Zabezpečení
API Komunikace
Komunikace mezi Comgate platebním systémem a e-shopem probíhá třemi způsoby.
- Serverová část e-shopového řešení se jako klient připojuje k serverové části platební brány a volá metody pro založení platby, získání stavu platby na pozadí, potvrzení předautorizace, zrušení předautorizace a získání seznamu platebních metod.
- Serverová část platební brány se jako klient připojuje k serverové části e-shopového řešení a volá metodu pro předání výsledku platby na pozadí.
- Prohlížeč plátce (uživatele) je přesměrován z e-shopu na platební bránu a následně z platební brány zpět do e-shopu.
Ve všech třech případech je nezbytné použití šifrovaného protokolu HTTPS. Platební brána podporuje pouze bezpečné nastavení TLS/SSL protokolu s následujícími povolenými šiframi: https://github.com/cloudflare/sslconfig/blob/master/conf
V případě komunikace server – server je komunikace zabezpečena pomocí hesla (secret) a nastavení IP whitelistu.
Pro REST je přidávána hlavička ve tvaru: "Authorization: Basic base64_encode(merchant:secret)
. Merchant je identifikátor e-shopu v systému Comgate - naleznete v Klientském portálu v sekci Nastaveni obchodů - Propojeni obchodu. Secret je heslo.
Whitelist
Povolené IP adresy je možné zapisovat ve fromátu IPv4
nebo IPv4/MASKA
. Je povolena vždy jedna hodnota na řádek. Za samotnou definici (na konec řádku) je možné vložit komentář. Ten je od samotné hodnoty oddělen alespoň jednou mezerou.
V případě, že nedokážete určit rozsah IP adres vašeho systému, je možné zadat hodnotu 0.0.0.0/0
, čímž dojde k povolení adres celého světa. Toto nastavení je z hlediska bezpečnosti rizikové a doporučujeme se mu vyhnout, pokud to není nezbytně nutné.
Nastavení těchto parametrů je možné provést v prostředí klientského portálu.
Příklad whitelistu:
8.8.8.8 IP Google
1.1.1.1 IP cloudflare
8.8.0.0/16 Subnet Google
1.1.1.0/24 Subnet Cloudflare
0.0.0.0/0 Celý internet
Comgate IP rozsahy
Zakládaní plateb je předřazena služba Cloudflare. Seznam povolených IP adres Cloudflare naleznete zde: https://www.cloudflare.com/ips-v4
Rozsah IP adres používaný systémem Comgate je definován jako 89.185.236.55/32
. Tento rozsah se používá pouze pro předání výsledku platby na pozadí.
Content Security Policy (CSP)
Pokud na vašem webu používáte hlavičku Content-Security-Policy
a chcete zobrazovat platební bránu Comgate jakýmkoliv způsobem v iframe na vaší stránce, je nutné přidat do hlavičky CSP speciální direktivu frame-src *;
. Ta specifikuje platné zdroje pro načítání vnořených kontextů pomocí prvků jako jsou <frame>
a <iframe>
.
U direktivy frame-src
nestačí definovat pouze domény platební brány Gomgate. Vždy musí být explicitně povoleny všechny externí kontexty, tj. *.
Důvodem pro toto nastavení je:
- nutnost zobrazit stránku s 3D Secure za účati plátce při platbě kartou,
- přesměrování do webové aplikace u některých poskytovatelů platebních metod.
Příklad hlavičky CSP:
Content-Security-Policy:
default-src 'self';
script-src 'self';
style-src 'self';
img-src 'self';
connect-src 'self';
form-action 'self';
frame-src *;
frame-ancestors 'none';
upgrade-insecure-requests
Více informací o Content Security Policy naleznete na stránkách MDN web docs.
Pro korektní sestavení hlavičky Content-Security-Policy doporučujeme použít například nástroj Report URI.