Difference between revisions of "Verkkomaksut"

From OWASP
Jump to: navigation, search
(6. Määritä paluuosoitteet käyttäen ainoastaan salattua yhteyttä (https))
Line 53: Line 53:
 
salattuun osoitteeseen vasta verkkokaupan päässä, tieto kulkee verkossa
 
salattuun osoitteeseen vasta verkkokaupan päässä, tieto kulkee verkossa
 
ensin salaamattomana.
 
ensin salaamattomana.
 +
 +
 +
== Linkkejä eri pankkien verkkomaksujen palvelukuvauksiin ==
 +
 +
'''Nordea'''
 +
[http://www.nordea.fi/sitemod/upload/root/fi_org/appx/fin/yri/pdf/E_maksu.pdf]
 +
 +
'''Aktia / SP / POP'''
 +
[http://www.samlink.fi/verkkomaksu/pdf/Sp_Pop-k%C3%A4ytt%C3%B6ohje_fi_v1.5_152010.pdf]
 +
 +
'''Handelsbanken'''
 +
[http://www.handelsbanken.fi/shb/inet/istartfi.nsf/FrameSet?OpenView&iddef=&navid=10_Verkkopalvelut&sa=/Shb/Inet/ICentFi.nsf/Default/qBAEB284F1A14043EC2257149003829DB]
 +
 +
'''Osuuspankki'''
 +
[https://www.op.fi/op?cid=150373005&srcpl=4]
 +
 +
'''Tapiola'''
 +
[http://www.tapiola.fi/NR/rdonlyres/117DC3E2-E5AB-4179-B0FD-4DD62FB96BEA/0/Verkkomaksunpalvelukuvaus.pdf]
 +
 +
'''S-pankki'''
 +
[http://www.s-pankki.fi/palvelut_yrityksille/verkkomaksu/fi_FI/verkkomaksu/_files/81046607223128605/default/Verkkomaksun%20palvelukuvaus%2012_2009.pdf]
 +
 +
'''Sampo pankki'''
 +
[http://www.sampopankki.fi/fi-fi/Yritysasiakkaat/Keskisuuri-yritys/Verkkopalvelut/Documents/Sampo%20Pankin%20verkkomaksupalvelu.pdf]
 +
 +
'''Ålandsbanken'''
 +
?
 +
 +
'''Verkkomaksut'''
 +
[http://www.verkkomaksut.fi/files/fi_svm_rajapintakuvaus.pdf]

Revision as of 03:05, 23 February 2011

Ohjeet turvallisen verkkomaksutoteutuksen tekemiseen

Contents

1. Varmista pankin paluutietojen oikeellisuus

Varmista, että kaikissa "OK"-paluuosoitteissa tulevat paluutiedot tarkistetaan oikein käyttäen mukana tulevaa tarkistetta ja kaikkia tarvittavia tietokenttiä.

Huomioitavaa: Esimerkiksi Nordea-pankissa paluutiedot lasketaan myös CANCEL ja REJECT url:issa ilman RETURN_PAID-kenttää, eli pelkkä oikean tarkisteen olemassaolo ei riitä osoittamaan maksun onnistumista. Onnistuneessa maksussa tulee olla RETURN_PAID kenttä mukana. Jos sitä ei ole, ei maksu ole onnistunut. Eri pankkien määritelmät poikkeavat toisistaan, mikä tulee ottaa huomioon toteutuksessa.

2. Varmista maksutapahtumien kertakäyttöisyys

Varmista, että maksun viitenumero/arkistointitunnus säilytetään. Maksutapahtumia hyväksyttäessä tulee tarkastaa, ettei vastaanotettua viitenumeroa/arkistointitunnusta ole käytetty aikaisemmin.

Toistohyökkäys voi olla mahdollinen, jos verkkomaksujen viitenumeroista tai arkistointitunnuksista ei pidetä kirjaa eikä tarkasteta.

3. Varmista maksun onnistuminen pankista transaktion jälkeen

Suurien ostosten yhteydessä on suositeltavaa aina tarkastaa tililtä, että maksu on todellisuudessa saapunut perille, ennen kuin tuote lähetetään asiakkaalle.

Mikäli tarkisteavaimet ovat päätyneet vääriin käsiin, on hyökkääjällä mahdollisuus luoda väärennettyjä maksuja. On suositeltavaa tehdä maksukysely jokaisen onnistuneen paluuviestin jälkeen, eikä luottaa pelkkään paluuviestiin.

4. Säilytä tarkisteavaimet turvallisesti

Tarkisteavaimet tulee siirtää suojattuun sijaintiin. Suositeltavaa on tehdä tarkisteavaimien käsittely täysin eriytetyssä ympäristössä erillään varsinaiselta verkkokauppapalvelimelta. Tämä rajoittaa pääsyä tarkisteavaimiin sekä oman henkilöstön, että mahdollisen hyökkääjän taholta.

5. Määritä prosessi tarkisteavaimien vaihtamiselle

Suunnittele prosessi, kuinka käytännössä vaihdetaan tarkisteavaimet niiden joutuessa vääriin käsiin tai avainhenkilöstön vaihtuessa.

6. Määritä paluuosoitteet käyttäen ainoastaan salattua yhteyttä

Varmista lähdekoodista, että kaikki paluuosoitteet alkavat https-alkuisella osoitteella, jolloin pankin tekemä uudelleenohjaus ei välity salaamattomana. Jos verkkokauppatoteutus tekee itse uudelleenohjauksen salattuun osoitteeseen vasta verkkokaupan päässä, tieto kulkee verkossa ensin salaamattomana.


Linkkejä eri pankkien verkkomaksujen palvelukuvauksiin

Nordea [1]

Aktia / SP / POP [2]

Handelsbanken [3]

Osuuspankki [4]

Tapiola [5]

S-pankki [6]

Sampo pankki [7]

Ålandsbanken ?

Verkkomaksut [8]