סליקה ישירות מהאתר

ש.ב.ח.

שלום וברכה

אני מעוניין ליצור טופס להזנת פרטי האשראי וליצור סליקה
מה אני צריך לבצע (חוץ מליצור טופס)?
דרך איזה ממשק API ניתן לעשות זאת?
מה לגבי אבטחה?

חוקר

@ש-ב-ח
מי ספק הסליקה שלך? או שעדיין אין לך? (א"כ הייתי ממליץ על נדרים פלוס, אני משתמש איתו ומאוד מרוצה).
יש לו API? אולי יש לו גם איפריימים או רדיירקטים.
איך אתה מתכנן לבצע את הסליקה מול השרת?

מנצפך

@חוקר תעבוד עם iframe או redirect.
אל תסתבך עם זה. אלא"כ יש לך סיבה ממש טובה.

לא ידוע לי שיש לנדרים כזה.

אם אתה מעביר את זה בשרת שלך אתה צריך לדאוג לאבטחת השרת.

ש.ב.ח.

@חוקר
אין לי עדיין ספק
אני רוצה להעביר את פרטי הכרטיס והעסקה דרך טופס שלי דווקא
בלי אייפרמים ובלי וכו'

איזה אבטחה צריך?
ומי נותן API לכזה דבר?

מנצפך

@ש-ב-ח מה הכוונה טופס שלך?
אתה יודע מה זה Iframe שזה לא טוב לך?

API יש כאמור לנדרים (אני אישית עובד איתו).
ולעוד המון חברות.
פלארקד טרנזילה ועוד.
אם אתה רוצה לחו"ל, יש חברות גם שם שאני יכול להפנות אותך (עמלות בשמיים)

ש.ב.ח.

@מנצפך
אני יודע מה זה iframe
ראשית ברוב המקרים יש מגבלות בעיצוב שהחברה נותנת לך להתערב (כי הם נותנים רק css)

שנית אני מעוניין לבצע את זה עם ajax

חוקר

לא בדקתי בנדרים האם זה יעבוד בAJAX, יכול להיות שיהיו בעיות עם Access-Control-Allow-Origin
אך יש להם משהו חדש לאחרונה שעובדים עם זה גם חברות מצינג שסולקים לנדרים, (ישנם כמה חברות) שיש להם הטמעה מיוחדת של טופס סליקה של נדרים שהוא כעין איפראיים עם עיצוב משלך, משהו כזה.
כדאי לבדוק מולם בשירות

avr416

@ש-ב-ח אמר בסליקה ישירות מהאתר:

@חוקר
אין לי עדיין ספק
אני רוצה להעביר את פרטי הכרטיס והעסקה דרך טופס שלי דווקא
בלי אייפרמים ובלי וכו'

איזה אבטחה צריך?
ומי נותן API לכזה דבר?

צריך לעשות הסמכת Pci, זה עולה כמה עשרות אלפי שקלים למיטב ידיעתי..
אחרת אתה עובר על החוק וחשוף לתביעות.
אל תעשה את זה!
תשתמש בredirect או iframe.
בפלאקרד נותנים לך להוסיף קובץ css משלך, ובו אתה יכול לעשות ככל העולה על רוחך, אם רק תלמד קצת css.
אפשר להשתמש ב after או before כדי להסתיר את הכפתור שלהם ולכתוב תוכן אחר ועוד הרבה רעיונות.

dovid

@avr416 אמר בסליקה ישירות מהאתר:

אחרת אתה עובר על החוק

יש לך מקור? עד כמה שידוע לי אתה אחראי, וחשוף לתביעות של נזק אבל לא עובר על החוק.

מנצפך

איך שידוע לי, אין שום עבירה על החוק.
אך אתה אחראי, ועלול להסתבך בעיקר מול חברות האשראי.

כאמור, תשתמש ב iframe. אין סיבה שלא.

clickone

@dovid
אתה אחראי, ועובר על החוק ללא עונש
העונש יהיה רק במקרה שח"ו תהיה דליפת נתונים....
ככה אמר לי בעבר היועץ לרגולציה (איזו מילה גבוהה ליועץ של וועת הכנסת שדנה בנושא)

avr416

@dovid אמר בסליקה ישירות מהאתר:

@avr416 אמר בסליקה ישירות מהאתר:

אחרת אתה עובר על החוק

יש לך מקור? עד כמה שידוע לי אתה אחראי, וחשוף לתביעות של נזק אבל לא עובר על החוק.

אולי אתה צודק שזה לא חוק..
אבל כך לפחות מנוסח התקן שכל מי שרוצה לסלוק אשראי חייב לעמוד בו.

כך כתוב באתר של ישראכרט:

אבטחת מידע ירודה וגידול בפעילות לא חוקית הסבו לבתי עסק ותעשיית כרטיסי אשראי נזקים גבוהים בכסף ובמוניטין.
חברות כרטיסי האשראי פיתחו תקן המכיל את כלל הדרישות להיבטי אבטחת נתוני כרטיס אשראי.
התקן מחייב כל גוף שמעביר, מעבד או שומר נתוני כרטיסי אשראי, חברות סליקה, בתי עסק וספקי שירות צד שלישי כאחד.

ובהמשך:

מועצת ה PCI קבעה נהלים ברורים ו-12 דרישות בהן כל ארגון המעביר, מעבד או שומר נתוני כרטיסי אשראי חייב לעמוד. 12 דרישות אבטחת המידע כוללות הסבר טכני מפורט המסביר דרכי פעולה לבית עסק.

וראה גם באתר הרשמי שהוקם לכך:
תחת שאלות נפוצות:

מה יקרה אם לא אעמוד בתקן?

ההחלטה בידיי חברות הסליקה, אך קנס יכול לנוע בין 5,000 דולר ל-100,000 דולר עבור כל חודש של אי-עמידה. חברות הסליקה, יפסיקו את העבודה עם בית העסק כדי למנוע סכנה ללקוחותיו.

כלומר אתה חשוף לתביעה גם אם לא קרה שום נזק.
אבל אתה צודק שזה לא חוק רשמי של המדינה, אלא איזושהי הסכמה של כלל חברות האשראי.
לגבי החוק, יש את חוק מאגרי מידע, שבמידה ואתה שומר פרטי אשראי של לקוחות אתה אמור לדווח על המאגר כי זה מידע רגיש, וצריך לעמוד בתקנים שלו.
אבל החוק הזה כנראה לא באמת מיושם בהרבה ארגונים וחברות קטנות...

מנצפך

@avr416
אבל כאן אתה לא שומר את הנתונים. אתה רק מעביר אותם לחברת האשראי.
לא יודע אם יש כאן בעיה של מאגר נתונים