Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

Nye krav til betaling på webshop fra PBS

Side 1 ud af 1 (9 indlæg)
  • 1
Fra Klostertorvet 6, 2. tv 8000 Århus C
Tilmeldt 31. May 06
Indlæg ialt: 1541
Skrevet kl. 16:11
Hvor mange stjerner giver du? :

Er der nogen der kan finde ud af hvad der sker med de nye krav fra PBS?

Vi er nået frem til at implementation af kravene på shops som har eksisteret længere tid end fra 30 september 2008 er blevet udskudt fra 30/6-09 til 1/1-10. Men vi kan ikke rigtig finde noget på skrift om hvad det er der sker.

Er der tilfældigvis en eller anden venlig amino som ved lidt mere om hele det her show?

Mvh Peder
Fra Lyngby
Tilmeldt 26. Mar 05
Indlæg ialt: 9738
Fra  DEMIB HOLDINGS ApS Waimea Digital Skrevet kl. 16:13
Hvor mange stjerner giver du? :

Jeg har ikke hørt noget om nogle nye krav. Hvad skulle de dække?
Fra Værløse
Tilmeldt 5. Nov 07
Indlæg ialt: 686
Fra  Kammalou.com Skrevet kl. 16:13
Hvor mange stjerner giver du? :

Peder Taketwo.dk:
Er der nogen der kan finde ud af hvad der sker med de nye krav fra PBS?

Er det deres overgang til PBS ePayment fra 1. Juni du tænker på. Og ændret API for integrationen fra butiksløsninger ?

 

SAFe SPC, Magento Expert, Jira Guru, Kammalou.com

Fra Klostertorvet 6, 2. tv 8000 Århus C
Tilmeldt 31. May 06
Indlæg ialt: 1541
Skrevet kl. 16:19
Hvor mange stjerner giver du? :
Fra Værløse
Tilmeldt 5. Nov 07
Indlæg ialt: 686
Fra  Kammalou.com Skrevet kl. 16:29
Hvor mange stjerner giver du? :

Det er en konsekvens at overgangen PBS International foretog fra 1. juni 2009. 

Det er callback fra PBS ePayment API'et...

http://www.pbs-international.dk/8223E4B8-709B-4087-87A5-1C65EAC34594

 

Du kan få et SSL Certifikat til dit eget site der bør dække de nye krav billigt hos en lang række Certificate Authorities. (Comodo, GoDaddy, GeoTrust etc)

Dette vil sikre dig at du overholde de ændrede krav, og dermed også kan bruge SSL/HTTPS på din webshop.

Det kræver som regel også du ikke ligger på en shared host. Altså at du har dit eget unikke IP.

Det virker dog til at ePayment har løst det ved et relay betaling. 

 

SAFe SPC, Magento Expert, Jira Guru, Kammalou.com

Fra Klostertorvet 6, 2. tv 8000 Århus C
Tilmeldt 31. May 06
Indlæg ialt: 1541
Skrevet kl. 16:46
Hvor mange stjerner giver du? :

Hov, det forstod jeg ikke meget af Stick out tongue

Tror måske lige jeg sender den videre til en af programmørerne.

Konkret, vores situation; vi har en række webshopkunder som benytter en betalingsgateway hos wannafind. I forhold til de nye krav som kom fra PBS så er der noget med at betalingskort informationer skal indtastes på en proxy thingy, fremfor i shopsystemet som det sker nu.

Det krav er så på nuværende tidspunkt blevet annulleret (i følge wannafind) eller udskudt til 01/01-10 (ifølge PBS medarbejderen) men jeg kan ikke rigtig finde noget skriftligt om hvad der er sket med den deadline eller om der overhovedet eksisterer nogen fast deadline på nuværende tidspunkt.

Det kunne simpelthen være så rarrt hvis jeg kunne melde et eller andet definitivt videre til vores kunder. Det er jo ikke ligefrem fordi wannafind og PBS vælter omkring sig med informationer.

Vi fandt faktisk først ud af det i dag i forbindelse med at vi var ved at sætte den nye proxy op for en kunde med webbankbetaling. Og webbankbetaling var så tilfældigvis ikke understøttet i den nye proxy endnu.
Den situation brokker vi os så noget meget over (vi regner jo med at de forskellige shops skal køre på ny proxy fra på tirsdag), hvilket resulterer i at vi får svaret at vi da bare kan tage det helt roligt for PBS har annulleret deres krav.

Så har vi ellers lige brugt nogen timer i dag på at finde ud af hvad, hvor og hvornår der er gået galt med kommunikationen. Uden at vi er blevet synderlig meget klogere.

Mvh Peder
Fra Mageløs, Odense
Tilmeldt 29. Mar 05
Indlæg ialt: 958
Skrevet kl. 18:48
Hvor mange stjerner giver du? :

At jeres udbyder ikke har orienteret jer, synes jeg er meget mærkeligt - vi fik besked fra QuickPay d. 28/05 - 2008, inkl. komplet information om ændringerne samt links til dokumenter fra PBS.

Jeg har ikke hørt om, at PBS skulle have udskudt ændringen - det ville dog ikke undre mig. Har du slet ingen dokumentation om det?

Vi implementerede ændringerne i eBrev omkring 1/6 i år, og siden da har kortsalget faktisk været højere end normalt. Det virker som om vores kunder stoler mere på et fint popup-vindue end en integreret formular. Mærkeligt.
Fra Odense
Tilmeldt 8. Nov 07
Indlæg ialt: 174
Fra  LAIT Skrevet kl. 20:55
Hvor mange stjerner giver du? :

Hej Peder

Den korte forklaring:
Du kan fortsat bruge Wannafinds løsninger. Både "remote-load" eller proxy og deres betalingsvindue Smile

Som du kan se længere nede, har PBS svaret som følger: Vi gør opmærksom på, at den såkaldte proxi løsning hvor PSP'en henter forretningens design over på PSP'ens betalingsside er defineret som hosted løsning, dvs. ansvaret for sikkerheden ligger hos den enkelte IPSP'er.”

