Alias Gateway
1. Einleitung
One Page Checkout ist eine Schnittstelle, über die Händler Transaktionen mit einer selbst entwickelten Zahlungsseite bei der Paypage-Plattform einreichen können:
-
Das Alias Gateway: Sie senden die Kartendaten an unser System, wo sie sicher gespeichert werden (einschließlich CVC, jedoch nur für begrenzte Zeit).
-
DirectLink: Zweitens Sie reichen den aktuellen Auftrag ein, ohne dazu die Kartendaten übermitteln zu müssen.
Vorteile:
-
Sie haben volle Kontrolle über Aussehen und Bedienung der Zahlungsseite einschließlich der Checkout-Sequenz.
-
Paypage bleibt während des Zahlungsprozesses vollkommen unsichtbar.
-
Nahtlose Integration für verschiedene Checkout-Szenarien einschließlich One Page Checkout.
-
Sie können auf der abschließenden Checkout-Seite Up- und Cross-Selling anbieten.
-
Alle wichtigen Kreditkartenmarken (Visa, MasterCard, American Express, Diners) sowie Direct Debits und Postfinance Card werden unterstützt.
2. Szenario für die Implementierung
Anmerkung: Beachten Sie, dass beim ersten Schritt kein kartenbezogener Vorgang abläuft. Unser System führt nur eine grundlegende Prüfung des Datenformats durch, kann aber nicht garantieren, dass die Karte noch gültig ist oder ein ausreichendes Guthaben zur Fortsetzung des Zahlungsvorgangs aufweist.
3. Schritt 1: Alias Gateway
Zur Nutzung des One Page Checkout müssen Sie eine Web-Seite erstellen, die ein Formular enthält, das Kartendaten NICHT an Ihre eigene Website, sondern stattdessen direkt an die Seite des Paypage Alias Gateways übermittelt. Auf diese Weise laufen die Kartendaten niemals durch Ihre Web-Server.
Die URL für das Alias Gateway lautet:
-
https://secure.paypage.be/ncol/test/alias_gateway.asp für Testbetrieb
-
https://secure.paypage.be/ncol/prod/alias_gateway.asp für regulären Betrieb
Hinweise: Sie können die Nutzung von UTF-8 erzwingen durch Aufruf der Seite "Alias_gateway_utf8.asp". Die Zeichencodierung wird bei allen darauf folgenden Umleitungen und Rückmeldungen beibehalten.
Wichtig Für Sie ist es sowohl vom rechtlichen wie auch vom Sicherheitsstandpunkt aus sehr riskant, Kreditkartendaten auf der eigenen Website zu hinterlegen! Es muss darum sichergestellt sein, dass diese Daten immer und ausschließlich an die Paypage Plattform übermittelt werden. |
3.1 Input-Felder
Das Formular muss oder kann die folgenden Parameter enthalten:
Name |
Beschreibung |
Länge | Pflicht |
---|---|---|---|
ACCEPTURL |
URL für Umleitung im Erfolgsfall |
AN, max. 255 | Ja |
ALIAS |
Alias des Kunden |
AN, max. 50 | Nein |
ALIASPERSISTEDAFTERUSE |
Geben Sie an, ob Sie ein Alias nach der Verwendung vorübergehend oder unbegrenzt speichern möchten. Mögliche Werte sind:
Dieser Parameter sollte nur in Kombination mit dem Alias Manager verwendet werden. |
Y / N | Nein |
BRAND |
Kreditkartenmarke |
AN, max. 25 | Kreditkarte: Nein Direct Debits, PostFinance Card: Ja |
CARDNO |
Karten-/Kontonummer. |
AN, max. 35 |
Kreditkarte, Direct Debits: Ja |
CN |
Name des Kunden. |
AN, max. 50 |
Kreditkarte, Direct Debits: Ja |
CVC |
Kartenverifikationscode |
AN, max. 6 | Kreditkarte: Ja Direct Debits, PostFinance Card: n/a |
ECOM_CARDINFO_EXPDATE_MONTH* |
Ablaufmonat* |
N, 2 (MM) |
Kreditkarte: Ja |
ECOM_CARDINFO_EXPDATE_YEAR* |
Ablaufjahr* |
N, 4 (YYYY) | Kreditkarte: Ja Direct Debits: n/a PostFinance Card: Nein |
ED* | Expiry date | N, 4 (MMYY) | Kreditkarte: Ja Direct Debits: n/a PostFinance Card: Nein |
EXCEPTIONURL |
URL für Umleitung im Fehlerfall |
AN, max. 255 | Ja |
LANGUAGE | Sprache des Karteninhabers (e.g. de_CH, en_US, etc.) | AN, 5 | Kreditkarte, Direct Debits: Nein PostFinance Card: Ja |
ORDERID |
Auftrags-ID |
AN, max. 40 | Ja |
PARAMPLUS |
Feld für die Einreichung einiger Parameter und deren Werte, die Sie in der Post-Sale-Anfrage zurückgesendet haben möchten. |
AN, max. 1000 |
Nein |
PSPID |
Name Ihres Händlerkontos in unserem System. |
AN, max. 30 | Ja |
SHASIGN |
SHA Hash-Berechnung (Sicherheitsmerkmal) |
AN, max. 128 | Ja |
* Der Händler kann das Ablaufdatum wahlweise in einem einzigen Feld (ED) oder in zwei Feldern übermitteln; beide Formate werden unterstützt. Werden beide übermittelt, hat das Feld „ED" Vorrang.
