Buckaroo Support
Beveiliging
- Om te zorgen dat Buckaroo de afzender van de transactie kan verifiëren en zeker te zijn dat het bericht onderweg niet is aangepast, maakt Buckaroo gebruik van een digitale handtekening bij elke transactie. Deze handtekening bestaat uit een hash van alle velden uit het bericht, aangevuld met een secret key. De secret key is instelbaar op de Payment Plaza onder Profiel -> Beveiliging.
- Alle websites van Buckaroo beveiligd met een HTTPS certificaat. Hieronder een uitleg over hoe moet worden omgegaan met de overgang van de website van de Merchant naar Buckaroo en visa versa.
- Het aanloggen op de online omgeving kan worden beveiligd met een two factor authentication. Hieronder meer uitleg.
Berekening digitale handtekening
De berekening van de handtekening werkt als volgt:
-
Maak een lijst met alle velden in het payment request beginnend met brq_, add_ of cust_, behalve brq_signature, in het volgende formaat:
brq_veldnaam=Waarde -
Sorteer deze velden op alfabetische volgorde op basis van de veldnaam (brq_amount komt vóór brq_websitekey).
Let op: sortering moet niet-hoofdlettergevoelig gebeuren (brq_active komt vóór BRQ_AMOUNT). Hoofdletters in de veldnamen moeten wel behouden blijven.
Bijvoorbeeld: BRQ_AMOUNT=1.00brq_currency=EURbrq_websitekey=asdfasdfsecret -
Voeg al deze waardes samen, geformateerd zoals genoemd in punt 1, in een string. Gebruik geen scheidingstekens of witruimtes.
Bijvoorbeeld: BRQ_AMOUNT=1.00brq_currency=EURbrq_websitekey=asdfasdfsecretkey - Voeg hier de pre-shared secret-key toe aan het eind van deze string.
- Bereken van deze string een hash met het gekozen (SHA) algoritme. Voer de hash uit in hexadecimaal formaat.
Let op : Bij de return en de push moeten de gegevens volledig ge-decode zijn, voordat de signature kan worden berekend.
Aanwijzing: Het gebruik van het gekozen (SHA) encryptiealgoritme verschilt per ontwikkelplatform. De meeste talen (zoals PHP en ASP.NET) hebben standaard implementaties van het gekozen SHA-algoritme. Voor andere talen als classic ASP zijn op internet implementaties van het gekozen SHA-algoritme te vinden.
Beveilingswaarschuwing HTTPS
Uitleg
De Buckaroo betaalomgeving is in zijn geheel voorzien van SSL certificaten. Dit is zichtbaar aan het "hangslot" dat wordt getoond op de webpagina's en aan de URL die begint met HTTPS in plaats van HTTP. Buckaroo adviseert om zowel de checkout in de webshop als ook de terugkeer pagina op te nemen in een HTTPS beveiligde omgeving. Met deze werkwijze zijn de gegevens onleesbaar wanneer ze op het internet worden onderschept.
Waarschuwing
Wanneer de consument na betaling terugkeert naar de webshop van de Merchant kan een waarschuwing worden weergegeven. De consument wordt dan gewaarschuwd voor een overgang van de beveiligde Buckaroo omgeving naar de onbeveiligde bedankt-pagina van webshop.
Maatregel
Om te voorkomen dat de foutmelding wordt weergegeven is het van belang om de bedankt-pagina te beveiligen met een SSL certificaat. De bedankt-pagina moet dan dus van http://return.merchantnaam.nl worden gewijzigd naar https://return.merchantnaam.nl.
Om te controleren of de return URL werkt, kan deze uit het aanbiedingsbericht aan Buckaroo worden gehaald en in een browser worden geplaatst. Wanneer de URL niet werkt, dient van deze pagina te worden gecontroleerd of deze wel HTTPS is. Vooral bij de Safari browser op het iPAD en iPHONE platform kan een onbeveiligde bedankt-pagina problemen opleveren. Niet in alle gevallen wordt de optie getoond om door te kunnen gaan. Dit leidt tot onafgemaakte betalingen en dus conversie verlies.
Two factor authentication - 2FA
Het is mogelijk om de toegang tot de Buckaroo Payment Plaza door middel van een dubbele authenticatie uit te voeren. Zo kan de gebruiker er zeker van zijn dat niet iedereen zomaar kan inloggen op de Buckaroo Plaza, door alleen de gebruikersnaam en het wachtwoord in te typen. Stel hiervoor, naast de huidige inlog gegevens, ook een extra verificatie via uw telefoon in met de Google Authenticator. Deze kan worden gedownload in de online Apps store van het betreffende telefoontype. Bij twee staps authenticatie moet aan twee van de volgende vormen van authenticatie worden voldaan:
- Iets dat de gebruiker weet (kennis van de login)
- Iets dat de gebruiker bezit (telefoon met authenticatie App)
- Iets dat de gebruiker is (persoonlijke eigenschap, zoals irisherkenning of vingerafdruk)
Stappen voor Authenticatie
- Log in op de Payment Plaza
- Druk op het pijltje achter de loginnaam rechtsboven
- Kies voor Instellingen
- Kies voor Two factor authenticatie instellen (zie afbeelding)
- Scan de QR-code welke zichtbaar wordt (swipe afbeelding)
- Voortaan kan via een automatisch gegenereerde code worden ingelogd op de Buckaroo Plaza