Den lange:
Vi har også en del kunder kørende på Wannafind's betalingsgateway, og disse kunder modtog tilbage i august 2008 i brev hvori det fremgik at deres API-løsning ville blive "ugyldig". Skæringsdatoen for denne "ugyldighed" afhang af hvor gammel webshoppen var. Fra starten af undrede det mig meget hvad Wannafind forsøgte at sige, og efter at have googlet rundt fandt jeg frem til en kontaktperson hos PBS som jeg tog fat i. Efterfølgende fik jeg fat i en af PBS' teknikere som gav mig forklaringen:

Det som PBS ville af med med dette tiltag, var forskellige API-implementeringer hvor kortdata blev transmitteret ukrypteret.

Jeg forsøgte med nedenstående skrivelse d. 17/11 2008 at fremprovokere et skriftligt svar fra PBS:

**********************************
1) Tilbage i august udsendte Wannafind et brev til deres kunder som forklarede at deres remote-load løsning ikke var tilladt fra og med 30/9. Jeg undrede mig over det, da Wannafinds remote-load løsning i mine (og (navn på PBS medarbejder) og vist også (navn på  Wannafind medarbejder) øjne er fuldt hostet. Siden da har jeg forsøgt at få et svar fra Wannafind, som forklarer mig at de forsøger at få et svar fra PBS.
Jo, da jeg bestilte indløsningsaftalen til (Webshop) afkrydsede jeg ”betalingen foregår i internetbutikken”, da alternativet var ”betalingsvindue” hvilket slet ikke er tilfældet.

2) (navn på PBS medarbejder) mente tilbage i august at Wannafind havde misforstået skrivelsen ang. de nye regler, da det som PBS vil til livs med de nye regler er ukrypteret transmission af kortdata. Wannafinds remote-load løsning tillader OVERHOVEDET IKKE ukrypteret transport af kortdata, og derfor bør den være 100% efter reglerne. (navn på PBS medarbejder) har mundtligt bekræftet dette over for mig i telefonen

3) Men Wannafind og jeg mangler et 100% klart svar på problematikken, og det undrer mig at det kan tage over 3 måneder at få det svar. Det er essentielt for mig og min virksomhed at kunne vejlede mine kunder bedst muligt i junglen ang. betalingsløsninger, og det kan jeg ikke hvis jeg ikke kan få reglerne at vide

Endnu engang: Jeg beklager den lidt aggressive tone, men sagen er virkelig problematisk for mig, da det er mig der kommer fremstå som en klovn over for mine kunder, når jeg ikke kan give et ordentligt svar.
**********************************

og svaret kom fra Wannafind d. 18/11 2008:

**********************************

Hej Anders,

Nu har jeg et endegyldigt svar fra vores side som er i overensstemmelse med de informationer vi har fået fra PBS.

Du kan fortsætte med at bruge ”Remote-load” Proxy løsningen.

” En hosted løsning er en løsning hvor alle kortdata er gemt, transmitteret og processet i et PCI DSS certificeret miljø hos en Qualified Security Assessor (QSA) certificeret IPSP'er. Alle andre løsninger er per definition ikke hosted og kræver derfor kvartalsvise sikkerhedsskanninger og årlig udfyldelse af SAQ. Vi gør opmærksom på, at den såkaldte proxi løsning hvor PSP'en henter forretningens design over på PSP'ens betalingsside er defineret som hosted løsning, dvs. ansvaret for sikkerheden ligger hos den enkelte IPSP'er.”

**********************************

Anders Lund
Lund & Andresen IT = Umbraco udvikling og ASP.NET

Fra Aalborg
Tilmeldt 7. Nov 07
Indlæg ialt: 438
Fra  ePay A/S Skrevet kl. 16:19
Hvor mange stjerner giver du? :

Ja der er nu ikke noget nyt i dette, da brevet og kravene blev offentliggjort for ca. 1 år siden. Den frist der lige er overskredet (pr. 1/7) betyder at der nu definitivt er lukket ned for autorisation via webservice / API og at man ikke må bruge sit eget SSL certifikat på betalingssiden mere (med mindre man overholder nedenstående krav).

Ifølge brev fra PBS til alle internetforretninger, er der "nye" sikkerhedskrav vedr. opsætningen af betalingsformularen, hvor der indtastes kortinformationer. De nye krav påkræver nu, at denne skal køre via en "hosted" betalingsløsning, og at kunderne indtaster betalingskortdata i et nyt betalingsvindue (skærmbillede), som ikke ligger på internetforretnings egen hjemmeside. Gennem ePay Standard Betalingsvindue og relay-script opfylder man de nye krav. Læs om løsningerne her: http://www.epay.dk/support/docs.asp 

Kort sagt - skærpning af kravene betyder:

  • Ingen må autorisere via webservice / API mere - dette skal ske fra en HTML betalingsformular
  • Betalingsløsningen skal være "hosted", dvs. køre igennem gatewayen, f.eks. via deres SSL certifikat.
  • Vil man bruge sit eget SSL certifikat skal man kvartalsvis sikkerhedsgodkendes via PCI reglerne, have over 20.000 transaktioner årligt (!) og godkendes hertil af PBS. 

Med venlig hilsen

Thomas Pedersen  - www.ePay.dk    

Interesseret i mobilbetaling?  Læs mere her

Side 1 ud af 1 (9 indlæg)
Bliv gratis medlem pa Amino