Fejlesztőként és műszaki csapatként a PCI DSS-megfelelőség egyik leggyakoribb kérdése: hogyan lehet kártyás fizetést integrálni anélkül, hogy a backend kódbázis a PCI DSS hatókörébe kerüljön? A válasz: PCI-megfelelő API tokenizáció. Ez a cikk pontosan bemutatja, mit jelent ez a gyakorlatban.
Mit jelent a PCI-megfelelő API?
A PCI-megfelelő API egy olyan REST API-integrációs architektúra, amelyben a fejlesztő kódja soha nem érintkezik a PAN-számmal nyílt formában. Ehelyett: a kártyaadat-bevitelt a PCI Proxy EU hosted fields vagy JavaScript SDK kezeli; a backend API hívásai tokeneket tartalmaznak PAN helyett; a tranzakciós kérések a tokenre hivatkoznak, amelyet a PCI Proxy EU detokenizál és biztonságosan továbbít a PSP-nek. Az eredmény: a fejlesztői kódbázis ki marad a PCI DSS hatóköréből.
A PCI Proxy EU API integrálása: lépések
Az integráció lépései: 1. Hosted fields beágyazása – a kártyaadat-beviteli mezők a PCI Proxy EU JavaScript SDK-jával valósíthatók meg; 2. Token lekérése – a hosted fields sikeres kitöltése után a frontend token-azonosítót kap vissza; 3. Token küldése a backendnek – a frontend elküldi a tokent a saját backendnek (PAN nélkül); 4. Tranzakció kezdeményezése – a backend a tokennel hívja meg a PCI Proxy EU tranzakciós API-ját; 5. Fizetés végrehajtása – a PCI Proxy EU detokenizálja a PAN-t és továbbítja a PSP-nek. A fejlesztő egyetlen lépésben sem látja a valódi PAN-t.
API-biztonság PCI DSS szempontból
A PCI Proxy EU API-integráció biztonsági jellemzői: TLS 1.2/1.3 titkosítás minden API-kommunikációhoz; API-kulcs hitelesítés és per-kereskedő API-névtér; IP-allowlist a tokenizációs és detokenizációs kérésekhez; részletes audit-napló minden API-hívásról; sandbox (tesztkörnyezet) valódi kártyaadatok nélkül. Ezek a kontrollok szükségesek ahhoz, hogy a backend SAQ A-EP vagy SAQ A szintű kérdőívvel dokumentálható legyen.
Sandbox tesztelés: fejlesztési munkafolyamat
A PCI Proxy EU sandbox-környezete lehetővé teszi, hogy a fejlesztők valódi kártyaadatok felhasználása nélkül teszteljék az integrációt: tesztkártya-számok generálása (pl. 4111111111111111); tokenizációs és detokenizációs folyamatok tesztelése; szimulált PSP-válaszok (elfogadás, elutasítás, 3DS-kihívás); webhook-értesítések tesztelése. A sandbox-környezet teljesen azonos az élőrendszerrel, kivéve hogy valódi kártyaadatokat nem dolgoz fel.
Integrálja a PCI-megfelelő API tokenizációt
A PCI Proxy EU REST API és SDK dokumentációja segít a gyors és biztonságos integrációban. Lépjen kapcsolatba velünk a technikai részletekért.
Konzultáljon szakértőnkkel