В рамках повышения безопасности работы, прохождения обновленной сертификации PCI-DSS, а также для повышения криптозащиты данных, используемых для информационного обмена с партнерами, мы проводим ежегодный аудит технологий, применяемых для безопасности в повседневной работе наших клиентов.
Подходы, указанные в данном материале, наиболее эффективно защитят Вас от злоумышленников. Методы безопасности достаточно простые, уделите 10 минут времени настройкам и наслаждайтесь полноценной безопасной работой в UnitPay.
Цифровая подпись SHA-256
Мы полностью перешли на SHA-256 шифрование при обращении к обработчикам партнеров и создании платежа. Рекомендуем как можно быстрей перейти на использование нового метода шифрования. Поддержка старой подписи полностью прекратится 10 июня 2016 г.
Было:
function getSignature($params, $secretKey)
{
ksort($params);
unset($params['sign']);
return md5(join(null, $params) . $secretKey);
}
Старая подпись передается в параметре sign и будет отключена 10 июня 2016 года!Стало:
function getSignature($method, $params, $secretKey)
{
ksort($params);
unset($params['sign']);
unset($params['signature']);
array_push($params, $secretKey);
array_unshift($params, $method);
return hash('sha256', join('{up}', $params));
}
Новая подпись передается в параметре signature.
Существующие модули обновлены и используют для проверки новую подпись.
Проверка по IP-адресу
Все запросы к обработчикам проектов необходимо дополнительно сверять со списком IP-адресов системы. Текущий перечень адресов: 31.186.100.49, 178.132.203.105, 52.29.152.23, 52.19.56.234, актуальный список всегда доступен в разделе помощи.
Пример простой проверки на PHP:
$unitpayIp = array(
'31.186.100.49',
'178.132.203.105',
'52.29.152.23',
'52.19.56.234'
);
if (!in_array($_SERVER["REMOTE_ADDR"], $unitpayIp)) {
die('IP address Error');
}
Проверка статуса платежа отдельным запросом
Наряду с указанными методами защиты Вы можете сделать отдельный запрос на получение статуса платежа. Это один из самых надежных способов проверки факта оплаты.
Используйте SSL соединение
При использовании SSL-соединения (https) все запросы между сервером Unitpay и вашим сервером будет надежно зашифрованы, а это значит, что злоумышленник не сможет прослушать трафик и узнать конфиденциальные данные.Сотрудники с отдельными ролями
Для совместной работы в проекте добавляйте сотрудников с отдельными ролями, это существенно повысит безопасность работы.
Используйте SMS-подтверждение для входа в аккаунт
Рекомендуем всегда использовать одноразовый пароль для входа в личный кабинет, это исключит возможность доступа к вашему личному кабинету посторонних лиц.
Комментариев нет :
Отправить комментарий