Datos de pago y pagador
Antes de enviar una solicitud para iniciar una transacción, recopile la información necesaria directamente del pagador o de su sistema.
Aunque el método de integración de Web-Services API le permite crear su propia página de pago para recopilar datos, asegúrese de hacer lo siguiente:
- Obtenga los datos necesarios sobre el pagador y su pedido de pago.
- Asegúrese de que el pagador le proporcione sus datos de forma segura en su aplicación.
- Incluya todos los datos necesarios que requiera cualquier función de pago específica y que desee utilizar en la solicitud.
- Utilice ID de pedidos y transacciones significativos para realizar un seguimiento del pedido y la transacción durante todo el proceso de pago.
Identificadores relacionados con la solicitud
Para identificar el pedido y las transacciones en todo su sistema y en su procesador de pagos, utilice los siguientes campos:
- ID de pedido
- Opcional: Referencia de pedido
- Opcional: Identificador del adquirente
- ID de transacción
Genere estos valores garantizando el carácter único requerido e idealmente aprovechando cualquier clave natural dentro de su sistema.
Para obtener más información sobre cada uno de estos identificadores y cómo usarlos, consulte Identificadores. Para obtener conocimientos básicos sobre Pedidos y transacciones.
Campos obligatorios para la operación de transacción.
Para identificar los campos obligatorios para la operación de transacción específica, consulte la Referencia de API para esa operación.
Visualización de datos de formulario HTML
Cuando recopila los datos necesarios del pagador utilizando campos de formulario HTML, no debe mostrar todos los campos de solicitud en el formulario HTML. Controle lo siguiente:
- Lo que se puede mostrar.
- Lo que se calcula en el código.
- Lo que no se debe mostrar, incluso los elementos etiquetados como campos ocultos.
Proteja su integración
Para garantizar la seguridad de su integración, exponga solo la cantidad mínima de datos a su pagador. Como mejor práctica, solo muestre los campos del formulario que requieran información del pagador. Por ejemplo, los campos de dirección de envío y facturación, los detalles de pago y los datos de la tarjeta de crédito. Estos son algunos consejos importantes para asegurar su integración:
- Nunca utilice los campos ocultos del formulario para pasar información relevante para procesar una transacción, ya que el pagador o alguien con intenciones maliciosas puede editar estos campos para procesar transacciones potencialmente fraudulentas. Esto se aplica especialmente a campos como el ID del negocio y la contraseña de API. Debe almacenar estos valores de forma segura en su servidor. Si un usuario fraudulento obtuviera acceso a estos datos, su cuenta sería susceptible a un posible ataque.
- Calcule siempre el monto del pedido inmediatamente antes de enviar la solicitud de transacción. Si almacena el valor como un campo oculto, un pagador fraudulento puede alterar el monto y, sin los controles correctos en su integración, puede manipular la transacción. Por ejemplo, pagando únicamente 1 USD en lugar de 100 USD.
- Para ver ejemplos de formularios HTML para operaciones básicas como AUTHORIZE, CAPTURE, REFUND y PAY, consulte Descargas.
Aunque los formularios de muestra cubren muchos campos como ejemplos, su integración no debe exponer todos esos campos, sino solo aquellos para los cuales necesita información del pagador.
Transferencia de datos segura en su página de pago
Los sitios web que recopilan datos sensibles o confidenciales deben utilizar TLS para proteger los datos transferidos entre el explorador de Internet del pagador y su aplicación. Cuando un explorador de Internet pasa datos a un servidor web, como su aplicación web, el uso de TLS protege los datos y los destinatarios no deseados no pueden interceptarlos ni verlos.
Si utiliza el método de integración de Web-Services API, su aplicación debe presentar al pagador un formulario seguro utilizando TLS para recopilar datos de pago confidenciales. Considere la posibilidad de utilizar un formulario seguro también cuando recopile información menos sensible pero aún confidencial, como las direcciones de los pagadores.
Varios navegadores ahora requieren el uso de HTTPS con certificados TLS válidos para evitar presentar errores de seguridad a los clientes.