Zabezpečenie
API Komunikácia
Komunikácia medzi Comgate platobným systémom a e-shopom sa uskutočňuje troma spôsobmi.
- Serverová časť e-shopového riešenia sa ako klient pripojí k serverovej časti platobnej brány a vyvolá metódy na založenie platby, získanie stavu platby na pozadí, potvrdenie predautorizácie, zrušenie predautorizácie a získanie zoznamu platobných metód.
- Serverová časť platobnej brány sa ako klient pripojí k serverovej časti e-shopového riešenia a vyvolá metódu na odovzdanie výsledku platby na pozadí.
- Prehliadač platiteľa (používateľa) je presmerovaný z e-shopu na platobnú bránu a následne z platobnej brány späť do e-shopu.
Vo všetkých troch prípadoch je nevyhnutné použitie šifrovaného protokolu HTTPS. Platobná brána podporuje iba bezpečné nastavenie TLS / SSL protokolu s nasledujúcimi povolenými šiframi: https://github.com/cloudflare/sslconfig/blob/master/conf
V prípade komunikácie server - server je komunikácia zabezpečená pomocou hesla (Secret) a nastavenia IP whitelistu.
Pre REST je pridávaná hlavička v tvare: "Authorization: Basic base64_encode(merchant:secret)
". Merchant je identifikátor e-shopu v systéme Comgate - nájdete v Klientskom portáli v sekcii Nastavenie obchodov - Prepojenie obchodu. Secret je heslo.
Whitelist
Povolené IP adresy je možné zapisovať vo formáte IPv4
alebo IPv4/MASKA
. Je povolená vždy jedna hodnota na riadok. Za samotnou definíciou (na koniec riadku) je možné vložiť komentár. Ten je od samotnej hodnoty oddelený aspoň jednou medzerou.
V prípade, že nedokážete určiť rozsah IP adries vášho systému, je možné zadať hodnotu 0.0.0.0/0
, čím dôjde k povoleniu adries celého sveta. Toto nastavenie je z hľadiska bezpečnosti rizikové a odporúčame sa mu vyhnúť, ak to nie je nevyhnutne nutné.
Nastavenie týchto parametrov je možné vykonať v prostredí klientskeho portálu.
Príklad:
8.8.8.8 IP Google
1.1.1.1 IP cloudflare
8.8.0.0/16 Subnet Google
1.1.1.0/24 Subnet Cloudflare
0.0.0.0/0 Celý internet
Comgate IP rozsahy
Zakladanie platieb je predradené službe CloudFlare. Zoznam povolených IP adries CloudFlare nájdete tu: https://www.cloudflare.com/ips-v4
Rozsah IP adries používaný systémom Comgate je definovaný ako 89.185.236.55/32
. Tento rozsah sa používa iba na odovzdanie výsledku platby na pozadí.
Content Security Policy (CSP)
Ak na svojom webe používate hlavičku Content-Security-Policy
a chcete zobraziť platobnú bránu Comgate akýmkoľvek spôsobom v iframe na vašej stránke, je nutné do hlavičky CSP pridať špeciálnu direktívu frame-src *;
. Táto špecifikuje platné zdroje pre načítanie vnorených kontextov pomocou prvkov ako sú <frame>
a <iframe>
.
Pri direktíve frame-src
nestačí definovať len domény platobnej brány Gomgate. Vždy musia byť explicitne povolené všetky externé kontexty, t.j. *.
Dôvodom pre toto nastavenie je:
- nutnosť zobraziť stránku s 3D Secure pri platbe kartou za účasti plátca,
- presmerovanie do webovej aplikácie u niektorých poskytovateľov platobných metód.
Príklad hlavičky CSP:
Content-Security-Policy:
default-src 'self';
script-src 'self';
style-src 'self';
img-src 'self';
connect-src 'self';
form-action 'self';
frame-src *;
frame-ancestors 'none';
upgrade-insecure-requests
Viac informácií o Content Security Policy nájdete na stránkach MDN web docs.
Pre korektné zostavenie hlavičky Content-Security-Policy odporúčame použiť napríklad nástroj Report URI.