Hinweise:
- Das Alias Gateway verwendet die in der Technischen Information für den Händler im Register „Globale Sicherheitsparameter" angegebene Zeichencodierung.
- Alle Parameter werden ausgeblendet, mit Ausnahme von CN, CARDNO, CVC und ED, da diese vom Karteninhaber ausgefüllt werden müssen.
3.1.1 SHA-Signatur für Input
Damit wir die Integrität der Daten prüfen können, muss allen Anfragen eine SHA-Signatur beigefügt werden, wie es auch bei e-Commerce-Transaktionen der Fall ist. Weitere Informationen über SHA-Signaturen und deren Erzeugung nach finden Sie unter e-Commerce.
Unser System verwendet den SHA-Algorithmus, wie unter Global Security Parameters in der Technischen Information für den Händler definiert.
Da Sie die Kartendaten (CARDNO, CN, CVC, ED) nicht zur Verfügung stehen, was ja der Hauptzweck des Alias Gateways ist, sollten diese Parameter selbstverständlich NICHT in das SHA-Verfahren einfließen. Sie können selbst entscheiden, ob der Parameter BRAND gesendet wird oder nicht. Wenn BRAND eingereicht wird, muss dies auch in der SHASIGN-Wertberechnung berücksichtigt werden. |
Beispiel:
- Parameter (in alphabetischer Folge):
- ACCEPTURL: https://www.myshop.com/ok.html
- EXCEPTIONURL: https://www.myshop.com/nok.html
- PSPID: test1
- Geheime Passphase (wie in der Technischen Information definiert): Mysecretsig1875!?
- Zeichenfolge für Hashing: ACCEPTURL=https://www.myshop.com/ok.htmlMysecretsig1875!?EXCEPTIONURL=https://www.myshop.com/nok.htmlMysecretsig1875!?PSPID=test1Mysecretsig1875!?
- Resultierende SHA-Signatur (SHA-1): 0F3455990D4859E20FD2B9F7B326304549DE6069
3.1.2 Direct Debits
Wenn Sie das Alias-Gateway und Direct Debits (DE, NL und/oder AT) verwenden:
-
Die Kontonummer (reguläre oder IBAN) muss mit dem Feld CARDNO gesendet werden.
-
Wenn relevant, muss die BIC (Bankcode) mit demselben Parameter gesendet werden: BIC
-
Das Input-Feld BRAND muss entweder 'Direct Debits NL', 'Direct Debits DE' oder 'Direct Debits AT' enthalten.
-
Das Ablaufdatum und die CVC-Felder sollten leer bleiben.
3.1.3 Maestro und Bancontact
Wenn sowohl die Zahlungsmethode Maestro als auch Bancontact im Konto aktiv sind, sollte der „BRAND“ Parameter verwenden, um den korrekten „BRAND“ Wert in der Antwort zu erhalten.
Wenn kein „BRAND“ Parameter verwendet wird, wird Paypage eine belgische Maestro Karte automatisch als Bancontact erkennen und verarbeiten.
3.1.4 PostFinance Card
Bei Verwendung der Postfinance Card ist zu beachten, dass die Prozedur geringfügig anders abläuft, weil der Karteninhaber zum Zeitpunkt der Alias-Erstellung aufgefordert wird, sich zu authentifizieren.
