סליקת אשראי נדרים פלוס ב API

חגי

@ששא אם אתה סולק בצורה כזו שאתה נותן ממשק למשתמש להכניס את הפרטים, אתה גם יכול לתת לו את הCAPTCHA למלא. כל קפאצ'ה מגיע עם "קוד" שנועד להתאים לשרת של מי שמבקש את הקאפצ'ה, את הקוד הזה אתה לוקח מנדרים ושם בממשק שלך, כשהמשתמש ממלא את הקאפצה אז אתה מקבל את הקוד לשליחה לAPI.

ששא

@חגי כתב בסליקת אשראי נדרים פלוס ב API:

@ששא אם אתה סולק בצורה כזו שאתה נותן ממשק למשתמש להכניס את הפרטים, אתה גם יכול לתת לו את הCAPTCHA למלא. כל קפאצ'ה מגיע עם "קוד" שנועד להתאים לשרת של מי שמבקש את הקאפצ'ה, את הקוד הזה אתה לוקח מנדרים ושם בממשק שלך, כשהמשתמש ממלא את הקאפצה אז אתה מקבל את הקוד לשליחה לAPI.

זה לא בממשק
זה רק בשרת

חגי

@ששא אז אין לך כל כך מה לעשות, זה בדיוק מה שהcaptcha אמור למנוע

צבי-ש

@ששא תוכל או לשכור שרת ישראלי, אבל אני לא בטוח שזה יעצור שם, יכול להיות שאם הם יזהו התנהגות חשודה, זה ידרוש אימות גם בארץ.

mekev

@ששא
סליחה על השאלה המוזרה
ניסת לבדוק ישירות מול נדרים?

dovid

@צבי-ש איך שרת ישראלי יספק ערך תקף לריקאפצה?
(אלא אם כן חלילה וחס נדרים עשו כמו מפתחים חמודים שלא מתקפים את הערך בצד שרת, לא נראה לי).

ששא

@mekev כתב בסליקת אשראי נדרים פלוס ב API:

@ששא
סליחה על השאלה המוזרה
ניסת לבדוק ישירות מול נדרים?

כמובן
הם דורשים רשיון וכו'

dovid

@ששא כתב בסליקת אשראי נדרים פלוס ב API:

הם דורשים רשיון וכו'

רישיון נהיגה? מה דורשים ולמה זה לא אפשרי?

dovid

@חגי כתב בסליקת אשראי נדרים פלוס ב API:

@ששא אם אתה סולק בצורה כזו שאתה נותן ממשק למשתמש להכניס את הפרטים, אתה גם יכול לתת לו את הCAPTCHA למלא. כל קפאצ'ה מגיע עם "קוד" שנועד להתאים לשרת של מי שמבקש את הקאפצ'ה, את הקוד הזה אתה לוקח מנדרים ושם בממשק שלך, כשהמשתמש ממלא את הקאפצה אז אתה מקבל את הקוד לשליחה לAPI.

אם סברת שיש ממשק של נדרים, הרי הוא לא צריך לנקוף אצבע, ואם מדובר בממשק שיושב על דומיין שלו אז הבעיה היא שהריקאפצה בצד לקוח מחייב שהhost יהיה של של נדרים.

צבי-ש

@dovid כתב בסליקת אשראי נדרים פלוס ב API:

@צבי-ש איך שרת ישראלי יספק ערך תקף לריקאפצה?
(אלא אם כן חלילה וחס נדרים עשו כמו מפתחים חמודים שלא מתקפים את הערך בצד שרת, לא נראה לי).

תשובה קצת ארוכה..
קראתי את השאלה של ששא,
ניסתי להבין איך נדרים פלוס יכולים לדרוש קאפצה של גוגל בבתי כנסיות מכל תורם, זה נשמע פרויקט מורכב ממש, במיוחד שמי יודע איזה תמונות גוגל יביא באימות,
אמרתי לעצמי שבטח יש משהו מאחורי זה,
שלחתי תרומה לנדרים פלוס מהמחשב בבית, מישראל , נשלח הערך CaptchaResponse כשהוא ריק,

אמרתי אולי ששא מנסה ממיקום לא ישראלי, ואז גם בבתי כנסיות לא יצטרכו כלום, וגם זה יכול להיות הבאג שלו, וגם לכן ממני לא ביקש אימות שאני לא רובוט
התחברתי עם VPN לא ישראלי לנדרים,
הטופס נראה כרגיל לגמרי, רק אחרי אישור הסליקה, קובץ שגיאה של " נא לסמן אני לא רובוט"
ורק אז נשלח בקשה לגוגל לקבל קאפצה,

ואם כן לכאורה בצד שרת אם בודקים בתרומה האם הIP ישראלי, ואם לא, מחייבים לקבל קאפצה

ככה נראה לי שזה הולך.

