PayCore
Penyataan Keselamatan
PayCore dibina berdasarkan transaksi yang boleh dijejak, kelayakan yang boleh dikawal dan proses yang boleh disahkan untuk membantu aliran pembayaran dan notifikasi yang lebih selamat.
1. Keselamatan penghantaran
Halaman pembayaran, API, dan perkhidmatan admin PayCore harus diakses melalui HTTPS untuk mengurangi risiko penyadapan atau perubahan data.
2. Kelayakan dan kebenaran
API Key, Webhook Secret, akun admin, dan kredensial gateway adalah data sensitif. Pedagang harus membatasi akses, memeriksa risiko kebocoran, dan segera menyahaktifkan atau menggantikan jika dicurigai bocor.
3. Tandatangan dan pengesahan
Saat menerima Callback, Webhook, atau payok_url, pedagang harus memverifikasi sumber, tanda tangan, timestamp, dan status transaksi. Jangan menentukan sukses hanya dari redirect frontend atau notifikasi yang belum diverifikasi.
4. Penjejakan transaksi
PayCore menyimpan rekod status pembayaran, notifikasi, callback, penyegerakan, dan error yang diperlukan untuk melacak siklus transaksi dan investigasi.
5. Kawalan risiko
PayCore dapat menangguhkan, menolak, atau membatasi permintaan atau alur pembayaran tertentu berdasarkan transaksi abnormal, permintaan mencurigakan, traffic serangan, respons pihak ketiga, atau persyaratan undang-undang.
6. Keamanan sistem merchant
Pedagang harus mengamankan laman, pelayan, database, admin, dan kod integrasi sendiri. PayCore tidak bertanggungjawab atas kerugian akibat kerentanan, plugin, pengelolaan kata laluan, atau kebocoran data di sisi pedagang.
7. Kebolehpercayaan notifikasi
PayCore menyediakan notifikasi dan retry, tetapi penghantaran dapat dipengaruhi pelayan pedagang, firewall, DNS, pihak ketiga, dan jaringan. Pedagang harus menerapkan idempotency dan query status aktif.
8. Laporan keselamatan
Jika menemukan masalah keselamatan, kirim langkah reproduksi, masa, URL, pesan error, dan kesan melalui Pusat Dukungan. Jangan mengungkap atau mengeksploitasi kerentanan secara publik.