Zahlungsabwicklung von Server-zu-Server

Wenn Sie eigene Formulare für die Eingabe der Zahlungsdaten gestalten wollen, können Sie Ihre Transaktionen über eine Server-zu-Server-Verbindung im Hintergrund abwickeln. In diesem Fall speichert Ihr System Zahlungsdaten wie Kreditkartennummern oder Bankverbindungen und baut dann eine TLS-Socket-Verbindung zum

Ablauf einer Server-zu-Server-Zahlung

Hinweis: Bitte beachten Sie, dass Buchungen, Gutschriften und Statusabfragen nur über die Server-zu-Server-Verbindung oder per Batch möglich sind.

Zahlungsabwicklung über Batch

Der Batch-Manager erlaubt die Übertragung von Zahlungstransaktionen in Form von Dateien. Dabei sammeln Sie Transaktionsdaten wie Transaktions-ID, Betrag und Währung in einer Batch-Datei, die Sie später an das

Sicherheit: Payment Card Industry (ehemals Visa AIS und MasterCard SDP)

Für die Sicherheit der Kreditkartenzahlungen im Internet ist entscheidend, wo die Kreditkartendaten erfasst und gespeichert werden. Die Kartenorganisationen haben mit der PCI-Sicherheitszertifizierung (Payment Card Industry) ein Sicherheitsprogramm etabliert, um die sichere Speicherung der Kreditkartendaten zu gewährleisten. Bitte beachten Sie, dass die Teilnahme an PCI verpflichtend und kostenpflichtig ist, wenn Sie Kreditkartendaten selbst speichern oder weiterleiten. Entscheidend dafür ist die Variante der Händler-Schnittstelle:

1)

Multiexcerpt include
SpaceWithExcerpt DE MultiExcerptName Platform-Kurz PageWithExcerpt Wording

HTML-Formular

Hier werden die Kreditkartendaten nur auf dem gesicherten

2) Server-zu-Server-Zahlung

Die Speicherung der Kreditkartendaten erfolgt auf Ihren Systemen. Damit werden Sie unter Umständen verpflichtet, das PCI-Sicherheitsprogramm von MasterCard und VISA zu durchlaufen, welches mit jährlichen Zertifizierungskosten und Aufwand verbunden ist. Detaillierte Informationen dazu erhalten Sie bei Ihrer Kreditkartengesellschaft.

Hinweis: Bitte beachten Sie, dass Visa und MasterCard strenge Sicherheitsregularien zum Schutz der Kreditkartendaten erlassen haben. Wer Kreditkartennummern auf seinem System speichert oder auch nur durchleitet, muss seine Server einer regelmäßigen und kostenpflichtigen Sicherheitszertifizierung unterziehen. Sie sollten deshalb die

3) Batch

Zahlungsdaten lassen sich als Batch-Datei beim

4) PayNow – der Silent Mode

Bei der PayNow-Lösung erfolgt die Dateneingabe des Kunden ähnlich der Server-zu-Server-Lösung mit dem wesentlichen Unterschied, dass die Kreditkartendaten vom Browser (Client) des Endkunden direkt an

Prinzipien der

Multiexcerpt include
SpaceWithExcerpt DE MultiExcerptName Platform-Kurz PageWithExcerpt Wording

-Programmierung

Die Händler-Schnittstelle dient ganz allgemein der Aufnahme von Transaktionen aus dem Internet. Diese Schnittstelle kann nicht nur von Shops sondern auch von Warenwirtschaftssystemen genutzt werden, um zum Beispiel nach der Warenlieferung die Buchung über das

Um die Kompatibilität mit Programmiersprachen und Betriebssystemen zu erreichen, verzichtet das

Die Kommunikation mit dem

Bitte beachten Sie, dass das

Zugelassene Cipher:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

Bei dieser homogenen Schnittstelle werden unabhängig von der Zahlungsmethode in der Regel dieselben Parameter an diese Internet-Seiten übergeben, so dass alle Zahlungsmethoden prinzipiell gleich funktionieren und keinen Zusatzaufwand verursachen.

