På opfordring fra flere brugere, vil vi hos ePay her kommenterer de nye regler fra PBS og dette indlæg.
Nye krav fra PBS betyder at du som butik ikke må sende kritiske kreditkortoplysninger omkring dit eget system før det sendes videre til din betalingsgateway. Dette sker normalt gennem API løsninger (webservices eller lignende).
De nye krav som PBS er kommet med er defineret som:
- POST forward metoder må ikke finde sted (API løsninger).
- Den side hvor kunderne indtaster kreditkortoplysninger på skal være SSL sikret enten ved brug af eget SSL certifikat eller via et SSL certifikat udstedt af en betalingsgatway (relay-script).
ePay overholder disse krav ved at tilbyde 2 måde at integrerer sig med systemet. Den ene er en popup løsning, hvor alle kritiske oplysninger behandles på vores sikkerhedsgodkendte systemer. Den anden løsning er ved at sende data via POST direkte til ePay systemerne, der skal se fra ens egen side (eget layout). Her skal ens egen side dog være SSL sikret via eget SSL certifikat eller ved brug af ePays certifikat (relay-script).
Læs om ePay Standard Betalingsvinduet her:
http://www.epay.dk/support/integration.asp?solution=1.
Læs om egen betalingsformular her (eget layout):
http://www.epay.dk/support/integration.asp?solution=2.
Læs om sikring af egen betalingsformular via ePay SSL certifikat (relay-script) her:
http://www.epay.dk/support/docs.asp?solution=5.
Eftersom disse godkendte teknologier benyttes til de moduler som ePay udvikler til OpenSource systemerne (osCommerce, Joomla / VirtueMart, ZenCart, Magento osv.), opfylder ePay samtlige sikkerhedskrav som PBS har.
En lille note til brugen af et eget SSL certifikat, så kræver PBS nu at hvis denne løsning vælges, skal ens hjemmeside sikkerhedsscannes en gang hvert kvartal. Dette kan dog undgås hvis vores SSL certifikat i stedet benyttes (vores relay-script). Dette certifikat får vi sikkerhedsscannet løbende jævnfør PCI reglerne, som vi er underlagt som betalingsgateway.
En anden kommentar til API løsninger (webservices) tilbyder vi hos ePay mulighed for behandling af betaling gennem webservices (hæve, slette, tilbageføre osv.). Dette er fuldt lovlig jævnfør kravene udstedt af PBS. Her sendes kritiske kreditkortoplysninger ikke over internettet men blot det unikke nummer, der hos ePay identificerer en betaling, der er oprettet via en af de 2 integrationsformer som vi hos ePay tilbyder.
Dvs. bruger du en af ePay løsninger/moduler, uden brug af egen SSL certifikat, skal du ikke foretage dig noget i forbindelse med de nye regler.
Skulle man have behov for uddybende forklaring til de nye regler fra PBS eller kommentarer til ovenstående, må I endelig kontakte os på
info@epay.dk eller telefon: 9813 9040.