Letzte Aktualisierung 2/05/2014

5. Sicherheit: Vor der Zahlung prüfen

5.1 SHA-IN-Signatur

Diese Technik basiert auf dem Prinzip, dass der Server des Händlers für jede Bestellung eine eindeutige Zeichenfolge erzeugt, aus der mittels SHA-Algorithmus ein Hashcode generiert wird. Dieser Hashcode wird in den verborgenen Feldern der Bestellseite des Händlers an uns gesendet. Unser System rekonstruiert die Signatur, um so die Datenintegrität der Bestellung zu überprüfen, die in den verborgenen Feldern an uns gesendet worden ist. SHA-IN wird vom System automatisch eine GUID zugeordnet. Der SHA-Standardalgorithmus für Ihre PSPID ist SHA-512. Bitte ändern Sie diese Konfiguration, wenn Ihr System den SHA-1- oder SHA-256-Algorithmus benötigt.

5.1.1 Generierung einer Zeichenkette

Das Erstellen der Zeichenkette erfolgt durch das Verknüpfen des Inhalts der mit dem Auftrag gesendeten Feldinhalte (alphabetisch sortiert, im Format ‚Parameter=Wert‘), gefolgt durch eine Passphrase. Die Passphrase ist in der Technischen Information des Händlers im Register „Data and Origin Verification“, Abschnitt „Checks for eCommerce“ definiert. Eine vollständige Liste der Parameter, die in den SHA Digest einfließen, finden Sie hier. Bitte achten Sie vor der Hash-Codierung beim Verknüpfen der Werte auf Groß- und Kleinschreibung!

Wichtig

  • Alle Parameter, die Sie senden (und die in der Liste der in die SHA-IN-Berechnung einfließenden Parameter), werden in die Zeichenfolge für das Hashing einbezogen.
  • Alle Parameternamen sollten in GROSSSCHREIBUNG stehen (um Verwirrung durch Groß-/Kleinschreibung vorzubeugen).
  • Alle Parameter müssen in alphabetischer Reihenfolge eingegeben werden.
  • Parameter, die nicht mit einem Wert belegt sind, sollten auch NICHT in die Zeichenfolge für das Hashing einbezogen werden.
  • Bitte beachten Sie, dass einige Sortieralgorithmen Umlaute als Erstes im Alphabet darstellen, und andere als Letztes. Im Zweifel halten Sie sich bitte an die Reihenfolge der SHA Liste.
  • Für zusätzliche Sicherheit bitten wir Sie, in Test- und regulärem Betrieb unterschiedliche SHA-Passwörter zu verwenden.

Bei der Hash-Codierung unter Anwendung des SHA-Algorithmus wird ein hexadezimaler Digest zurückgesandt. Die Länge des SHA Digest beträgt bei SHA-1 40 Zeichen, bei SHA-256 64 Zeichen und bei SHA-512 128 Zeichen. Dieses Ergebnis muss im Rahmen der verborgenen Auftragsfelder mit Hilfe des Datenfeldes “SHASIGN” an das Ingenico ePayments System weitergeleitet werden.

Unser System rekonstruiert die SHA-Zeichenfolge auf Grundlage der empfangenen Parameter und vergleicht den Digest des Händlers mit dem von uns generierten Digest. Ist das Ergebnis nicht identisch, wird der Auftrag abgelehnt. Dieses Prüfverfahren gewährleistet die Richtigkeit und Integrität der Auftragsdaten. 

Sie können Ihren SHASign-Wert hier testen.

Beispiel einer grundlegenden-SHA-1-IN-Berechnung

Parameter (in alphabetischer Folge):

AMOUNT: 15.00 -> 1500
CURRENCY: EUR
LANGUAGE: en_US
ORDERID: 1234
PSPID: MyPSPID

SHA-IN passphrase (in technischer Information):
Mysecretsig1875!?

Gesamte Zeichenkette für die Hash-Codierung:
AMOUNT=1500Mysecretsig1875!?CURRENCY=EURMysecretsig1875!?LANGUAGE=en_USMysecretsig1875!?
ORDERID=1234Mysecretsig1875!?PSPID=MyPSPIDMysecretsig1875!?

Resultierender Digest (SHA-1):
F4CC376CD7A834D997B91598FA747825A238BE0A

Stimmt der SHASIGN-Wert, der in den verborgenen HTML-Feldern mit der Transaktion gesendet wird, nicht mit dem Wert überein, der von uns anhand der Auftragsdetails und der zusätzlichen Zeichenkette (Passwort/Pass-Phrase – s. Bereich „Daten- und Ursprungsüberprüfung“, Abschnitt „Überprüfungen für e-Commerce“, Feld „SHA-IN Signatur“ der Technische Informationen) ermittelt wurde, dann erhalten Sie die Fehlermeldung “unknown order/1/s“.