חוקר

@צבי-ש כתב בסליקת אשראי נדרים פלוס ב API:

ואם כן לכאורה בצד שרת אם בודקים בתרומה האם הIP ישראלי, ואם לא, מחייבים לקבל קאפצה

המהלך שלך נראה צודק
אבל אציין שהבדיקה כבר נעשית בעת פתיחת הטופס של נדרים, ולא רק בסליקה עצמה.
בפתיחת הטופס יש בקשה לשרת לקבל את פרטי המוסד ואחד הפרמטרים הוא NeedCaptcha.
ככה שצד הלקוח כבר יודע מראש על החיוב של הקאפצ'ה.

ששא

@dovid כתב בסליקת אשראי נדרים פלוס ב API:

רישיון נהיגה?

@dovid כתב בסליקת אשראי נדרים פלוס ב API:

מה דורשים ולמה זה לא אפשרי?

מצורף תיעוד מתשובתם
שלום רב, איך ייתכן לסלוק באמצעות API? יש לך רישיון PCI? אליהו

תשובה שניה
אין לפנות ל-API ללא רישיון זה לא חוקי וזה עלול לגרום לחסימה של המסוף שלכם יש אייפרם, וזו הדרך היחידה לבצע סליקת אשראי ע"י מערכת חיצונית מצ"ב תיעוד אליהו

yossiz

@ששא כתב בסליקת אשראי נדרים פלוס ב API:

כמובן
הם דורשים רשיון וכו'

@ששא כתב בסליקת אשראי נדרים פלוס ב API:

תשובה שניה
אין לפנות ל-API ללא רישיון זה לא חוקי וזה עלול לגרום לחסימה של המסוף שלכם יש אייפרם, וזו הדרך היחידה לבצע סליקת אשראי ע"י מערכת חיצונית מצ"ב תיעוד אליהו

אני מבין שתשובה זו קיבלת לפני שפנית לפורום פה.
קצת מפריע לי שזה נראה לך נכון להמשיך לנסות להשתמש בשירותים שלהם בצורה שהם לא רוצים.
בד"כ אנשים לא מרגישים אמפתיה לגבי חברות מסחריות, במקרה הזה קל להרגיש אמפתיה כי זה לא חברה גדולה, זה אדם כמוני וכמוך, והוא מבקש לא לעשות את זה.
האם נסית להבין למה הם לא רוצים? מה זה PCI ולמה זה נצרך? (רמז: זה לטובתך)
נראה לי שזה בכלל מה דעלך סני וכו' לא להשתמש ב-API בצורה שהצהירו במפורש שאתה לא אמור להשתמש בו
תקן אותי אם אני טועה

ששא

@yossiz האמת אתה צודק
אבל המילה רישיון PCI נשמע לי מידי גבוהה ומאחר שראיתי פה כמה נושאים על הנושא הזה עם פתרונות חשבתי לשאול האם מישהו יודע על עוד דרך
אבל צודק...

למעשה, רישיון PCI זה דבר מסובך? מה זה?

ivrtikshoret

@yossiz כתב בסליקת אשראי נדרים פלוס ב API:

בצורה שהם לא רוצים.

לא שאלתי את אליהו אבל מניח שלו עצמו לא מפריע אלא שכך דורש החוק וזה מה שהוא אמור לענות,
לא רואה איפה זה אמור להפריע לו אישית.

ששא

@yossiz בהמשך לנושא, אני כן רוצה להבין איך אפשר לקבל רישיון PCI והאם זה אפשרי למשתמש כמוני שלא כ"כ התעסק בתחום השרתים חוץ מהתקנת מערכת הפעלה וספריות שהייתי צריך
לכן אני פותח נושא חדש ואשמח לקבלת עזרה

mekev

@ששא כתב בסליקת אשראי נדרים פלוס ב API:

יש אייפרם

יש מצב שבגלל מחסור בפסיקים אצל הכותב, דלגת על שני המילים האלה?
זה לא פתרון טוב עבורך?

ששא

@mekev כתב בסליקת אשראי נדרים פלוס ב API:

@ששא כתב בסליקת אשראי נדרים פלוס ב API:

יש אייפרם

יש מצב שבגלל מחסור בפסיקים אצל הכותב, דלגת על שני המילים האלה?
זה לא פתרון טוב עבורך?

@ששא כתב בסליקת אשראי נדרים פלוס ב API:

זה לא בממשק
זה רק בשרת

dovid

נדרים לא מדייקים, החוק לא אוסר על איסוף פרטי אשראי ללא PCI, אלא מטיל אחריות גדולה בכזה מקרה.
אם לא שומרים את פרטי האשראי ומשדרים אותם מיידית ומקבלים טוקן זה כמעט בלי סיכון וככה מקובל בהרבה מקומות ומקרים.

aaaa

לרוב המקומות שצריכים API לנדרים
נראה ש PCI לא כ"כ פרקטי.
למקומות שצריכים שימוש חוזר בפרטי אשרי
באמת יעזור עם נדרים יתנו אופציה לעבוד עם טוקן.

(במערכת שאני מכיר, פרטי האשראי נשלחים ישירות לנדרים
ללא שום שמירה מקומית, ואין להם צורך בשימוש חוזר)