Ежегодный аудит безопасности

В рамках повышения безопасности работы, прохождения обновленной сертификации PCI-DSS, а также для повышения криптозащиты данных, используемых для информационного обмена с партнерами, мы проводим ежегодный аудит технологий, применяемых для безопасности в повседневной работе наших клиентов.

Подходы, указанные в данном материале, наиболее эффективно защитят Вас от злоумышленников. Методы безопасности достаточно простые, уделите 10 минут времени настройкам и наслаждайтесь полноценной безопасной работой в UnitPay.

Цифровая подпись SHA-256

Мы полностью перешли на SHA-256 шифрование при обращении к обработчикам партнеров и создании платежа. Рекомендуем как можно быстрей перейти на использование нового метода шифрования. Поддержка старой подписи полностью прекратится 10 июня 2016 г.

Было:

function getSignature($params, $secretKey)
{
    ksort($params);
    unset($params['sign']);

    return md5(join(null, $params) . $secretKey);
}
Старая подпись передается в параметре sign и будет отключена 10 июня 2016 года!

Стало:

function getSignature($method, $params, $secretKey)
{
    ksort($params);
    unset($params['sign']);
    unset($params['signature']);
    array_push($params, $secretKey);
    array_unshift($params, $method);

    return hash('sha256', join('{up}', $params));
}
Новая подпись передается в параметре signature. Существующие модули обновлены и используют для проверки новую подпись.

Проверка по IP-адресу

Все запросы к обработчикам проектов необходимо дополнительно сверять со списком IP-адресов системы. Текущий перечень адресов: 31.186.100.49, 178.132.203.105, 52.29.152.23, 52.19.56.234, актуальный список всегда доступен в разделе помощи.

Пример простой проверки на PHP:

$unitpayIp = array(
    '31.186.100.49',
    '178.132.203.105',
    '52.29.152.23',
    '52.19.56.234'
);
if (!in_array($_SERVER["REMOTE_ADDR"], $unitpayIp)) {
    die('IP address Error');
}

Проверка статуса платежа отдельным запросом

Наряду с указанными методами защиты Вы можете сделать отдельный запрос на получение статуса платежа. Это один из самых надежных способов проверки факта оплаты.

Используйте SSL соединение

При использовании SSL-соединения (https) все запросы между сервером Unitpay и вашим сервером будет надежно зашифрованы, а это значит, что злоумышленник не сможет прослушать трафик и узнать конфиденциальные данные.

Сотрудники с отдельными ролями

Для совместной работы в проекте добавляйте сотрудников с отдельными ролями, это существенно повысит безопасность работы.

Используйте SMS-подтверждение для входа в аккаунт

Рекомендуем всегда использовать одноразовый пароль для входа в личный кабинет, это исключит возможность доступа к вашему личному кабинету посторонних лиц.

Комментариев нет :

Отправить комментарий