Die Felder LANGUAGE (Sprache) und AMOUNT (Betrag) sind Pflichtfelder. Der Minimumbetrag ist CHF / EUR 0.05.
3.1.5 Split credit/debit cards
3.2 Durchgeleitete Felder
Zusätzlich zu den Input-Daten können Sie ergänzende Felder übermitteln. Diese werden nicht auf unserem System gespeichert, aber den Umleitungs-URLs angehängt, und können so vom Sie für Irhe Bestellprozess wiederverwendet werden. Diese Felder werden als „Pass-Through Fields" (durchgeleitete Felder) bezeichnet.
Anmerkung:
- Diese Felder müssen NICHT in die SHA-Signatur einfließen.
- Diese Felder werden nicht in Kombination mit der PostFinance Card unterstützt; Wir empfehlen Ihnen, den PARAMPLUS Parameter zu verwenden (Siehe Input-Felder).
3.3 Output-Felder
Unser System hängt die Return URL (Annahme oder Fehler) die folgenden Parameter an, um Sie eine Rückmeldung zum Vorgang zu geben:
Name |
Beschreibung |
Max Länge |
---|---|---|
ALIAS |
Alias generiert. Entsprechend 32-Ziffern-GUID-Format. |
50 |
BIC |
Der Bankidentifikationscode, für Bankeinzugstransaktionen. Ein Wert wird nur dann zurückgegeben, wenn anfänglich angegeben, d.h. nicht von der IBAN abgeleitet. |
11 |
BRAND |
Kreditkartenmarke |
25 |
CARDNO |
Karten/Kontonummer (IBAN oder normal), wobei sensible Daten durch „X" ersetzt sind. Beispiel: XXXXXXXXXXXX1111 Hinweis: Im Falle eines Fehlers wird auch die Karte durch Ersatzzeichen unkenntlich gemacht. |
35 |
CN |
Name des Karteninhabers |
50 |
CVC |
Card Verification Code für Kreditkarten, wobei sensible Daten durch „X" ersetzt sind. |
6 |
ED |
Expiry date, e.g. 0216 (for February 2016) |
4 |
LANGUAGE | Sprache des Karteninhabers |
5 |
NCERROR |
Fehlercode |
50 |
NCERRORCARDNO |
Fehlercode für spezifisches Feld |
50 |
NCERRORCN |
Fehlercode für spezifisches Feld |
50 |
NCERRORCVC |
Fehlercode für spezifisches Feld |
50 |
NCERRORED |
Fehlercode für spezifisches Feld |
50 |
ORDERID |
Eindeutige Identifikation des Auftrags. Erforderlich, damit wir im Falle eines Wiederholungsversuchs den Abgleich mit den Aliasen (Karte/CVC) vornehmen können |
40 |
SHASIGN |
SHA-Signatur für Output |
128 |
STATUS |
Ergebnis der Alias-Erzeugung:
|
1 |
(weitere) |
Durchgeleitete Felder + Felder aus ParamPlus |
/ |
3.3.1 SHA-Signatur für Output
Unser System meldet, wie bei e-Commerce-Transaktionen, eine SHA-Signatur für die folgenden Parameter:
ALIAS
BIC
BRAND
CARDNO
CN
CVC
ED
NCERROR
NCERRORCARDNO
NCERRORCN
NCERRORCVC
NCERRORED
ORDERID
STATUS
3.4 Erneute Einreichung
Bei der erneuten Einreichung (weil beispielsweise der erste Versuch fehlgeschlagen ist) muss der Karteninhaber zuvor bereits validierte Daten nicht nochmals eingeben.
Beispiel: Wenn die Kartennummer OK ist, übermittelt der Browser die mit „X" maskierte Kartennummer und unser System gleicht sie mit der beim ersten Versuch gespeicherten Nummer ab.
Damit dies möglich ist, müssen Sie die OrderID bei jeder Anfrage übermitteln. Die gleiche OrderID wird jedes Mal zurückgesendet. Wenn keine OrderID übermittelt wird, erzeugt unser System eine solche ID. Wenn Sie eine neue ORDERID (Händlerreferenz) verwenden, werden Sie den Fehler 5555554 erhalten.