Enthält das verborgene HTML-Feld “SHASIGN" keine Daten, obwohl im Bereich „Daten- und Ursprungsüberprüfung“, Abschnitt „Überprüfungen für e-Commerce“, Feld „SHA-IN Signatur“ der technischen Informationen eine zusätzliche Zeichenkette (Passwort/Pass-Phrase) eingegeben wurde – die anzeigt, dass Sie mit jeder Transaktion eine SHA-Signatur verwenden möchten – dann erhalten Sie die Fehlermeldung “unknown order/0/s“.

Nachfolgend das verborgene Feld, das zur Übermittlung der SHA-Signatur an unser System verwendet wird:

Feld Anwendung
SHASIGN
Einmalige Zeichenkette zur Prüfung der Auftragsdaten. Die Zeichenkette, die unter Verwendung des SHA-1-Algorithmus verschlüsselt wird, ist immer 40-stellig.

5.2 Referrer

Der Händler muss den Referrer bzw. die URL der Seite eintragen, auf der sich das Bestellformular mit den verborgenen Feldern befindet. Dies geschieht im Bereich “Daten- und Ursprungsüberprüfung“, Abschnitt “Überprüfungen für e-Commerce“ (Feld „URL“) auf der Seite “Technische Informationen” seines Kontos. 

Wichtig

  • Die URL(s) müssen immer mit http:// oder https:// beginnen
  • You can enter the full URL or simply the domain name; Sie können die komplette URL oder einfach den Domainnamen eingeben. Letzteres führt dazu, dass sämtliche Unterverzeichnisse und Seiten dieser Domain akzeptiert werden.
  • Wenn der Händler über mehrere Domains verfügt, können auch mehrere URLs eingegeben werden, z. B. http://www.mysite.com;http://www.mysite.net;http://www.secure.mysite.com. Die einzelnen URLs werden durch Semikolon ohne Leerzeichen vor oder nach dem Semikolon getrennt.
  • Wenn Sie von Ihrer Testseite eine Transaktion vornehmen, denken Sie bitte daran, die URL Ihrer Seite als Referrer einzugeben, weil Sie andernfalls eine Fehlermeldung erhalten
Auch wenn der Referrer unserem System die Identifikation einer Order erlaubt, garantiert dies nicht die Integrität der Daten. Darum verlangt unser System die Verwendung einer SHA-Signatur.

Mögliche Fehlermeldungen im Zusammenhang des Referrers lauten “unknown order/1/r" und “unknown order/0/r”. Informationen zu Fehlermeldungen im Zusammenhang mit der Herkunftsabfrage finden Sie in Mögliche Fehler.

Diese Website verwendet Cookies, um Ihnen die beste Nutzer-Erfahrung zu geben. Wenn Sie Cookies nicht akzeptieren möchten, empfehlen wir Ihnen, Ihre Cookie-Einstellungen zu ändern. Klicken Sie auf "Akzeptieren", um alle Cookies von dieser Website zu ermöglichen.

Cookie-einstellungen

Cookies werden verwendet, um die Webseite zu verbessern und Informationen anzubieten, die für Sie von Interesse sind.

Funktionsbezogene Cookies

Funktionsbezogene Cookies sind für das ordnungsgemäße Funktionieren der Webseite nötig. Diese Cookies können nicht deaktiviert werden.

Optimierte

Optimierungscookies ermöglichen es uns, die Nutzung der Webseite zu analysieren, damit wir unsere Webseite bewerten und verbessern können.
Dies ist der Standardwert.

Personalisierte

Personalisierte Cookies werden für Soziale Medien und die erweiterte Personalisierung verwendet. Sie ermöglichen es uns, Ihnen Informationen bezüglich Ihres Unternehmens zu zeigen.


Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern

Beispiel für eine unerlaubte Funktion

  • Personenbezogene Daten über Ihren Besuch speichern
  • anonymes Tracking über Google Analytics
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern
  • Anonymes Tracking über Google Analytics

Beispiel für eine unerlaubte Funktion

  • Personenbezogene Daten über Ihren Besuch speichern
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unterstützte Funktionen

  • Ländereinstellung speichern
  • Spracheinstellung speichern
  • Anonymes Tracking über Google Analytics
  • Auf Ihre Interessen abgestimmte Inhalte bereitstellen
  • Auf Ihre Interessen abgestimmte Inserate bereitstellen
  • Tracking zum Zweck der Weitervermarktung

Beispiel für unerlaubte Funktionen

  • Personenbezogene Daten speichern