Ultima actualización 19/11/2015

2. Configuración de seguridad y procedimientos generales

Los siguientes procedimientos generales y controles de seguridad son válidos para solicitudes de DirectLink: nuevas solicitudes de pedidos, solicitudes de mantenimiento y consultas directas.

2.1 Usuario API

Para realizar solicitudes con DirectLink, se requiere un usuario de interfaz de programación de aplicaciones (API, Application Program Interface).

En general, se trata de un usuario diseñado de forma específica para que la aplicación lo utilice para realizar solicitudes automáticas a la plataforma de pago.

Puede crear un usuario API en su cuenta de Ingenico ePayments a través de "Configuración" > "Usuarios". Seleccione "Nuevo usuario" y complete los campos necesarios.

Para convertir al nuevo usuario en un usuario API, asegúrese de habilitar la casilla "Usuario Especial para el API (sin acceso a admin.)".

Creación de un usuario API 

Aunque un usuario API disponga de diversos perfiles de usuario, recomendamos encarecidamente que configure este usuario con el perfil "Admin" (Administración).
Si desea limitar los derechos para el mantenimiento de transacciones (reembolsos, cancelaciones, etc.), puede seguir cambiando el perfil de usuario a, por ejemplo, "Codificador".

Si no está seguro, es recomendable que seleccione el perfil "Admin"; si no, vaya aPerfiles de usuario (Administrador de usuarios) para obtener más información.

La contraseña de un usuario API no tiene que cambiarse de forma regular. Es más cómodo cuando la contraseña debe modificarse en su aplicación. No obstante, recomendamos que cambie la contraseña de vez en cuando.

Si desea más información sobre tipos de usuario y cómo cambiar la contraseña del usuario API, vaya a Tipos de usuario (Administrador de usuarios).

2.2 Formulario de solicitud

Para nuevas solicitudes de pedido, solicitudes de mantenimiento y consultas directas, debe enviar las solicitudes con determinados parámetros a las URL específicas. Los parámetros de nuevo pedido/mantenimiento/consulta deben enviarse en una solicitud POST de la siguiente forma:

PSPID=value1&USERID=value2&PSWD=value3&…

El tipo/subtipo que indica el tipo de medio en el campo Content-Type entity-header de la solicitud POST debe ser "application/x-www-form-urlencoded".

DirectLink funciona en modo “una solicitud-una respuesta”. Cada pago se procesa de forma individual. Nuestro sistema gestiona las solicitudes de transacción individuales a través de DirectLink y puede funcionar de forma sincrónica. (donde está opción es compatible desde un punto de vista técnico). Por ejemplo, esperamos la respuesta del banco antes de devolver una respuesta XML para la solicitud.

2.3 Seguridad

Cuando recibimos una solicitud en nuestros servidores, comprobamos el nivel de cifrado y la dirección IP desde la que se envió la solicitud.

2.3.1 Cifrado

DirectLink se basa en un protocolo sólido de comunicación segura. DirectLink El API de lote es un conjunto de instrucciones enviadas con solicitudes HTTPS POST estándar.

En el extremo del servidor, usamos un certificado proporcionado por Verisign. El cifrado TLS garantiza que se comunica con nuestros servidores y que sus datos se transmiten de forma cifrada. No es necesario un certificado TLS de cliente.

Cuando recibimos una solicitud, comprobamos el nivel de cifrado. Permitimos a los comerciantes que se pongan en contacto con nosotros solo mediante el modo https seguro, usando protocolos TLS y recomendamos encarecidamente utilizar las versiones más recientes y seguras, que actualmente son TLS 1.1 y 1.2.

Nota: En este momento, seguimos siendo compatibles con SSL v3. No obstante, debido a determinadas vulnerabilidades, este protocolo se está quedando anticuado y con el tiempo dejará de ser compatible.

2.3.2 Dirección IP

Con cada solicitud, nuestro sistema comprueba la dirección IP en la que se originó la solicitud para garantizar que las solicitudes se están enviando desde el servidor del comerciante. En el campo Dirección IP de la sección "Comprobaciones de DirectLink" de la pestaña "Verificación de datos y origen" de la página Información técnica de la cuenta, debe especificar la dirección o las direcciones IP o el rango o rangos IP de los servidores que envíen sus solicitudes.

Si la dirección IP de origen no se ha declarado en el campo de dirección IP correspondiente, recibirá el mensaje de error “pedido desconocido/1/i”. La dirección IP desde la que se envió la solicitud también aparecerá en el mensaje de error.

2.3.3 Firma SHA

La firma SHA se basa en el principio del servidor del comerciante que genera una cadena de caracteres única para cada pedido, generando un hash con algoritmos SHA-1, SHA-256 o SHA-512. El resultado de este hash se nos envía más adelante en su solicitud de pedido. Nuestro sistema reconstruye esta firma para comprobar la integridad de los datos del pedido que se nos han enviado en la solicitud.

Vaya a Firma SHA-IN (documentación de Ingenico ePayments e-Commerce). El principio es el mismo en modo e-Commerce y DirectLink.

Para DirectLink, la frase de contraseña SHA-IN debe configurarse en la sección "Comprobaciones de DirectLink" en la pestaña "Verificación de datos y origen" de su página Información técnica.

2.4 Análisis de respuesta

Devolveremos una respuesta XML a su solicitud. Asegúrese de que sus sistemas analizan esta respuesta XML con la mayor tolerancia posible para evitar problemas en el futuro. Por ejemplo, evitar nombres de atributos que distinguen mayúsculas de minúsculas, no formular un orden específico para los atributos devueltos en respuestas, garantizar que los nuevos atributos de la respuesta no causen problemas, etc.

Este sitio web utiliza cookies para poder darle la mejor experiencia de usuario. Si usted no desea aceptar estas cookies, permitimos que cambie la configuración de cookies. Haga clic en "Aceptar" para permitir todas las cookies de este sitio web.

Ajustes de cookies

Introducción

Funcional

Cookies funcionales son necesarios para el sitio web funcione correctamente. Estas cookies no se pueden desactivar.

Optimizado

Cookies de optimización nos permiten analizar el uso del sitio para que podamos medir y mejorar nuestro sitio web.
Este es el nivel predeterminado.

Personalizado

Cookies de personalización se utilizan para los medios sociales y la personalización antelación. Ellos nos permiten mostrarle información relacionada con su empresa. 


Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma

Ejemplo de funcionalidad no permitido

  • Guardar los datos personales
  • Seguimiento anónimo a través de Google Analytics
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad permitida

  • Tienda preferencia país
  • Tienda preferencia de idioma
  • Seguimiento anónimo a través de Google Analytics
  • Servir contenido relevante a sus intereses
  • Servir anuncios relevantes para sus intereses
  • Seguimiento para fines de marketing

Ejemplo de funcionalidad no permitido

  • Guardar los datos personale