NSIApay adalah payment gateway untuk melakukan pembayaran online, yang digunakan bila sebuah merchant web tidak memiliki sebuah https atau perjanjian dengan kartu-kredit, mereka dapat melakukan pembayaran melalui situs ini. Karena selain mudah, dia juga dilengkapi dengan metode pembayaran cicilan... Luar biasa bukan!
situs ini juga menangani permasalahan-permasalahan web standar seperti x-site-forgery, sql injection dan x-site-scripting... dengan cara sederhana, yaitu melakukan request bolak balik kepada situs kita :)... walopun time consuming, paling tidak situs mercant tidak perlu menggunakan metode enkripsi form seperti pada paypal <_<, memudahkan untuk situs yang tidak memiliki SSL untuk memvalidasi form :D...
kemudian, dari segi keamanan... mereka sudah menggunakan metode POST untuk setiap pengiriman data... sehingga lebih aman, karena tidak terlihat disisi user, data apa saja yang perlu dikirim.
namun, metode x-site-request dengan cara ini tidak disupport drupal :(... sehingga diperlukan sedikit perubahan... dan pengamanan dengan melakukan filterisasi dari request ke server kita, untuk menghindari x-site-forgery :D... dengan cara
$_SERVER['REMOTE_ADDR'] = [address server nsiapay]... kalo di PHP :)...
secara overall, Nsiapay nyaris sempurna, cuma ga bisa pake drupal aja :(
Subscribe to:
Post Comments (Atom)
4 comments:
Hehehe...
Yg di cicilan itu sebenernya adalah recuring billing atau pendebetan berulang yang konsepnya sebtulnya untuk pembayaran rutin seperti listrik, hp, layanan service, dll. Tapi memang bisa diimplementasikan untuk cicilan, hanya saja tidak ada kelebihan seperti bunga 0%. :)
Untuk security yg bolak balik itu, dari sisi merchant juga harus hati2 untuk script2 konfirmasi dari nsiapay. Gunakan nama yg tidak lazim yg lain dari dokumentasi. Jadi gak semua orang tahu.
Yang bikin relatif aman adalah, pengisian kartu kredit ada disisi NSIAPay (domainnya) yg sudah SSL + EV, bukan di sisi Merchant. Jadi, data yg dikirim dari merchant ke nsiapay hanyalah data transaksi BUKAN data kartu kredit. Jika ada yg iseng, si hacker tidak mendptkan keuntungan apapun, selain iseng untuk merugikan pemilik kartu kredit yg (mungkin) ia curi dari tempat lain, misalnya kartu kredit temennya, yg ia ingin jahili. Hehehe...
Dan security NSIAPay, saat ini lumayan, namun security selalu berkembang dan akan selalu diaudit mengikuti perkembangan jaman. Semakin canggih, semakin mudah suatu enkripsi dibobol hanya dalam hitungan hari. Misal saja tahun 2030 3DES sudah tidak boleh dipake lagi, harus pake AES. Jadi ada standarisasi yg selalu berubah2 dan VISA atau jaringan financial pun akan mengikuti standard tersebut. Dan begitu juga NSIAPay yg selalu mengikuti aturan2 baru dari pihak Bank2.
Untuk Drupal, maaf saat ini belum terlalu mendukung karena keterbatasan Drupal itu sendiri. Yg kami terapkan sangat basic sekali yg kami pikir seluruh framework pasti bisa. Ternyata, di beberapa kasus seperti Drupal, sulit untuk diterapkan (harus bongkar framework).
Untuk mencegah xss, coba lihat didokumentasi mengenai OWASP ESAPI. atau ke http://www.owasp.org/index.php/Category:OWASP_Enterprise_Security_API. Disitu dijelaskan bagaimana mencegah manipulasi2 yang biasa dilakukan melalui internet. Website ini di rekomendasi oleh Auditor kita dari luar untuk payment gateway dan juga PCI / Payment Card Industry.
:)
serius kali bung ando ini :)... makasih untuk mampir pak, ngeri lah... ampun kk ^:)^... kerenan dari paypal sih :D
itu bisa untuk drupal versi berapa aja?
bisa buat semuanya kok
Post a Comment