Skip to main content

Zabezpečenie

API Komunikácia

Komunikácia medzi Comgate platobným systémom a e-shopom sa uskutočňuje troma spôsobmi.

  • Serverová časť e-shopového riešenia sa ako klient pripojí k serverovej časti platobnej brány a vyvolá metódy na založenie platby, získanie stavu platby na pozadí, potvrdenie predautorizácie, zrušenie predautorizácie a získanie zoznamu platobných metód.
  • Serverová časť platobnej brány sa ako klient pripojí k serverovej časti e-shopového riešenia a vyvolá metódu na odovzdanie výsledku platby na pozadí.
  • Prehliadač platiteľa (používateľa) je presmerovaný z e-shopu na platobnú bránu a následne z platobnej brány späť do e-shopu.

Vo všetkých troch prípadoch je nevyhnutné použitie šifrovaného protokolu HTTPS. Platobná brána podporuje iba bezpečné nastavenie TLS / SSL protokolu s nasledujúcimi povolenými šiframi: https://github.com/cloudflare/sslconfig/blob/master/conf

V prípade komunikácie server - server je komunikácia zabezpečená pomocou hesla (Secret) a nastavenia IP whitelistu.

Whitelist

Povolené IP adresy je možné zapisovať vo formáte IPv4 alebo IPv4/MASKA. Je povolená vždy jedna hodnota na riadok. Za samotnou definíciou (na koniec riadku) je možné vložiť komentár. Ten je od samotnej hodnoty oddelený aspoň jednou medzerou.

V prípade, že nedokážete určiť rozsah IP adries vášho systému, je možné zadať hodnotu 0.0.0.0/0, čím dôjde k povoleniu adries celého sveta. Toto nastavenie je z hľadiska bezpečnosti rizikové a odporúčame sa mu vyhnúť, ak to nie je nevyhnutne nutné. Nastavenie týchto parametrov je možné vykonať v prostredí klientskeho portálu.

Príklad:

8.8.8.8 IP Google
1.1.1.1 IP cloudflare
8.8.0.0/16 Subnet Google
1.1.1.0/24 Subnet Cloudflare
0.0.0.0/0 Celý internet

Comgate IP rozsahy

Zakladanie platieb je predradené službe CloudFlare. Zoznam povolených IP adries CloudFlare nájdete tu: https://www.cloudflare.com/ips-v4

Rozsah IP adries používaný systémom Comgate je definovaný ako 89.185.236.55/32. Tento rozsah sa používa iba na odovzdanie výsledku platby na pozadí.

Content Security Policy (CSP)

Ak na svojom webe používate hlavičku Content-Security-Policy a chcete zobraziť platobnú bránu Comgate akýmkoľvek spôsobom v iframe na vašej stránke, je nutné do hlavičky CSP pridať špeciálnu direktívu frame-src *;. Táto špecifikuje platné zdroje pre načítanie vnorených kontextov pomocou prvkov ako sú <frame> a <iframe>.

Pri direktíve frame-src nestačí definovať len domény platobnej brány Gomgate. Vždy musia byť explicitne povolené všetky externé kontexty, t.j. *.

Dôvodom pre toto nastavenie je:

  • nutnosť zobraziť stránku s 3D Secure pri platbe kartou za účasti plátca,
  • presmerovanie do webovej aplikácie u niektorých poskytovateľov platobných metód.

Príklad hlavičky CSP:

Content-Security-Policy:
    default-src 'self';
    script-src 'self';
    style-src 'self';
    img-src 'self';
    connect-src 'self';
    form-action 'self';
    frame-src *;
    frame-ancestors 'none';
    upgrade-insecure-requests

Viac informácií o Content Security Policy nájdete na stránkach MDN web docs.

Pre korektné zostavenie hlavičky Content-Security-Policy odporúčame použiť napríklad nástroj Report URI.