1. Einleitung

One Page Checkout ist eine Schnittstelle, über die Händler Transaktionen mit einer selbst entwickelten Zahlungsseite bei der Paypage-Plattform einreichen können:

  1. Das Alias Gateway: Sie senden die Kartendaten an unser System, wo sie sicher gespeichert werden (einschließlich CVC, jedoch nur für begrenzte Zeit).
  2. DirectLink: Zweitens Sie reichen den aktuellen Auftrag ein, ohne dazu die Kartendaten übermitteln zu müssen.

Vorteile:

  • Sie haben volle Kontrolle über Aussehen und Bedienung der Zahlungsseite einschließlich der Checkout-Sequenz.
  • Paypage bleibt während des Zahlungsprozesses vollkommen unsichtbar.
  • Nahtlose Integration für verschiedene Checkout-Szenarien einschließlich One Page Checkout.
  • Sie können auf der abschließenden Checkout-Seite Up- und Cross-Selling anbieten.
  • Alle wichtigen Kreditkartenmarken (Visa, MasterCard, American Express, Diners) sowie Direct Debits und Postfinance Card werden unterstützt.

2. Szenario für die Implementierung

Anmerkung: Beachten Sie, dass beim ersten Schritt kein kartenbezogener Vorgang abläuft. Unser System führt nur eine grundlegende Prüfung des Datenformats durch, kann aber nicht garantieren, dass die Karte noch gültig ist oder ein ausreichendes Guthaben zur Fortsetzung des Zahlungsvorgangs aufweist.

3. Schritt 1: Alias Gateway

Zur Nutzung des One Page Checkout müssen Sie eine Web-Seite erstellen, die ein Formular enthält, das Kartendaten NICHT an Ihre eigene Website, sondern stattdessen direkt an die Seite des Paypage Alias Gateways übermittelt. Auf diese Weise laufen die Kartendaten niemals durch Ihre Web-Server.

Die URL für das Alias Gateway lautet:

  • https://secure.paypage.be/ncol/test/alias_gateway.asp für Testbetrieb
  • https://secure.paypage.be/ncol/prod/alias_gateway.asp für regulären Betrieb

Hinweise: Sie können die Nutzung von UTF-8 erzwingen durch Aufruf der Seite "Alias_gateway_utf8.asp". Die Zeichencodierung wird bei allen darauf folgenden Umleitungen und Rückmeldungen beibehalten.

Wichtig

Für Sie ist es sowohl vom rechtlichen wie auch vom Sicherheitsstandpunkt aus sehr riskant, Kreditkartendaten auf der eigenen Website zu hinterlegen!

Es muss darum sichergestellt sein, dass diese Daten immer und ausschließlich an die Paypage Plattform übermittelt werden.

3.1 Input-Felder

Das Formular muss oder kann die folgenden Parameter enthalten:

Name

Beschreibung

Länge Pflicht
ACCEPTURL

URL für Umleitung im Erfolgsfall

AN, max. 255 Ja
ALIAS

Alias des Kunden

AN, max. 50 Nein
ALIASPERSISTEDAFTERUSE

Geben Sie an, ob Sie ein Alias nach der Verwendung vorübergehend oder unbegrenzt speichern möchten.

Mögliche Werte sind:

  • „N“: das Alias wird nach zwei Stunden gelöscht.
  • „Y“: das Alias wird für künftige Verwendung unbegrenzt gespeichert.

Dieser Parameter sollte nur in Kombination mit dem Alias Manager verwendet werden.

Y / N Nein
BRAND

Kreditkartenmarke

AN, max. 25 Kreditkarte: Nein
Direct Debits, PostFinance Card: Ja
CARDNO

Karten-/Kontonummer.

AN, max. 35

Kreditkarte, Direct Debits: Ja
PostFinance Card: n/a

CN

Name des Kunden.

AN, max. 50

Kreditkarte, Direct Debits: Ja
PostFinance Card: Nein

CVC

Kartenverifikationscode

AN, max. 6 Kreditkarte: Ja
Direct Debits, PostFinance Card: n/a
ECOM_CARDINFO_EXPDATE_MONTH*

Ablaufmonat*

N, 2 (MM)

Kreditkarte: Ja
Direct Debits: n/a
PostFinance Card: Nein

ECOM_CARDINFO_EXPDATE_YEAR*

Ablaufjahr*

N, 4 (YYYY) Kreditkarte: Ja
Direct Debits: n/a
PostFinance Card: Nein
ED* Expiry date N, 4 (MMYY) Kreditkarte: Ja
Direct Debits: n/a
PostFinance Card: Nein
EXCEPTIONURL

URL für Umleitung im Fehlerfall

AN, max. 255 Ja
LANGUAGE Sprache des Karteninhabers (e.g. de_CH, en_US, etc.) AN, 5 Kreditkarte, Direct Debits: Nein
PostFinance Card: Ja
ORDERID

Auftrags-ID

AN, max. 40 Ja
PARAMPLUS

Feld für die Einreichung einiger Parameter und deren Werte, die Sie in der Post-Sale-Anfrage zurückgesendet haben möchten.

