Чтобы избежать мошеннических действий со стороны третьих лиц необходимо проверять параметр check (цифровая подпись) при обработке запроса от системы РФИ. Цифровая подпись обеспечивает высокий уровень безопасности, так как формируется с использованием secret_key, известному лишь Вашему сервису и системе Банка. В случае компрометации secret_key необходимо сообщить об этом по адресу isupport@rficb.ru.
Если магазин не использует скрипт для обработки запросов от системы, то обязательно указывайте Email при создании сервиса, так как необходимо вручную проверять стоимость товара и заплаченную клиентом сумму (она будет указана в электронном письме).
Подписываемые параметры должны быть представлены в urldecoded формате. Например, если значение поля name будет на кириллице (что будет довольно часто), то в переменной $_POST[“name”] будет содержаться urlencode($name), в то время как для подписи с нашей стороны используется $name.
Кроме параметров, участвующих в цифровой подписи, на обработчик и страницу успешной покупки приходят параметры phone_number и email, телефон и email пользователя (если Вы сделали обязательным ввод этих данных в настройках сервиса)
Если сумма платежа изменена и скрипт на стороне магазина не проверяет подлинность запроса, то возможно мошенничество со стороны недобросовестных пользователей.
Внимание! Чтобы избежать мошеннических действий со стороны третьих лиц необходимо проверять параметр check (цифровая подпись) и system_income при обработке запроса. Цифровая подпись обеспечивает высокий уровень безопасности, так как использует параметр secret_key, известный лишь Вашему сервису и системе РФИ Банка.
При реализации проверок необходимо проверять параметр system_income, сверяя его с параметром cost (который передается на этапе инициализации платежа). Это является сверкой стоимости товара/услуги с уплаченной клиентом суммой. В случае несовпадения этих параметров нужно отказывать покупателю в предоставлении товара/услуги и сообщать о таких случаях по адресу isupport@rficb.ru.