Guide de connexion

S’abonner
Cet article décrit la procédure de connexion sécurisée de la solution de paiement sécurisé en ligne Payline.
 
 
Sécurité
Payline est conforme aux normes de sécurité et a obtenu la certification PCI DSS en 2008 et obtient son renouvellement de certification chaque année.
 
Dans la communication entre la solution de paiement Payline et le site marchand, deux mécanismes de sécurité sont mis en place selon la souscription du pack choisi : Echange de clef d’accès et Echange de certificat 
 
En fonction de votre environnement, vous pouvez être amené à ajouter dans votre « magasin de sécurité » (keystore) la clé publique du certificat « root » de Payline. Il s’agit du certificat délivré par l’autorité de certification VeriSign, inc. Cela permet à votre serveur d’authentifier les serveurs Payline et donc d’assurer une communication de serveur à serveur fortement sécurisée
 
Pre requis sécurité
Dans l’objectif de conserver vos communications avec Payline sécurisé, veuillez respecter les règles décrites ci-dessous.
 
Vous devez obligatoirement utiliser une connexion HTTPS sécurisé par TLS (SSL V2 n’est pas autorisé, SSL V3 est désactivé depuis le 14/01/2015 pour palier la faille « Poodle »).
 
Lorsque vous réalisez des demandes de paiement à l’API Payline, vous devez obligatoirement présenter votre identifiant de compte commerçant (Merchand ID) et votre clé d’accès (Merchant Access Key) pour réaliser une authentification http. Payline n’acceptera pas vos demandes si elles ne sont pas correctement authentifiées. 
 
Ne communiquez jamais votre clé d’accès (Merchant Access Key) à une tierce personne. Payline utilise votre clé d’accès pour vous identifier en tant qu’expéditeur de vos demandes de paiement. Aucun interlocuteur chez Payline ne la connaît et ne vous demandera cette information.
 
En complément, nous vous recommandons de vérifier l’authenticité du certificat serveur qui vous est présenté lors d’une connexion HTTPS avant d’envoyer vos données ou de réaliser une authentification HTTP. Cela consiste à s’assurer que :
Le certificat appartient bien à Payline,
Le certificat est signé par une autorité de certification digne de confiance,
Le certificat est toujours valide (n’est pas expiré et n’est pas révoqué).
 
L’utilisation d’iframe n’est pas compatible avec une utilisation optimale et sécuritaire de Payline. 
 
Echange de clé d’accès
Pour toute communication entre Payline et le site marchand, l’authentification se fait à l’aide des éléments suivant : votre identifiant commerçant, votre clef d’accès et votre numéro de contrat. 
 
Méthodes d’authentification HTTP
Payline utilise le mécanisme HTTP Basic Authentification pour authentifier les commerçants abonnés. Ce paragraphe explique comment fonctionne une authentification HTTP et comment l’implémenter dans le code client des services web.
 
HTTP Basic Authentification
Si votre identifiant de compte commerçant est 1234567890 et votre clé d’accès est DJMESHXYou6LmjQFdH, vous devez encoder en base64 la valeur de 123456 7890:DJMESHXYou6LmjQFdH. La chaîne obtenue est à ajouter à l’entête HTTP comme dans l’exemple ci-dessous :
 
Authorization : Basic MTIzNDU2Nzg5MdpESk1FU0hYWW91NkxtalFGZEg=
 
En fonction du langage informatique, l’identifiant et clé d’accès sont automatiquement encodés en base64 et ajoutés à l’entête HTTP. 
 
Grâce à cette mécanique, vous sécurisez de façon optimale vos échanges informatiques entre vos applications et Payline et assurez :
  • l’authentification des interlocuteurs : vos serveurs et les serveurs Payline
  • l’intégrité des messages
  • le cryptage des données
 
 
Vous devez vous assurer d’avoir les informations suivantes en contactant le service support de Payline, support@payline.com 
 
Votre identifiant commerçant : MerchantID 
Votre clé d’accès au service Payline : MerchantAccesskey 
Les certificats serveur Payline* : homologation et production
Votre ou vos contrats de vente à distance : contractNumber 
 
 
Points d’accès des services web :
  • En homologation : https://homologation.payline.com
  • �En production : https://services.payline.com
 
 
Echange de certificat
La mise en place de l’authentification par certificat de type class 3. 
Le certificat utilisé pour la signature devra être présent dans le magasin  des certificats pour accorder  l’accès. 
Le certificat client permettra de retrouver l’identifiant commerçant. 
Le certificat devra prendre en compte les exigences de sécurité PCI et de la solution de paiement Payline : Algo de hash : SHA-1, Clés de chiffrement : RSA (Longueur 2048 version V3). De plus la clef privée associée devra être supérieur ou égale à un encodage de 2048 bits (le common name doit être d’ID Marchant.)
 
Le CSR fournit par le commerçant sera signé par MONEXT, et ce certificat CSR signé sera déposé avec la clef privé généré lors de la création du csr dans le keystore du commerçant et il sera  utilisé lors de chaque appels web services vers la solution de paiement Payline.
 
Dans le cas où vous utilisez openSSL : 
La commande à exécuter pour générer  la clef privée  et le certificat csr : 
 
openssl req -out CSR.csr -sha1 -new -newkey rsa:2048 -nodes -keyout privateKey.key
 
Ensuite il faut répondre à un certain nombre de question. Le plus important est de mettre l'identifiant du commerçant dans le Common Name (pour l'exemple nous avons inséré comme exemple  id marchant 12345678)

 
Si vous souhaitez vérifier votre CSR, vous pouvez utiliser cette commande :
openssl req -text -noout -verify -in CSR.csr
 
 
Puis vous devez utiliser la commande décrite ci-dessous, dès réception du certificat signé par Monext, ce fichier générer le pkcs12, vous permettra de configurer votre serveur lors de chaque appel webservice
 
openssl pkcs12 -export -in cert_client_xxx.pem -inkey clef.key -certfile ca_inter.pem -out nom_du fichier_de_sortie.p12 -name "Nom du certificat"
 
Points d’accès des services web avec certificat client : 
  • En homologation : https://homologation-cc.payline.com
  • �En production : https://services-cc.payline.com
 
Vous avez d’autres questions ? Envoyer une demande

Commentaires

Réalisé par Zendesk