Přeskočit na hlavní obsah

Zabezpečení

API Komunikace

Komunikace mezi Comgate platebním systémem a e-shopem probíhá třemi způsoby.

  • Serverová část e-shopového řešení se jako klient připojuje k serverové části platební brány a volá metody pro založení platby, získání stavu platby na pozadí, potvrzení předautorizace, zrušení předautorizace a získání seznamu platebních metod.
  • Serverová část platební brány se jako klient připojuje k serverové části e-shopového řešení a volá metodu pro předání výsledku platby na pozadí.
  • Prohlížeč plátce (uživatele) je přesměrován z e-shopu na platební bránu a následně z platební brány zpět do e-shopu.

Ve všech třech případech je nezbytné použití šifrovaného protokolu HTTPS. Platební brána podporuje pouze bezpečné nastavení TLS/SSL protokolu s následujícími povolenými šiframi: https://github.com/cloudflare/sslconfig/blob/master/conf

V případě komunikace server – server je komunikace zabezpečena pomocí hesla (secret) a nastavení IP whitelistu.

Whitelist

Povolené IP adresy je možné zapisovat ve fromátu IPv4 nebo IPv4/MASKA. Je povolena vždy jedna hodnota na řádek. Za samotnou definici (na konec řádku) je možné vložit komentář. Ten je od samotné hodnoty oddělen alespoň jednou mezerou.

V případě, že nedokážete určit rozsah IP adres vašeho systému, je možné zadat hodnotu 0.0.0.0/0, čímž dojde k povolení adres celého světa. Toto nastavení je z hlediska bezpečnosti rizikové a doporučujeme se mu vyhnout, pokud to není nezbytně nutné.

Nastavení těchto parametrů je možné provést v prostředí klientského portálu.

Příklad whitelistu:

8.8.8.8 IP Google
1.1.1.1 IP cloudflare
8.8.0.0/16 Subnet Google
1.1.1.0/24 Subnet Cloudflare
0.0.0.0/0 Celý internet

Comgate IP rozsahy

Zakládaní plateb je předřazena služba Cloudflare. Seznam povolených IP adres Cloudflare naleznete zde: https://www.cloudflare.com/ips-v4

Rozsah IP adres používaný systémem Comgate je definován jako 89.185.236.55/32. Tento rozsah se používá pouze pro předání výsledku platby na pozadí.

Content Security Policy (CSP)

Pokud na vašem webu používáte hlavičku Content-Security-Policy a chcete zobrazovat platební bránu Comgate jakýmkoliv způsobem v iframe na vaší stránce, je nutné přidat do hlavičky CSP speciální direktivu frame-src *;. Ta specifikuje platné zdroje pro načítání vnořených kontextů pomocí prvků jako jsou <frame> a <iframe>.

U direktivy frame-src nestačí definovat pouze domény platební brány Gomgate. Vždy musí být explicitně povoleny všechny externí kontexty, tj. *.

Důvodem pro toto nastavení je:

  • nutnost zobrazit stránku s 3D Secure za účati plátce při platbě kartou,
  • přesměrování do webové aplikace u některých poskytovatelů platebních metod.

Příklad hlavičky CSP:

Content-Security-Policy: 
    default-src 'self'; 
    script-src 'self'; 
    style-src 'self'; 
    img-src 'self'; 
    connect-src 'self'; 
    form-action 'self'; 
    frame-src *; 
    frame-ancestors 'none'; 
    upgrade-insecure-requests

Více informací o Content Security Policy naleznete na stránkách MDN web docs.

Pro korektní sestavení hlavičky Content-Security-Policy doporučujeme použít například nástroj Report URI.