AN, max. 1000
Nein
PSPID

Name Ihres Händlerkontos in unserem System.

AN, max. 30 Ja
SHASIGN

SHA Hash-Berechnung (Sicherheitsmerkmal)

AN, max. 128 Ja

* Der Händler kann das Ablaufdatum wahlweise in einem einzigen Feld (ED) oder in zwei Feldern übermitteln; beide Formate werden unterstützt. Werden beide übermittelt, hat das Feld „ED" Vorrang.

Hinweise:

  • Das Alias Gateway verwendet die in der Technischen Information für den Händler im Register „Globale Sicherheitsparameter" angegebene Zeichencodierung.
  • Alle Parameter werden ausgeblendet, mit Ausnahme von CN, CARDNO, CVC und ED, da diese vom Karteninhaber ausgefüllt werden müssen.

3.1.1 SHA-Signatur für Input

Damit wir die Integrität der Daten prüfen können, muss allen Anfragen eine SHA-Signatur beigefügt werden, wie es auch bei e-Commerce-Transaktionen der Fall ist. Weitere Informationen über SHA-Signaturen und deren Erzeugung nach finden Sie unter e-Commerce.

Unser System verwendet den SHA-Algorithmus, wie unter Global Security Parameters in der Technischen Information für den Händler definiert.

Da Sie die Kartendaten (CARDNO, CN, CVC, ED) nicht zur Verfügung stehen, was ja der Hauptzweck des Alias Gateways ist, sollten diese Parameter selbstverständlich NICHT in das SHA-Verfahren einfließen.

Sie können selbst entscheiden, ob der Parameter BRAND gesendet wird oder nicht. Wenn BRAND eingereicht wird, muss dies auch in der SHASIGN-Wertberechnung berücksichtigt werden.

Beispiel:

  • Parameter (in alphabetischer Folge):
    • ACCEPTURL: https://www.myshop.com/ok.html
    • EXCEPTIONURL: https://www.myshop.com/nok.html
    • PSPID: test1
  • Geheime Passphase (wie in der Technischen Information definiert): Mysecretsig1875!?
  • Zeichenfolge für Hashing: ACCEPTURL=https://www.myshop.com/ok.htmlMysecretsig1875!?EXCEPTIONURL=https://www.myshop.com/nok.htmlMysecretsig1875!?PSPID=test1Mysecretsig1875!?
  • Resultierende SHA-Signatur (SHA-1): 0F3455990D4859E20FD2B9F7B326304549DE6069

3.1.2 Direct Debits

Wenn Sie das Alias-Gateway und Direct Debits (DE, NL und/oder AT) verwenden:

  • Die Kontonummer (reguläre oder IBAN) muss mit dem Feld CARDNO gesendet werden.
  • Wenn relevant, muss die BIC (Bankcode) mit demselben Parameter gesendet werden: BIC
  • Das Input-Feld BRAND muss entweder 'Direct Debits NL', 'Direct Debits DE' oder 'Direct Debits AT' enthalten.

  • Das Ablaufdatum und die CVC-Felder sollten leer bleiben.

3.1.3 Maestro und Bancontact

Wenn sowohl die Zahlungsmethode Maestro als auch Bancontact im Konto aktiv sind, sollte der „BRAND“ Parameter verwenden, um den korrekten „BRAND“ Wert in der Antwort zu erhalten.

Wenn kein „BRAND“ Parameter verwendet wird, wird Paypage eine belgische Maestro Karte automatisch als Bancontact erkennen und verarbeiten.

3.1.4 PostFinance Card

Bei Verwendung der Postfinance Card ist zu beachten, dass die Prozedur geringfügig anders abläuft, weil der Karteninhaber zum Zeitpunkt der Alias-Erstellung aufgefordert wird, sich zu authentifizieren.

Die Felder LANGUAGE (Sprache) und AMOUNT (Betrag) sind Pflichtfelder. Der Minimumbetrag ist CHF / EUR 0.05.

