Επιλογή μεθόδου ενοποίησης
Για να αποδεχτείτε πληρωμές από τους πληρωτές σας χρησιμοποιώντας το MCB Payment Gateway, πρέπει να επιλέξετε μια μέθοδο ενοποίησης. Όλα αυτά σας επιτρέπουν να συλλέξετε λεπτομέρειες πληρωμής από τον πληρωτή και να δημιουργήσετε τις απαραίτητες συναλλαγές για να διαχειριστείτε τον πλήρη κύκλο ζωής της παραγγελίας από την έναρξη μίας πληρωμής με συμμετοχή πληρωτή έως την πραγματοποίηση επαναλαμβανόμενων πληρωμών και την παροχή επιστροφών χρημάτων, ανάλογα με τις ανάγκες.
Οι κύριες μέθοδοι ενοποίησης είναι οι εξής:
- 3-Party Checkout
Αυτή η ενοποίηση περιλαμβάνει ένα περιβάλλον εργασίας χρήστη (UI) για σελίδα πληρωμής που υποστηρίζεται από την πύλη. Η πύλη παρέχει το περιβάλλον εργασίας χρήστη για τη συλλογή όλων των λεπτομερειών πληρωμής απευθείας από τον πληρωτή, επομένως δεν χρειάζεται να χειρίζεστε καθόλου ευαίσθητα δεδομένα Payment Card Industry (PCI). Η λύση είναι ασφαλής και γρήγορη στην ανάπτυξη, αλλά καθώς χρησιμοποιεί ένα προκαθορισμένο περιβάλλον εργασίας χρήστη, θέτει ορισμένα όρια στην ικανότητά σας να ελέγχετε την εμπειρία χρήστη.
- Hosted Session
Αυτή η ενοποίηση σάς επιτρέπει να ορίσετε τη δική σας σελίδα πληρωμής για τη συλλογή λεπτομερειών πληρωμής από τον πληρωτή. Ωστόσο, για να επιτευχθεί ελάχιστο κόστος συμμόρφωσης για PCI, η σελίδα πληρωμής πρέπει να χρησιμοποιεί πεδία που υποστηρίζονται από την πύλη. Με αυτόν τον τρόπο η πύλη συγκεντρώνει απευθείας τα δεδομένα πληρωμής και δεν χρειάζεται να τα χειριστείτε. Η λύση είναι πιο προηγμένη από το 3-Party Checkout και σας επιτρέπει να έχετε τον πλήρη έλεγχο της εμπειρίας χρήστη. Αν θέλετε να προσφέρετε τη λύση πληρωμής στους πληρωτές σας ως εφαρμογή για κινητές συσκευές, μπορείτε να χρησιμοποιήσετε το Mobile SDK για να υλοποιήσετε την ενοποίηση του Hosted Session για μια εφαρμογή.
- 2-Party merchant hosted
Αυτή η ενοποίηση σάς δίνει τον πλήρη έλεγχο της σελίδας πληρωμής και της εμπειρίας χρήστη. Συλλέγετε και αποθηκεύετε τις λεπτομέρειες πληρωμής από τον πληρωτή μόνοι σας. Η λύση είναι η πιο προηγμένη και η πιο αργή στην ανάπτυξη, αλλά σας επιτρέπει να εφαρμόσετε πολύπλοκα σενάρια.
Πρέπει να εφαρμόσετε μία από τις παραπάνω μεθόδους ενοποίησης, καθώς σας επιτρέπουν να πραγματοποιείτε συναλλαγές που εκκινούνται από τον κάτοχο της κάρτας (CIT) και απαιτούν την ενεργό συμμετοχή του πληρωτή (για να εγκριθεί η πληρωμή που θέλετε να δημιουργήσετε).
Αν οι επιχειρηματικές διαδικασίες σας απαιτούν τη δημιουργία πακέτου μαζικών πράξεων, για παράδειγμα CAPTURES ή TOKENIZE, διατίθεται η ενοποίηση Batch Upload. Σας επιτρέπει να στέλνετε μεγάλους αριθμούς συναλλαγών στην πύλη σε ένα πακέτο ως αρχείο. Λάβετε υπόψη ότι το Batch Upload είναι γενικά πιο αργό από τη λύση API, καθώς οι πράξεις διεκπεραιώνονται με χαμηλότερη προτεραιότητα και, στη συνέχεια, ολόκληρο το αρχείο πρέπει να μεταφορτωθεί και να αναλυθεί πριν από την έναρξη οποιασδήποτε επεξεργασίας και τη λήψη των αποτελεσμάτων.
Σύγκριση των μεθόδων ενοποίησης
Ο παρακάτω πίνακας παραθέτει μερικές από τις βασικές διαφορές μεταξύ των κύριων μεθόδων ενοποίησης, για να σας διευκολύνει να επιλέξετε τη μέθοδο που ανταποκρίνεται στις συγκεκριμένες επιχειρηματικές απαιτήσεις σας.
