BGsys.dk

[haps]

Vi har i dag modtaget et brev fra Wannafind, som er vores betalingsløsningsleverandør. De skriver at vores webshop kører en såkaldt API-løsning og at man nu skal bruge et betalingsvindue. Jeg fatter minus - vi bruger jo betalingsgatewayen med SSL med HTTPS kald fra shoppen, som er sat op ved brug af vejledning og modullerne fra pbscc 2.5 MS2 contribben. Er det virkelig ikke godt nok mere?

[olby]

[haps]

Hej Olby,

Som altid hurtig og god forklaring - men hold da kæ.. hvor der skal rettes mange shops. Det betyder vel at det ikke bliver muligt at integrere betalingsdelen i shoppens design (øv,øv) og at man skal leve med en pop-up fra ens betalingsgateway-leverandør. Hvordan pokker ændrer man det som dødelig shopejer uden de helt store kompetencer i kodning, således at det bliver lige så nemt at installere som den gode "gamle" pbscc 2.5 MS2 contrib. Er der nogen af de gamle "kode-rotter", som tilpasser det gamle modul, hvis det i det hele taget kan gøres. Der skal jo sendes data tilbage til shoppen om at ordren er OK eller ej. Mit hovede er ikke stort nok til det her...

[agentjensen]

Vi må da håbe, at gatewaene kommer med opdaterede moduler:
Fribetaling, quickpay, epay mfl må jo komme med forslag til hvordan det løses.

Vi bruger jo deres systemer - (de fleste af os)

Det kunne være rigtigt med godt med at denne tråd opdateres med hvilke udbydere der tilbyder moduler der passer tilo de nye bestemmelser, så vi kan se hvem vi evt skal skifte til når vi ikke længere kan bruge det vi gør idag.

Jeg bruger fribetaling og som jeg læser indlægget, er den måde de gør det på ikke længere god nok (juni2009)

/M.

[danauktion]

Hvis du benytter SSL tunnel så behøver du ikke rette kode i Wannafind løsningen.
Hvis der står https://betaling.wannafind.dk/proxy/p.p ... _pbscc.php i adresselinien når du skal indtaste kreditkort oplysninger, så er din løsning en Secureproxy Løsning og alt er i orden iflg. Wannafind.

[dinmc]

...jeg følger spændt med på en lytter - jeg er også Wannafind bruger - og har her til morgen fået brevet om skærpe sikkerhed - jeg går noget kold i specifikationerne på Wannafinds link!!

MVH
Lars

[olby]

Hej danauktion.

Beklager, men det er ikke korrekt.

Hvis du kigger på dit link:

vil du se at du rent faktisk bruger en lokal side, placeret på din server: checkout_pbscc.php

Hvis man gør det, SKAL man igennem de strammede krav med SAQ og kvartalsvise scanninger.

[danauktion]

Hej Olby.
Mit link er på WFs sikre server, som for sin del læser min lokale fil (og stripper koden for evt javascript) - det er vi enige om MEN jeg har fået WF til at gå ind på min butiksside og de siger - efter at have foretaget et testkøb - at jeg IKKE skal ændre noget, da jeg ikke benytter API versionen men derimod deres SSL server til at vise data.
Så her er WF og du ikke helt enige men jeg vil da lige kontakte Daniel fra WF for han ved det om nogen.

[danauktion]

Og så alligevel : check dette cut fra dokuen fra WF:

Payment window is a quick start solution where you don’t have to make lots of adjustments.
Start by setting up a simple postform, and then look at what arguments you can send to the payment window. The window will be able to display your shop logo, total price and order number. You can either choose to open the window in the same window as the shop, or make it open as a popup. The downside about the payment window is that you can't change the design to fit your shop.

Secure SSL proxy is a very different and more time-consuming way to integrate online payment into your shop. The big difference from the payment window is that you are now able to design the layout of your payment page. Please read section 2.1 for more information.

Postform API can only be used by shops that have performed an SAQ, and uploaded quarterly security scans to PBS's security portal. Please be aware that this SAQ only concern API methods that include creditcard information. Section 4.3 and 4.6.


Og beskrivelsen af Secure SSL:

2. Hosted secure SSL proxy
2.1 How Secure SSL proxy works
The payment form has to be displayed through SSL ( HTTPS ). We provide an SSL-Proxy within the paymentgateway product, in case the shop doesn't have its own SSL certificate. Remember that sessions created when the customer is connected to your shop through HTTP, will be lost when data is submitted to the https proxy. To allow a specific domain through the SSL-Proxy, it first has to be allowed in the access list. The access list is located in the paymentgateway webinterface under “Indstillinger / Settings” Relaying the payment form through SSL is done by pasting the payment form URL in front of the SSL-Proxy URL. Example:
SSL-Proxy URL: https://betaling.wannafind.dk/secureproxy/proxy.php/
Webshop URL: http://www.webshop.dk/payform.html
Relay URL: https://betaling.wannafind.dk/securepro ... yform.html


Så udfra dokuen er Secure SSL proxy OK og kræver ikke SAQ som API løsningen.

Secure SSL proxy er dog i denne forbindelse blevet opdateret :

Stripping tags
The big difference between this proxy and the old one is that this proxy will strip tags which can be used to manipulate creditcard data. The following tags and code in between will be stripped from the code that parses through the proxy:
<script>
<object>
<embed>
<applet>
<noframes>
<input>
<select>
<textarea>
<form>
<checkbox>
<frameset>
<iframe>
....
Og derved er sikkerhedsrisikoen ved en Secure SSL løsning fjernet og vil kunne benyttes fremover til PBS's tilfredsstillelse.

[haps]

Py-ha mit hovede er ikke stort nok til dette - tak til Danauktion for deltagelse i søgen for fakta - Daniel B. fra Wannafind plejer at være en kompent herre og det er ham som opdaterer Wannafinds betalingsgateway setup og dokumenter. Hvad er status så nu - vil/orker Olby evt. snakke med Wannafind eller en anden udbyder og få af- eller bekræftet at vores brug af pbscc 2.5 MS2 og HTTPS er OK?

[olby]

Hej danauktion.

Tak for info.
Er det godkendt af PBS?

HVIS PBS og Trustwave godkender dette setup, så gør det visse ting nemmere.
I praksis går PBS efter at få udskiftet alle løsninger, der anvender lokalt hostede filer <punktum>

Jeg er pt. ikke bekendt med deres holdning til forskellige variationer over indholdet af disse sider og måden de kaldes på eller andre scanninger så som McAfee SECURE (HackerSafe) og lignende muligheder.

[olby]

[haps]

Jeg har skrevet til Wannfind for at høre om de vil kommentere tråden - det burde være i alle gateway-udbyderes interesse, så de slipper for at vi alle retter henvendelse individuelt.

[agentjensen]

Og jeg har skrevet til fribetaling - men er da noget i tvivl om deres manglende support vil svare mig

/Michael.

[danauktion]

Jeg har modtaget en mail fra WF om at de desværre har misinformeret mig og at den pågældende (og nuværende) URL ikke overholder kravene fra PBS, men at URLen fra dokuen overholder kravene (https://betaling.wannafind.dk/secureproxy/proxy.php/http://www.mitdomæne.dk/minform.php) men det er ikke gjort med at ændre URLen da formdata nu skal erstattes med placeholders jvfr deres doku.

ØV !

Jeg ændrer min kode så den bruger disse placeholders og den nye URL istedet, da det er en enkel opgave for at se om det så virker uden problemer.