Die wichtigsten Parameter für den Aufruf der Internet-Seiten sind:

• HändlerID (engl. MerchantID)
• Betrag (engl. Amount) und Währung (engl. Currency)
• URLs für Status-Meldungen

Die MerchantID ist ein alphanumerischer Wert, die den Händler eindeutig identifiziert und von uns vergeben wird. Die Parameter Amount und Currency bestimmen die Höhe der Zahlung. Außerdem geben Sie eine Internet-Seite des Shops an, die das Ergebnis der Zahlung entgegennimmt: Nach Durchführung der Zahlung bestätigt das

Das folgende Listing zeigt ein typisches Beispiel mit Parametern für die Durchführung einer Zahlung:

Hinweis: Je nach Implementierung erfolgt der Aufruf von URLSuccess und URLFailure über ein Redirect (HTTP Status 302 Object Moved) und ist dann vom Browser des Kunden abhängig. Um sicher zu gehen, dass der Shop über den korrekten Status der Zahlung informiert wurde, sendet das

Funktionsweise der Händler-Schnittstelle

Um Zahlungsaufträge an die

Ein Bezahlvorgang sieht im Prinzip so aus:

Die simple Übermittlung einer Zeichenkette hat den Vorteil, dass auf dem Shop-Server keine Software installiert werden muss. Außerdem funktioniert die Schnittstelle mit allen gängigen Zahlungsmethoden, so dass eine Verbindung zum

Zahlungen über

Multiexcerpt include
SpaceWithExcerpt DE MultiExcerptName Platform-Kurz PageWithExcerpt Wording

-Formulare

Bei Zahlungen über die

Ablauf einer Zahlung mit

Ablauf der Zahlung

Um Zahlungen über

Alle Daten, die für eine Zahlungsabwicklung notwendig sind, werden als Parameter übergeben. Damit weder der Kunde noch ein Dritter die Daten manipulieren kann, werden die Parameter mit Blowfish verschlüsselt und durch eine HMAC-Authentisierung (siehe nachfolgend) geschützt.

Beim Aufruf des Formulars entschlüsselt das

Nach Durchführung der Zahlung leitet das

Hinweis: Bitte beachten Sie, dass der Händler sowohl HTTPS GET als auch HTTPS POST verarbeiten können muss. Ob GET oder POST verwendet wird, hängt von der Zahlungsart und Implementierung ab.

Aufruf eines

Multiexcerpt include
SpaceWithExcerpt DE MultiExcerptName Platform-Kurz PageWithExcerpt Wording

-Formulars

Der Aufruf eines

Alle Parameter werden in einer Zeichenkette aneinandergereiht und durch das Zeichen & getrennt:

Hinweis: Da die Zeichen "=" und "&" als Trennzeichen verwendet werden, können diese Zeichen nicht als Wert übergeben werden. Alle Werte, die Sie ohne Blowfish-Verschlüsselung übergeben, müssen URL-encoded sein.

Eine korrekte Parameter-Zeichenkette für das

Der Parameter Data enthält die sensiblen Zahlungsdaten wie Betrag und Währung. Die verschlüsselten Bytes sind Hex-codiert und auf zwei Zeichen von links mit einer Null aufgefüllt. Die Verschlüsselung erfolgt über Blowfish ECB und steht Ihnen als Source-Code und Komponente zur Verfügung.

Für die Entschlüsselung ist der Parameter Len sehr wichtig, der die Länge der unverschlüsselten(!) Zeichenkette im Parameter Data enthält. Da bei der Verschlüsselung mit Blowfish die zu verschlüsselnde Datenmenge auf ein Vielfaches von 8 vergrößert wird, muss bei der Entschlüsselung die korrekte Länge der Zeichenkette bekannt sein. Andernfalls tauchen am Ende der Zeichenkette zufällige Zeichen auf.

Die Übergabe der Parameter erfolgt per HTTPS POST oder HTTPS GET. Die empfohlene Übertragungsmethode ist HTTPS POST, weil die Parameterzeichenkette bei GET an die URL angehängt wird, die je nach Browser auf 2048 Bytes begrenzt ist.

Hinweis: Bitte beachten Sie, dass die maximale Länge einer Zahlungsanfrage auf 5120 Zeichen begrenzt ist. Wenn Sie längere Zeichenketten benötigen, melden Sie sich bitte beim

Die folgenden Listings zeigen die Entwicklung eines Zahlungsaufrufs. Das erste Listing ist die unverschlüsselte Parameterzeichenkette:

Hinweis: Bitte beachten Sie, dass jedem Parameter ein Wert zugewiesen wird. Leere Parameter dürfen nicht übergeben werden, da andernfalls die Zahlung scheitern kann.

Diese Zeichenkette wird verschlüsselt und als Parameter Data übergeben, so dass der HTTPS GET Aufruf des

<A href="https://www.computop-paygate.com/payssl.aspx?MerchantID=YourMerchantID&Len=162&Data=E98D40FFFD622C5FE7414F73539A1852C2CE7C8B09D34DF217E27FA2E194B9968DE9ABAE3B1F44B5485EFE3EF2597C7395BADBAD4340CDFD000DD57129EEFAA0BE904A7E2339DCF9363DA6ACDBE5EF98E169FC3092B160252A037135421FD0CE092C174A7D1D63517BD45099AC2B682F5E3CD2C942A6F0E741A833C0&Background=https://www.meinshop.de/grafik/hintergrundbild.jpg">Zahlen</A>

Hinweis: Bitte beachten Sie, dass die Parameter zum Layout des Formulars unverschlüsselt übergeben werden.

