Beveiliging

      Beveiliging


        Article Summary

        • Om te zorgen dat Buckaroo de afzender van de transactie kan verifiëren en zeker te zijn dat het bericht onderweg niet is aangepast, maakt Buckaroo gebruik van een digitale handtekening bij elke transactie. Deze handtekening bestaat uit een hash van alle velden uit het bericht, aangevuld met een secret key. De secret key is instelbaar op de Payment Plaza onder Instellingen -> Beveiliging.

        • Alle websites van Buckaroo beveiligd met een HTTPS certificaat. Hieronder een uitleg over hoe moet worden omgegaan met de overgang van de website van de Merchant naar Buckaroo en visa versa.

        • Het aanloggen op de online omgeving kan worden beveiligd met een two factor authentication.

        Berekening digitale handtekening

        De berekening van de handtekening werkt als volgt:

        1. Maak een lijst met alle velden in het payment request beginnend met brq_, add_ of cust_, behalve brq_signature, in het volgende formaat:
          brq_veldnaam=Waarde

        2. Sorteer deze velden op alfabetische volgorde op basis van de veldnaam (brq_amount komt vóór brq_websitekey).
          Let op: sortering moet niet-hoofdlettergevoelig gebeuren (brq_active komt vóór BRQ_AMOUNT). Hoofdletters in de veldnamen moeten wel behouden blijven.

        3. Voeg al deze waardes samen, geformateerd zoals genoemd in punt 1, in een string. Gebruik geen scheidingstekens of witruimtes.

        4. Voeg hier de pre-shared secret-key toe aan het eind van deze string.
          Bijvoorbeeld: BRQAMOUNT=1.00brqcurrency=EURbrq_websitekey=asdfasdfsecretkey

        5. Bereken van deze string een hash met het gekozen (SHA) algoritme. Geef de waarde van de hash in hexadecimaal formaat.

        Let op

        Bij het verifiëren van een handtekening, dienen eerst alle veldwaarden gedecodeerd te worden (alleen als het gebruikte programmeerplatform dit niet automatisch doet). Een handtekening wordt altijd berekend over de niet-gecodeerde waarden (d.w.z. de waarde “J.+de+Tester” moet worden gedecodeerd naar “J. de Tester”). Als er een probleem optreedt bij het coderen en decoderen van de waarden, vink dan de optie ‘Activeer dubbel encodering op redirect’ aan om de manier te wijzigen waarop de data van het Buckaroo-systeem naar uw website worden gecodeerd

        Het gebruik van het gekozen (SHA) encryptiealgoritme verschilt per ontwikkelplatform. De meeste talen (zoals PHP en ASP.NET) hebben standaard implementaties van het gekozen SHA-algoritme. Voor andere talen als classic ASP zijn op internet implementaties van het gekozen SHA-algoritme te vinden.

        Beveilingswaarschuwing HTTPS

        Uitleg

        De Buckaroo betaalomgeving is in zijn geheel voorzien van SSL certificaten. Dit is zichtbaar aan het "hangslot" dat wordt getoond op de webpagina's en aan de URL die begint met HTTPS in plaats van HTTP. Buckaroo adviseert om zowel de checkout in de webshop als ook de terugkeer pagina op te nemen in een HTTPS beveiligde omgeving. Met deze werkwijze zijn de gegevens onleesbaar wanneer ze op het internet worden onderschept.

        Waarschuwing

        Wanneer de consument na betaling terugkeert naar de webshop van de Merchant kan een waarschuwing worden weergegeven. De consument wordt dan gewaarschuwd voor een overgang van de beveiligde Buckaroo omgeving naar de onbeveiligde bedankt-pagina van webshop.

        Maatregel

        Om te voorkomen dat de foutmelding wordt weergegeven is het van belang om de bedankt-pagina te beveiligen met een SSL certificaat. De bedankt-pagina moet dan dus van http://return.merchantnaam.nl worden gewijzigd naar https://return.merchantnaam.nl.
        Om te controleren of de return URL werkt, kan deze uit het aanbiedingsbericht aan Buckaroo worden gehaald en in een browser worden geplaatst. Wanneer de URL niet werkt, dient van deze pagina te worden gecontroleerd of deze wel HTTPS is. Vooral bij de Safari browser op het iPad en iPhone platform kan een onbeveiligde bedankt-pagina problemen opleveren. Niet in alle gevallen wordt de optie getoond om door te kunnen gaan. Dit leidt tot onafgemaakte betalingen en dus conversie verlies.


        Was dit artikel nuttig?

        What's Next