3.1.5 Split credit/debit cards

3.2 Durchgeleitete Felder

Zusätzlich zu den Input-Daten können Sie ergänzende Felder übermitteln. Diese werden nicht auf unserem System gespeichert, aber den Umleitungs-URLs angehängt, und können so vom Sie für Irhe Bestellprozess wiederverwendet werden. Diese Felder werden als „Pass-Through Fields" (durchgeleitete Felder) bezeichnet.

Anmerkung:

  • Diese Felder müssen NICHT in die SHA-Signatur einfließen.
  • Diese Felder werden nicht in Kombination mit der PostFinance Card unterstützt; Wir empfehlen Ihnen, den PARAMPLUS Parameter zu verwenden (Siehe Input-Felder).

3.3 Output-Felder

Unser System hängt die Return URL (Annahme oder Fehler) die folgenden Parameter an, um Sie eine Rückmeldung zum Vorgang zu geben:

Name

Beschreibung

Max Länge
ALIAS

Alias generiert. Entsprechend 32-Ziffern-GUID-Format.
Beispiel: 34F5302C-85D7-4F35-BDF5-103CCEC2FB61

50

BIC

Der Bankidentifikationscode, für Bankeinzugstransaktionen.

Ein Wert wird nur dann zurückgegeben, wenn anfänglich angegeben, d.h. nicht von der IBAN abgeleitet.

11

BRAND

Kreditkartenmarke

25

CARDNO

Karten/Kontonummer (IBAN oder normal), wobei sensible Daten durch „X" ersetzt sind.

Beispiel: XXXXXXXXXXXX1111

Hinweis: Im Falle eines Fehlers wird auch die Karte durch Ersatzzeichen unkenntlich gemacht.

35

CN

Name des Karteninhabers

50

CVC

Card Verification Code für Kreditkarten, wobei sensible Daten durch „X" ersetzt sind.

Beispiel: XXX

6

ED

Expiry date, e.g. 0216 (for February 2016)

4

LANGUAGE Sprache des Karteninhabers
5

NCERROR

Fehlercode

50

NCERRORCARDNO

Fehlercode für spezifisches Feld

50

NCERRORCN

Fehlercode für spezifisches Feld

50

NCERRORCVC

Fehlercode für spezifisches Feld

50

NCERRORED

Fehlercode für spezifisches Feld

50

ORDERID

Eindeutige Identifikation des Auftrags. Erforderlich, damit wir im Falle eines Wiederholungsversuchs den Abgleich mit den Aliasen (Karte/CVC) vornehmen können

Die OrderID wird automatisch erzeugt und ist rein numerisch

40

SHASIGN

SHA-Signatur für Output

128

STATUS

Ergebnis der Alias-Erzeugung:

  • 0=OK
  • 1=NOK
  • 2=Alias aktualisiert
  • 3=Vom Benutzer abgebrochen

1

(weitere)

Durchgeleitete Felder + Felder aus ParamPlus

/

3.3.1 SHA-Signatur für Output

Unser System meldet, wie bei e-Commerce-Transaktionen, eine SHA-Signatur für die folgenden Parameter:

ALIAS
BIC
BRAND
CARDNO
CN
CVC
ED
NCERROR
NCERRORCARDNO
NCERRORCN
NCERRORCVC
NCERRORED
ORDERID
STATUS

3.4 Erneute Einreichung

Bei der erneuten Einreichung (weil beispielsweise der erste Versuch fehlgeschlagen ist) muss der Karteninhaber zuvor bereits validierte Daten nicht nochmals eingeben.

Beispiel: Wenn die Kartennummer OK ist, übermittelt der Browser die mit „X" maskierte Kartennummer und unser System gleicht sie mit der beim ersten Versuch gespeicherten Nummer ab.

Damit dies möglich ist, müssen Sie die OrderID bei jeder Anfrage übermitteln. Die gleiche OrderID wird jedes Mal zurückgesendet. Wenn keine OrderID übermittelt wird, erzeugt unser System eine solche ID. Wenn Sie eine neue ORDERID (Händlerreferenz) verwenden, werden Sie den Fehler 5555554 erhalten.