| Δυνατότητα | 3-Party Checkout | Hosted Session | 2-Party merchant hosted |
|---|---|---|---|
| Εμβέλεια στοχευόμενων PCI | Συμμόρφωση με SAQ-A | Συμμόρφωση με SAQ-A | Συμμόρφωση με SAQ-D |
| Χρήση API |
|
API διακομιστή REST | |
| Προσπάθεια ανάπτυξης |
|
|
|
| Προσαρμογή σελίδας πληρωμής |
|
|
Πλήρης έλεγχος του περιβάλλοντος εργασίας χρήστη, της ροής και της εμπειρίας χρήστη |
Συμμόρφωση PCI
Το PCI είναι ένα σύνολο προτύπων ασφαλείας που έχουν σχεδιαστεί για τη διαφύλαξη ευαίσθητων δεδομένων καρτών πληρωμής. Οι έμποροι που χειρίζονται πληρωμές με κάρτα χρησιμοποιούν ένα Ερωτηματολόγιο Αυτοαξιολόγησης (SAQ) για να αξιολογήσουν τη συμμόρφωσή τους με τα πρότυπα PCI:
- Το SAQ-A είναι το απλούστερο και βασικότερο SAQ. Σημαίνει ότι ο έμπορος έχει αναθέσει εξωτερικά όλη την επεξεργασία των δεδομένων του κατόχου κάρτας σε τρίτο πάροχο υπηρεσιών συμμορφούμενο με το PCI Data Security Standard (DSS), σε αυτήν την περίπτωση το MCB Payment Gateway. Οι έμποροι με συμμόρφωση SAQ-A δεν μπορούν να αποθηκεύσουν, να επεξεργαστούν ή να μεταδώσουν δεδομένα κατόχου κάρτας. Μπορούν να χειριστούν πληρωμές μέσω ηλεκτρονικού εμπορίου και ταχυδρομικών/τηλεφωνικών παραγγελιών (MOTO). Αν είστε συμβατοί με το SAQ-A, πρέπει να επιλέξετε τη μέθοδο ενοποίησης 3-Party Checkout ή Hosted Session.
- Το SAQ-D είναι ένα πιο ολοκληρωμένο SAQ, προσαρμοσμένο σε μεγαλύτερες και πιο σύνθετες επιχειρήσεις που πρέπει να χειρίζονται διάφορα είδη πληρωμών. Οι έμποροι με συμμόρφωση SAQ-D μπορούν να αποθηκεύουν, να επεξεργάζονται και να μεταδίδουν δεδομένα κατόχου κάρτας και απαιτείται να λαμβάνουν τα απαραίτητα μέτρα ασφαλείας για την προστασία των δεδομένων κατόχου που τους έχουν ανατεθεί. Αν είστε συμβατοί με το SAQ-D, μπορείτε να χρησιμοποιήσετε τη μέθοδο ενοποίησης 2-Party merchant hosted.
Η πύλη δεν επιβάλλει συγκεκριμένη συμμόρφωση PCI. Ο πάροχος υπηρεσιών πληρωμών (PSP) και οι αγοραστές καθορίζουν το είδος της συμμόρφωσης που περιμένουν από εσάς και η πύλη απλώς παρέχει διαφορετικές μεθόδους ενοποίησης για να σας υποστηρίξει προκειμένου να ανταποκριθείτε σε αυτές τις προσδοκίες. Η υποστήριξη τόσο για τη συμμόρφωση SAQ-A όσο και για τη συμμόρφωση SAQ-D είναι διαθέσιμη τόσο για ενοποιήσεις API όσο και για διαχείριση συναλλαγών μέσω του περιβάλλοντος εργασίας χρήστη του Merchant Administration.
Αν πρέπει να συμμορφωθείτε με το SAQ-A, ο PSP σας πρέπει να ενεργοποιήσει τη δυνατότητα στη διαμόρφωση εμπόρου σας (για το API, το περιβάλλον εργασίας χρήστη ή και τα δύο):
- Αν έχει ενεργοποιηθεί η δυνατότητα συμμόρφωσης με SAQ-A για το περιβάλλον εργασίας χρήστη, η πύλη απενεργοποιεί τις οθόνες εισαγωγής παραγγελιών, εμποδίζοντάς σας να δημιουργήσετε παραγγελίες MOTO (ταχυδρομείο/τηλεφωνικά) εισάγοντας τις λεπτομέρειες της κάρτας.
Ο Your payment service provider μπορεί επίσης να σας διαμορφώσει προκειμένου να συμμορφώνεστε με το SAQ-A στο περιβάλλον εργασίας χρήστη, ενώ σας δίνει την επιλογή να παραβείτε αυτήν τη συμμόρφωση για κάποιο συγκεκριμένο σκοπό. Σε αυτήν την περίπτωση, μπορείτε να ενεργοποιήσετε το δικαίωμα Προβολή μη αποκρυμμένων αναγνωριστικών λογαριασμών για οποιονδήποτε από τους διαχειριστές που έχετε δημιουργήσει στο Merchant Administration. Ωστόσο, η ενεργοποίηση αυτού του δικαιώματος για έναν διαχειριστή παραβιάζει τη συμμόρφωσή σας με το SAQ-A.
- Αν έχει ενεργοποιηθεί η δυνατότητα συμμόρφωσης με SAQ-A για το API, η πύλη απορρίπτει συναλλαγές που περιλαμβάνουν απευθείας δεδομένα κατόχου κάρτας ευαίσθητα σε PCI, όπως τον αριθμό της κάρτας. Αντ' αυτού, πρέπει να συμπεριλάβετε ένα κοντέινερ για δεδομένα κατόχου κάρτας, όπως Session πληρωμής (payment session) ή ένα token. Η πύλη καλύπτει επίσης τυχόν κύριους αριθμούς λογαριασμού (PAN) στην απόκριση συναλλαγής. Αν χρησιμοποιείτε την ενοποίηση Batch Upload, τυχόν πακέτα που περιέχουν μη αποκρυμμένους αριθμούς PAN απορρίπτονται. Αν ζητήσετε να επιστραφούν PAN χωρίς απόκρυψη στην απόκριση, η πύλη επιστρέφει ένα σφάλμα για επιβολή της συμμόρφωσης με SAQ-A.
Αν χρειάζεστε τη δυνατότητα προβολής μη αποκρυμμένων αριθμών PAN, επικοινωνήστε με τον PSP σας για να συζητήσετε τις επιλογές σας.