Für HTTPS POST wird ein HTML-Formular erstellt und alle Parameter als Hidden Fields übergeben. Nur die Schaltfläche Zahlen ist für den Kunden sichtbar:

<FORM method="POST" action="https://www.computop-paygate.com/payssl.aspx">
      <INPUT type="hidden" name="MerchantID" value="YourMerchantID">
      <INPUT type="hidden" name="Len"        value="162">
      <INPUT type="hidden" name="Data"
value="E98D40FFFD622C5FE7414F73539A1852C2CE7C8B09D34DF217E27FA2E194B9968DE9ABAE3B1F44B5485EFE3EF2597C7395BADBAD4340CDFD000DD57129EEFAA0BE904A7E2339DCF9363DA6ACDBE5EF98E169FC3092B160252A037135421FD0CE092C174A7D1D63517BD45099AC2B682F5E3CD2C942A6F0E741A833C0">
      <INPUT type="hidden" name="Background" value="https://www.meinshop.de/grafik/hintergrundbild.jpg">
      <INPUT type="submit" name="Pay"     value="Zahlen">
</FORM>

Benachrichtigung des Shops

Nach Durchführung der Zahlung informiert das

Hinweis: Bitte beachten Sie, dass der Notify-Aufruf aus Sicherheitsgründen nur über Port 443 (TLS) erlaubt ist.

Sofern die URLNotify des Shops nicht erreichbar ist (z.B. HTTP-Status 500/404), wird die Benachrichtigung 8-mal wiederholt. In diesem Fall erfolgt die Weiterleitung des Kunden zum Shop vor dem URLNotify-Aufruf. Deshalb sollte der Shop die beiden Status-Rückmeldungen von URLNotify und Weiterleitung (URLSuccess, URLFailure) auswerten und abgleichen.

Zeitpunkte der Wiederholung des Notify jeweils berechnet nach dem ersten gescheiterten Versuch

Hinweis: Die Parameterübergabe erfolgt URL-encoded in Schlüssel-Werte-Paaren (Schlüssel1=Wert1&Schlüssel2=Wert2). Beachten Sie bitte, dass jederzeit neue Parameter unangekündigt hinzukommen können. Verwenden Sie daher bitte den Parameter-Namen für die Auswertung und nicht die Reihenfolge, weil diese sich jederzeit ändern kann! Die Groß-/Kleinschreibung der Parameter sollte nicht beachtet werden, da sich diese ebenfalls ändern kann. Empfehlenswert ist es zum Beispiel, alle Parameter per Funktion „to lower“ umzuwandeln und einheitlich mit Kleinschreibweise weiterzuarbeiten.

Weitere Informationen finden Sie hier:

www.w3.org/MarkUp/html-spec/html-spec_8.html#SEC8.2.1

Weiterleitung des Kunden zum Shop

Nachdem die Zahlung erfolgt ist, wird der Kunde per HTTP GET wieder zum Shop weitergeleitet. Dabei liefert das

Richtig testen

Bis Sie die Programmierung des Zahlungsverkehrs abgeschlossen haben, befindet sich Ihre

Hinweis: Bitte nutzen Sie auch im Testmodus nur kleine Beträge zwischen 0,11 und 2 Euro, denn die Kreditkartenautorisierungen sind auch im Test echt und reduzieren das Limit Ihrer Kreditkarte. Wenn Sie größere Beträge nutzen und das Kartenlimit erreichen, wird sonst Ihre Kreditkarte temporär nicht mehr funktionieren.

Bei erfolgreichen Zahlungen liefert das

Wenn Sie die verschiedenen Fehlerfälle testen wollen, erlaubt das

Testfälle mit Timeout

Eine Kreditkartenzahlung ist normalerweise innerhalb von ein bis zwei Sekunden abgeschlossen. In seltenen Fällen kommt es aber vor, dass Zahlungen aufgrund langer Verarbeitungszeiten im Banknetzwerk abgebrochen werden. Das

Zahlungen per Server-zu-Server-Verbindung

Bei Zahlungen über die Server-zu-Server-Kommunikation sind Zahlungsdaten wie Kreditkartennummern und Bankverbindungen beim Händler schon vorhanden. Shop oder Warenwirtschaftssystem bauen eine TLS-Socket-Verbindung zum

Ablauf einer Server-zu-Server-Zahlung

Hinweis: Bei der Zahlungsabwicklung über eine Server-zu-Server-Verbindung müssen Sie die Kommunikation mit dem

Hinweis: Bitte stellen Sie sicher, dass Sie auf eine Zahlung (PayID) nicht mehrere Aufrufe/Request zeitgleich senden, da dies zu Fehlern in der Transaktionsverarbeitung führen kann. Stellen Sie sicher, dass zwischen zwei Aufrufen auf eine Zahlung/PayID mehrere Sekunden liegen.

