1. Home
  2. Sicherheit
  3. Payment Data Security
  4. Gewährleistung der Datensicherheit

Gewährleistung der Datensicherheit

1. Einleitung

Bei PostFinance stehen Ihre betriebliche Kontinuität und Sicherheit an erster Stelle. Daher nehmen wir Datensicherheit und Konformität sehr ernst und führen regelmäßig Prüfungen und Bewertungen durch, damit unsere Arbeitsweise sowie der Datenaustausch zwischen Ihnen und uns tatsächlich vollständig konform sind.

Gemäß dem Payment Card Industry Data Security Standard (PCI DSS) muss jedes Unternehmen, das Kartenzahlungen akzeptiert, Datenschutzrichtlinien einführen und Karteninhaberdaten schützen, um die PCI-Konformität zu gewährleisten. Einer der Hauptaspekte der PCI DSS-Konformität dass Sie Zahlungsanforderungen an eine Zahlungsplattform mit der POST-Methode mit den Transaktionsdaten im Textkörper der HTTP-Zahlungsanforderungen senden. Dies ist die einzige PCI-konforme Methode und gewährleistet, dass Sie keine sensiblen Transaktionsdaten Ihrer Kunden über das Internet preisgeben.

2. Unterschiedliche HTTP-Anfragemethoden

Jede Anfrage, die Ihr System an unsere Plattform sendet, folgt den Grundlagen des Hypertext Transfer Protocol. Das HTTP-Protokoll enthält dafür unterschiedliche Methoden:

  • GET: Die Zahlungsinformationen sind Teil der URL, die die Daten erhält.
  • POST (Die Zahlungsinformationen sind Teil der URL, die die Daten erhält.)
  • POST (Die Zahlungsinformationen befinden sich im HTML-Text.)

Die einzige vollständig PCI compliant Art, Zahlungsinformationen an unsere Plattform zu senden, ist jedoch POST (Die Zahlungsinformationen befinden sich im HTML-Text.).
Anhand dieses allgemeinen Beispiels können Sie sehen, wie diese Methode funktioniert:

<form method="post" action="https://e-payment.postfinance.ch/ncol/test/orderdirect_utf8.asp" id=form1 name=form1>
<!-- the HTML form on your checkout page -->

<input type="hidden" name="PSPID" value="">
<input type="hidden" name="ORDERID" value="">
<input type="hidden" name="AMOUNT" value="">
<input type="hidden" name="CURRENCY" value="">

<input type="hidden" name="CARDNO" value="4111111111111111">
<input type="hidden" name="CVC" value="123">
<input type="hidden" name="ED" value="12/36">
<input type="hidden" name="CN" value="John Doe">

<input type="hidden" name="SHASIGN" value="">
<!-- Authentication parameters USERID/PSWD are added to the server code (see below) -->

.
.
.



</form>
<!-- the HTML form on your checkout page -->

Your server code (programming language used here: cURL) sending this HTML form (including authentication parameters userid/pswd) as a POST request
curl -i -X POST -H 'Content-Type: application/x-www-form-urlencoded' -d 
'pspid=<pspid>&orderid=<orderid>&amount=<amount>&currency=<currency>&cardno=<cardno>&cvc=<cvc>&ed=<ed>&cn=<cn>&userid=<userid>&pswd=<pswd>'  https://e-payment.postfinance.ch/ncol/test/orderdirect_utf8.asp

Beachten Sie diese Attribute:

  • "method" muss POST sein.
  • "action" darf nur die Endpunkt-URL enthalten.

Wenn Sie mit der Lösung DirectLink arbeiten, wenden Sie sich an Ihren Integrator, damit Ihr System diese korrekte Anfragemethode anwendet.