3.5 Fehlermeldungen
The following error messages may be returned by the Alias Gateway:
NCERROR |
Beschreibung |
---|---|
5555554 |
Falsche ORDERID (bei resubmission) |
55555555 |
Allgemeiner Fehler |
50001184 |
SHA-IN stimmt nicht überein |
50001186 |
*Vorgang nicht erlaubt |
50001187 |
*Vorgang nicht erlaubt (wenn der Händler ein Alias sendet, das bereits existiert) |
50001300 |
|
50001301 | |
NCERRORCN |
|
60001057 |
Name fehlt |
50001174 |
Name ist zu lang |
NCERRORCARDNO |
|
30141001 |
Kartennummer ungültig |
50001069 |
Marke und Kartennummer stimmen nicht überein |
50001176 |
Kartennummer ist zu lang |
50001177 |
Kartennummer enthält nicht-numerische Zeichen |
50001178 |
Kartennummer zu kurz/fehlt |
NCERRORCVC |
|
50001090 |
CVC fehlt oder ist zu kurz |
50001179 |
CVC zu lang |
50001180 |
CVC enthält nicht-numerische Zeichen |
NCERRORED |
|
50001181 |
Ablaufdatum enthält nicht-numerische Zeichen |
50001182 |
Ungültiger Ablaufmonat |
50001183 |
Ablaufdatum muss in der Zukunft liegen |
31061001 |
Ablaufdatum fehlt oder in falschem Format |
4. Schritt 2: DirectLink
Um den Alias-Namen verwenden zu können, der mit dem Alias Gateway erzeugt wurde, müssen Sie den ALIAS-Parameter mit einer Transaktion über DirectLink senden und dabei unsere Standard-Implementierung DirectLink nutzen.
5. Alias Update mit dem Alias Gateway
Das Alias Gateway kann auch zur Aktualisierung der bestehenden Aliase genutzt werden. Hierbei werden die gleichen Input-Felder wie beim Anlegen der Aliase verwendet.
Hinweis: Wenn Sie nur den Namen des Karteninhabers aktualisieren möchten, nur den neuen Namen samt bestehendem Alias einzureichen. Die mit X maskierte Kartennummer muss ebenfalls im Feld CARDNO gesendet werden. Der CVC ist nicht erforderlich.
In der Antwort informiert das Output-Feld STATUS den Händler über das Alias-Update (Status 2).
Ergebnis der Alias-Erzeugung.
-
0 Ok
-
1 Nicht OK
-
2 Alias aktualisiert
Häufig gestellte Fragen
Standardmäßig können Sie Waren abschicken oder Dienstleistungen erbringen, sobald eine Transaktion den Status „5 – Authorised“ (Autorisiert) oder „9 – Payment requested“ (Zahlung angefordert) erreicht hat. Auch wenn Status 5 eine Erfolgsmeldung darstellt, meldet er nur die vorübergehende Reservierung eines Geldbetrags auf der Karte des Kunden. Eine Transaktion mit Status 5 muss noch bestätigt werden (manuell oder automatisch), um in den Status 9 zu gelangen, der für die meisten Zahlungsverfahren der finale Erfolgsstatus ist.
Mit der Schaltfläche „Rückerstattung“ in der Auftragsübersicht einer Transaktion (unter „Transaktionsansicht“) können Sie eine Zahlung ganz einfach rückerstatten. Wenn Ihr Konto es unterstützt, können Sie auch Rückerstattungen mit einer DirectLink-Anfrage oder durch Hochladen einer Batchdatei (für mehrere Transaktionen) durchführen.
Bitte beachten Sie, dass die Option „Rückerstattungen“ in Ihrem Konto aktiviert sein muss. Bitte kontaktieren Sie hierzu Ihren Verkaufsberater oder schreiben Sie eine Email an epay@kbc.be.
Falls Sie bestimmte Details eines Auftrags bzw. einer Transaktion überprüfen oder Transaktionen verwalten möchten, sollten Sie „Transaktionsansicht“ verwenden. Mit Hilfe von „Finanzverlauf“ lassen sich ein- und ausgehende Gelder am bequemsten regelmäßig überprüfen.
Rückerstattungen können Sie nur für Transaktionen durchführen, bei denen Sie den Status 9 seit mindestens 24 Stunden haben. Eine Stornierung oder Löschung kann innerhalb ca. 24 Stunden erfolgen nachdem die Transaktion den Status 5 oder 9 hat.
Wenn Sie den Annahmeschluss des Akzeptanzpartner erfahren möchten, empfehlen wir Ihnen, dass Sie sich direkt an unseren Kundendienst wenden.