Termin 'zgodne z PCI API' oznacza, że interfejs programistyczny jest zaprojektowany i certyfikowany w sposób uniemożliwiający deweloperowi korzystającemu z niego kontakt z surowymi danymi kart płatniczych. Dla deweloperów i zespołów CTO jest to fundamentalna koncepcja: prawidłowo zaprojektowana integracja z tokenizacją PCI Proxy EU gwarantuje, że Twój kod nigdy nie przetwarza numerów PAN.
Co oznacza 'zgodne z PCI API'
Zgodne z PCI API to takie, które: przyjmuje dane kart wyłącznie przez bezpieczne hosted fields lub direct tokenization endpoints (dane karty trafiają bezpośrednio do vault, nie przez serwer aplikacji), zwraca deweloperowi wyłącznie tokeny i metadane transakcyjne, szyfruje wszystkie komunikaty przy użyciu TLS 1.2+, wymaga uwierzytelnienia API (klucze API, OAuth lub certyfikaty klientów) i jest hostowane w certyfikowanym środowisku PCI DSS Level 1.
Hosted fields vs. direct API tokenization
Hosted fields to podejście, w którym pola formularza płatności (numer karty, datę ważności, CVV) są hostowane przez PCI Proxy EU w bezpiecznym iFrame. JavaScript dostarczony przez PCI Proxy EU zarządza tymi polami – Twoja strona nigdy nie ma dostępu do wartości wprowadzonych przez użytkownika. Direct API tokenization to alternatywa dla środowisk mobilnych i backendowych, gdzie dane karty są przesyłane bezpośrednio do endpointu tokenizacji PCI Proxy EU, pomijając serwery aplikacji.
Przepływ integracji REST API krok po kroku
Typowa integracja REST API z PCI Proxy EU przebiega następująco: frontend ładuje hosted fields PCI Proxy EU, użytkownik wprowadza dane karty, JavaScript PCI Proxy EU przesyła dane bezpośrednio do vault i zwraca token do Twojej aplikacji frontendowej, frontend przekazuje token do Twojego backendu, backend używa tokenu do inicjowania transakcji przez API PSP. Twój serwer backendowy nigdy nie widzi numeru PAN w tym przepływie.
Sandbox i testowanie zgodności PCI API
PCI Proxy EU udostępnia pełne środowisko sandbox do testowania integracji API. Sandbox używa testowych numerów kart (np. 4111111111111111 dla Visa) i generuje realistyczne tokeny testowe. Wszystkie endpointy API są identyczne w sandboxie i produkcji – wystarczy zmienić klucz API i domenę. Sandbox jest aktywowany natychmiast po rejestracji, bez potrzeby przechodzenia przez proces weryfikacji biznesowej.
Obowiązki dewelopera przy integracji zgodnej z PCI DSS
Nawet używając zgodnego z PCI API, deweloper ma pewne obowiązki: zapewnienie, że strona płatności nie ładuje zewnętrznych skryptów mogących przechwytywać dane (Wymaganie 6.4.3 PCI DSS v4.0), weryfikacja certyfikatu TLS endpointu PCI Proxy EU, bezpieczne przechowywanie kluczy API (nie w kodzie źródłowym, nie w repozytorium), logowanie operacji tokenizacji i detokenizacji dla celów audytu. Te obowiązki są znacznie mniej rozbudowane niż przy samodzielnym przetwarzaniu PAN.
Zacznij integrację – sandbox aktywny od razu
Zarejestruj się w PCI Proxy EU i zacznij testować tokenizację w sandbox w ciągu minut.
Porozmawiaj z ekspertem