3.5 Fehlermeldungen

The following error messages may be returned by the Alias Gateway:

NCERROR
Beschreibung

5555554

Falsche ORDERID (bei resubmission)

55555555

Allgemeiner Fehler

50001184

SHA-IN stimmt nicht überein

50001186

*Vorgang nicht erlaubt
(wenn ein Händler eine ORDERID übermittelt, die bereits existiert)

50001187

*Vorgang nicht erlaubt

(wenn der Händler ein Alias sendet, das bereits existiert)

50001300
50001301
NCERRORCN
60001057

Name fehlt

50001174

Name ist zu lang

NCERRORCARDNO
30141001

Kartennummer ungültig

50001069

Marke und Kartennummer stimmen nicht überein

50001176

Kartennummer ist zu lang

50001177

Kartennummer enthält nicht-numerische Zeichen

50001178

Kartennummer zu kurz/fehlt

NCERRORCVC
50001090

CVC fehlt oder ist zu kurz

50001179

CVC zu lang

50001180

CVC enthält nicht-numerische Zeichen

NCERRORED
50001181

Ablaufdatum enthält nicht-numerische Zeichen

50001182

Ungültiger Ablaufmonat

50001183

Ablaufdatum muss in der Zukunft liegen

31061001

Ablaufdatum fehlt oder in falschem Format

Um den Alias-Namen verwenden zu können, der mit dem Alias Gateway erzeugt wurde, müssen Sie den ALIAS-Parameter mit einer Transaktion über DirectLink senden und dabei unsere Standard-Implementierung DirectLink nutzen.

5. Alias Update mit dem Alias Gateway

Das Alias Gateway kann auch zur Aktualisierung der bestehenden Aliase genutzt werden. Hierbei werden die gleichen Input-Felder wie beim Anlegen der Aliase verwendet.

Hinweis: Wenn Sie nur den Namen des Karteninhabers aktualisieren möchten, nur den neuen Namen samt bestehendem Alias einzureichen. Die mit X maskierte Kartennummer muss ebenfalls im Feld CARDNO gesendet werden. Der CVC ist nicht erforderlich.

In der Antwort informiert das Output-Feld STATUS den Händler über das Alias-Update (Status 2).

Ergebnis der Alias-Erzeugung.

  • 0 Ok
  • 1 Nicht OK
  • 2 Alias aktualisiert
Weitere Informationen finden Sie unter Alias Manager.

Häufig gestellte Fragen

In Ihrem Paypage-Konto können Sie Ihre Transaktionen ganz einfach nachschlagen. Dazu wählen Sie „Vorgänge“ und klicken dann je nach Art der gesuchten Transaktionsergebnisse entweder auf „Transaktionsansicht“ oder „Finanzielle Historie“ klicken.


Standardmäßig können Sie Waren abschicken oder Dienstleistungen erbringen, sobald eine Transaktion den Status „5 – Authorised“ (Autorisiert) oder „9 – Payment requested“ (Zahlung angefordert) erreicht hat. Auch wenn Status 5 eine Erfolgsmeldung darstellt, meldet er nur die vorübergehende Reservierung eines Geldbetrags auf der Karte des Kunden. Eine Transaktion mit Status 5 muss noch bestätigt werden (manuell oder automatisch), um in den Status 9 zu gelangen, der für die meisten Zahlungsverfahren der finale Erfolgsstatus ist.

Mit der Schaltfläche „Rückerstattung“ in der Auftragsübersicht einer Transaktion (unter „Transaktionsansicht“) können Sie eine Zahlung ganz einfach rückerstatten. Wenn Ihr Konto es unterstützt, können Sie auch Rückerstattungen mit einer DirectLink-Anfrage oder durch Hochladen einer Batchdatei (für mehrere Transaktionen) durchführen.
Bitte beachten Sie, dass die Option „Rückerstattungen“ in Ihrem Konto aktiviert sein muss. Bitte kontaktieren Sie hierzu Ihren Verkaufsberater oder schreiben Sie eine Email an epay@kbc.be.







Falls Sie bestimmte Details eines Auftrags bzw. einer Transaktion überprüfen oder Transaktionen verwalten möchten, sollten Sie „Transaktionsansicht“ verwenden. Mit Hilfe von „Finanzverlauf“ lassen sich ein- und ausgehende Gelder am bequemsten regelmäßig überprüfen.

 

Rückerstattungen können Sie nur für Transaktionen durchführen, bei denen Sie den Status 9 seit mindestens 24 Stunden haben. Eine Stornierung oder Löschung kann innerhalb ca. 24 Stunden erfolgen nachdem die Transaktion den Status 5 oder 9 hat. 
Wenn Sie den Annahmeschluss des Akzeptanzpartner erfahren möchten, empfehlen wir Ihnen, dass Sie sich direkt an unseren Kundendienst wenden.