров нужно отказывать покупателю в предоставлении товара/услуги . При оплате через Терминалы клиент может фактически внести в терминал большую, чем требует сумму. В этом случае system_income будет больше чем cost. То есть правильнее проверять что system_income больше либо равен cost.и сообщать о таких случаях по адресу acq_integration@life-pay.ru


Пример генерации подписи на PHP
(version='1.0'):


1
2
3
4
5
6
7
8
9
10
11
12
13
$data = array(
 'tid'           =>  $_POST['tid'],
 'name'           =>  $_POST['name'], 
 'comment'         =>  $_POST['comment'],
 'partner_id'     =>  $_POST['partner_id'],
 'service_id'     =>  $_POST['service_id'],
 'order_id'       =>  $_POST['order_id'],
 'type'           =>  $_POST['type'],
 'partner_income' =>  $_POST['partner_income'],
 'system_income'   =>  $_POST['system_income'],
 'test'      =>  $_POST['test'],
);
$check = md5(join('', array_values($data)) . 
$
$secret_key);

 

Отображение дочерних