В рамках повышения безопасности работы, прохождения обновленной сертификации PCI-DSS, а также для повышения криптозащиты данных, используемых для информационного обмена с партнерами, мы проводим ежегодный аудит технологий, применяемых для безопасности в повседневной работе наших клиентов.
Подходы, указанные в данном материале, наиболее эффективно защитят Вас от злоумышленников. Методы безопасности достаточно простые, уделите 10 минут времени настройкам и наслаждайтесь полноценной безопасной работой в UnitPay.
Цифровая подпись SHA-256
Мы полностью перешли на SHA-256 шифрование при обращении к обработчикам партнеров и создании платежа. Рекомендуем как можно быстрей перейти на использование нового метода шифрования. Поддержка старой подписи полностью прекратится 10 июня 2016 г.
Было:
function getSignature($params, $secretKey) { ksort($params); unset($params['sign']); return md5(join(null, $params) . $secretKey); }Старая подпись передается в параметре sign и будет отключена 10 июня 2016 года!
Стало:
function getSignature($method, $params, $secretKey) { ksort($params); unset($params['sign']); unset($params['signature']); array_push($params, $secretKey); array_unshift($params, $method); return hash('sha256', join('{up}', $params)); }Новая подпись передается в параметре signature. Существующие модули обновлены и используют для проверки новую подпись.
Проверка по IP-адресу
Все запросы к обработчикам проектов необходимо дополнительно сверять со списком IP-адресов системы. Текущий перечень адресов: 31.186.100.49, 178.132.203.105, 52.29.152.23, 52.19.56.234, актуальный список всегда доступен в разделе помощи.
Пример простой проверки на PHP:
$unitpayIp = array( '31.186.100.49', '178.132.203.105', '52.29.152.23', '52.19.56.234' ); if (!in_array($_SERVER["REMOTE_ADDR"], $unitpayIp)) { die('IP address Error'); }
Проверка статуса платежа отдельным запросом
Наряду с указанными методами защиты Вы можете сделать отдельный запрос на получение статуса платежа. Это один из самых надежных способов проверки факта оплаты.
Используйте SSL соединение
При использовании SSL-соединения (https) все запросы между сервером Unitpay и вашим сервером будет надежно зашифрованы, а это значит, что злоумышленник не сможет прослушать трафик и узнать конфиденциальные данные.Сотрудники с отдельными ролями
Для совместной работы в проекте добавляйте сотрудников с отдельными ролями, это существенно повысит безопасность работы.
Используйте SMS-подтверждение для входа в аккаунт
Рекомендуем всегда использовать одноразовый пароль для входа в личный кабинет, это исключит возможность доступа к вашему личному кабинету посторонних лиц.
Комментариев нет :
Отправка комментария