Ablauf einer Server-zu-Server-Zahlung

Der Aufruf eines Zahlung beginnt mit der korrekten Zusammenstellung der Parameter, die aus einem Schlüssel und einem Wert bestehen und durch ein Gleichheitszeichen (=) getrennt sind. Es handelt sich hier um sogenannte Name-Value-Paare (NVP):

Alle Parameter werden in einer Zeichenkette aneinandergereiht und durch das Zeichen & getrennt:

Hinweis: Da die Zeichen "=" und "&" als Trennzeichen verwendet werden, können diese Zeichen nicht als Wert übergeben werden. Alle Werte, die Sie ohne BlowFish-Verschlüsselung übergeben, müssen URL-Encoded sein. Von dieser Regel gibt es nur eine Ausnahme: Bei Kreditkarten, die für Verified/SecureCode/SafeKey/JSecure/ProtectBuy registriert sind, wird z.B. die ACSURL uncodiert übergeben.

Eine korrekte Parameter-Zeichenkette für das

Der Parameter Data enthält die sensiblen Zahlungsdaten wie Betrag und Währung. Die verschlüsselten Bytes sind Hex-codiert und auf zwei Zeichen von links mit einer Null aufgefüllt. Die Verschlüsselung erfolgt über Blowfish ECB und steht Ihnen als Source-Code und Komponente zur Verfügung.

Für die Entschlüsselung ist der Parameter Len sehr wichtig, der die Länge der unverschlüsselten(!) Zeichenkette im Parameter Data enthält. Da bei der Verschlüsselung mit Blowfish die zu verschlüsselnde Datenmenge auf ein Vielfaches von 8 vergrößert wird, muss bei der Entschlüsselung die korrekte Länge der Zeichenkette bekannt sein. Andernfalls tauchen am Ende der Zeichenkette zufällige Zeichen auf.

Die folgenden Listings zeigen die Entwicklung eines Zahlungsaufrufs. Das erste Listing ist die unverschlüsselte Parameterzeichenkette:

Hinweis: Bitte beachten Sie, dass jedem Parameter ein Wert zugewiesen wird. Leere Parameter dürfen nicht übergeben werden, da andernfalls die Zahlung scheitern kann.

Diese Zeichenkette wird mit Blowfish verschlüsselt:

Um Zahlungen über eine Server-zu-Server-Verbindung auszuführen, öffnen Sie eine TLS-Socket-Verbindung zum

Sobald die TLS-Socket-Verbindung steht, wird ein normaler HTTP POST der Version 1.1 ausgeführt. Dabei müssen folgende Felder im HTTP-Header angegeben werden:

Pflichtangaben im HTTP-Header

Der HTTP-Body enthält die Parameterzeichenkette. Beachten Sie, dass die Werte URL-encoded übergeben werden müssen. Das folgende Listing ist ein Beispiel für eine Kreditkartenzahlung:

Hinweis: Bitte beachten Sie, dass die maximale Länge einer Zahlungsanfrage auf 5120 Zeichen begrenzt ist. Wenn Sie längere Zeichenketten benötigen, melden Sie sich bitte beim

Die Antwort des

Die entschlüsselte Antwort des

Es handelt sich um eine synchrone Kommunikation, so dass die Socket-Verbindung offen bleibt, bis das

Hinweis: Die Parameterübergabe erfolgt URL-encoded in Schlüssel-Werte-Paaren (Schlüssel1=Wert1&Schlüssel2=Wert2). Beachten Sie bitte, dass jederzeit neue Parameter unangekündigt hinzukommen können. Verwenden Sie daher bitte den Parameter-Namen für die Auswertung und nicht die Reihenfolge, weil diese sich jederzeit ändern kann! Die Groß-/Kleinschreibung der Parameter sollte nicht beachtet werden, da sich die-se ebenfalls ändern kann. Weitere Informationen finden Sie hier:

www.w3.org/MarkUp/html-spec/html-spec_8.html#SEC8.2.1