1. Home
  2. Seguridad
  3. Seguridad de datos de pago
  4. Garantizar el cumplimiento de la normativa PCI de tus solicitudes

Garantizar la seguridad de los datos

1. Introducción

En Worldline, la continuidad y la seguridad de tu negocio son nuestras prioridades. Por ello, nos tomamos muy en serio la seguridad de los datos y el cumplimiento de las normativas, y realizamos auditorías y evaluaciones periódicas para asegurarnos de que nuestra forma de trabajar e intercambiar datos entre tú y nosotros sea totalmente conforme a las normativas.

Según la normativa Payment Card Industry Data Security Standard (PCI DSS), cualquier empresa que acepte pagos con tarjeta debe aplicar políticas de protección de datos y proteger los datos de los titulares de las tarjetas para garantizar el cumplimiento de la PCI. Uno de los aspectos clave del cumplimiento de la normativa PCI DSS es asegurarse de que se utiliza el método POST con los datos de la transacción en el cuerpo de las solicitudes de pago HTTP para enviar las solicitudes de pago a una plataforma de pago. Este es el único método que cumple con la PCI y garantiza que los datos transaccionales confidenciales de tus clientes no queden expuestos a través de Internet.

2. Comprender los diferentes métodos de solicitud HTTP

Cualquier solicitud que tu sistema envíe a nuestra plataforma sigue los principios del protocoloHypertext Transfer Protocol. El protocolo HTTP incorpora diferentes métodos para que esto sea así:

  • GET: La información de pago forma parte de la URL que recibe los datos
  • POST (La información de pago forma parte de la URL que recibe los datos)
  • POST (La información de pago está en el cuerpo del HTML)

Sin embargo, la única forma conforme a la PCI de enviar información de pago a nuestra plataforma es POST (La información de pago se encuentra en el cuerpo del HTML)
Echa un vistazo a este ejemplo genérico para entender cómo funciona este método:

<form method="post" action="https://ogone.test.v-psp.com/ncol/test/orderdirect_utf8.asp" id=form1 name=form1>
<!-- the HTML form on your checkout page -->

<input type="hidden" name="PSPID" value="">
<input type="hidden" name="ORDERID" value="">
<input type="hidden" name="AMOUNT" value="">
<input type="hidden" name="CURRENCY" value="">

<input type="hidden" name="CARDNO" value="4111111111111111">
<input type="hidden" name="CVC" value="123">
<input type="hidden" name="ED" value="12/36">
<input type="hidden" name="CN" value="John Doe">

<input type="hidden" name="SHASIGN" value="">
<!-- Authentication parameters USERID/PSWD are added to the server code (see below) -->

.
.
.



</form>
<!-- the HTML form on your checkout page -->

Your server code (programming language used here: cURL) sending this HTML form (including authentication parameters userid/pswd) as a POST request
curl -i -X POST -H 'Content-Type: application/x-www-form-urlencoded' -d 
'pspid=<pspid>&orderid=<orderid>&amount=<amount>&currency=<currency>&cardno=<cardno>&cvc=<cvc>&ed=<ed>&cn=<cn>&userid=<userid>&pswd=<pswd>'  https://ogone.test.v-psp.com/ncol/test/orderdirect_utf8.asp

Ten en cuenta los siguientes atributos:

  • "method" debe ser POST
  • "action" debe contener únicamente la URL del punto final

Si trabajas con nuestra solución DirectLink, ponte en contacto con tu integrador para que tu sistema utilice este método de solicitud correcto.