Stille Auftragserteilung (PayNow)

Überblick

Eine Stille Auftragserteilung oder Direkte Erteilung ist eine Übertragungsmethode, bei der Formulardaten von einer Händler-Webseite direkt an einen Server eines Dritten abgeschickt werden. Das wird üblicherweise durch das Attribut form action erreicht, welches die URL angibt, wohin die Daten zu senden sind.

Sensible Daten wie Kartendetails können innerhalb der Händler-Webseite erfasst werden, ohne dass diese vom Server des Händlers verarbeitet werden, da der POST still übermittelt wird. Die URL im Computop Paygate für den Empfang von Anfragen der Stillen Auftragserteilung wird als PayNow bezeichnet.

<form action="../payNow.aspx" method="post">

Dieser Ansatz ist sehr ähnlich zu den bei Computop gehosteteten Zahlungsformularen und lässt dem Händler die volle Kontrolle über den Bezahlvorgang, da alle Elemente der Webseite vom Server des Händlers bereitgestellt werden.

PCI-DSS Betrachtungen

Händler, die Kartentransaktionen mit dem Modell der Stillen Erteilung verarbeiten, müssen den Fragebogen PCI DSS Self-Assessment Questionnaire (SAQ) A-EP einreichen. Dieser SAQ ist umfangreicher und kann daher mehr Zeit und Ressourcen erfordern als der SAQ A für Händler, die gehostete Zahlungsseiten verwenden. Händler sollten sich jedoch immer mit ihrem Acquirer beraten, um das Maß der erforderlichen Compliance zu beurteilen und dabei die PCI DSS Richtlinien beachten. Das wirkt sich nicht auf die Verwendung von Pseudokartennummern aus, was ohne Einreichung des SAQ-Fragebogens möglich ist.

Hinweis zum Cookie-/Session Handling

Bitte beachten Sie, dass einige Browser beim Rücksprung zu Ihrem Shop erforderliche Cookies blockieren könnten. Hier finden Sie weitere Informationen und verschiedene Lösungsansätze.

Sequenzdiagramm

COO 6505 1000 11 1040333

Zahlungsanfrage

Bitte übermitteln Sie die Formulardaten per POST wie in der nachstehenden Tabelle dargestellt an https://www.computop-paygate.com/payNow.aspx

Formularelemente

Data Element

Legacy Element

Beschreibung

MerchantID

HändlerID, die von Computop vergeben wird

Len

Die Länge des Originals verschlüsselt mit Blowfish

Data

Per Blowfish verschlüsselte Daten

number

CCNr

Kartennummer

securityCode

CCCVC

Kartenprüfnummer

expiryDate

CCExpiry

Kartenablaufdatum im Format JJJJMM

brand

CCBrand

Kartensystem

cardholder

CreditCardHolder

Name des Karteninhabers, wie er auf der Karte gedruckt ist.

Hinweis: Alphanumerische Sonderzeichen gemäß EMV Book 4, „Anhang B“. Sonderzeichen wurden mit EMV 3DS Version 2.3 hinzugefügt, aber nicht alle Teilnehmer (Banken) unterstützen diesen Standard bereits.

(- Computop wird weiterhin die alten Formulardatenfelder unterstützen, die derzeit verwendet werden. -)

Daten

Key

Format

CND

Description

MerchantID

ans..30

HändlerID, die von Computop vergeben wird. Dieser Parameter ist zusätzlich auch unverschlüsselt zu übergeben.

TransID

ans..64

Ihre eigene TransaktionsID, die für jede Zahlung eindeutig sein muss

MsgVer

ans..5

Message-Version.

Zulässige Werte:

RefNr

Eindeutige Referenznummer des Händlers, welche als Auszahlungsreferenz in der entsprechenden Acquirer EPA-Datei angegeben wird. Bitte beachten Sie, ohne die Übergabe einer eigenen Auszahlungsreferenz können Sie die EPA-Transaktionen nicht zuordnen, zusätzlich kann das Computop Settlement File (CTSF) auch nicht zusätzlich angereichert werden.

Informationen zum unterstützten Format finden Sie weiter unten in der zahlartspezifischen Beschreibung.

Es sind ausschließlich ASCII-Zeichen erlaubt. Sonderzeichen wie ("Umlaute", ...) sind nicht erlaubt und müssen ggf. durch ASCII-Zeichen ersetzt werden (z.B. ü → ue, é → e, ...).

Amount

n..10

Betrag in der kleinsten Währungseinheit (z.B. EUR Cent). Bitte wenden Sie sich an den Computop Helpdesk, wenn Sie Beträge < 100 (kleinste Währungseinheit) buchen möchten.

Currency

Währung, drei Zeichen DIN / ISO 4217, z.B. EUR, USD, GBP. Hier eine Übersicht: A1 Währungstabelle

Capture

an..6

Bestimmt Art und Zeitpunkt der Buchung (engl. Capture).

Buchungsart

Beschreibung

AUTO

Buchung sofort nach Autorisierung (Standardwert).

MANUAL

Buchung erfolgt durch den Händler – in der Regel erfolgt die Buchung zum Zeitpunkt der Warenauslieferung bzw. Leistungserbringung.

<Zahl>

Verzögerung in Stunden bis zur Buchung (ganze Zahl; 1 bis 696).

billingDescriptor

ans..22

Ein auf dem Kontoauszug des Karteninhabers zu druckender Beschreiber. Beachten Sie bitte auch die andernorts gemachten zusätzlichen Hinweise für weitere Informationen über Regeln und Vorschriften.

OrderDesc

ans..768

Beschreibung der Bestellung

AccVerify

Indikator zur Anforderung einer Konto-Verifizierung (alias Nullwert-Autorisierung). Wenn eine Konto-Verifizierung angefordert wird, ist der übermittelte Betrag optional und wird für die tatsächliche Zahlungstransaktion (d.h. Autorisierung) ignoriert.

Zulässige Werte:

Yes

threeDSPolicy

JSON

Objekt, dass die Authentisierungs-Richtlinien und Strategien zur Behandlung von Ausnahmen angibt

priorAuthenticationInfo

JSON

Das Objekt Prior Transaction Authentication Information enthält optionale Informationen über eine 3DS-Authentisierung eines Karteninhabers, die vor der aktuellen Transaktion erfolgt ist.

browserInfo

JSON

Exakte Browserinformationen sind nötig, um eine optimierte Nutzererfahrung zu liefern. Erforderlich für 3DS 2.0 Transaktionen.

accountInfo

JSON

Die Kontoinformationen enthalten optionale Informationen über das Kundenkonto beim Händler.

billToCustomer

JSON

Der Kunde, dem die Waren und / oder Dienstleistungen in Rechnung gestellt werden. Erforderlich, sofern nicht Markt- oder regionale Mandate das Senden dieser Informationen beschränken.

shipToCustomer

JSON

Der Kunde, an den die Waren und / oder Dienstleistungen gesendet werden. Erforderlich, falls von billToCustomer abweichend.

billingAddress

JSON

Rechnungsadresse. Erforderlich (falls verfügbar), sofern nicht Markt- oder regionale Mandate das Senden dieser Informationen beschränken.

shippingAddress

JSON

Lieferadresse. Falls abweichend von billingAddress, erforderlich (falls verfügbar), sofern nicht Markt- oder regionale Mandate das Senden dieser Informationen beschränken.

credentialOnFile

JSON

Objekt, dass Art und Reihe der Transaktionen angibt, die unter Verwendung von beim Händler hinterlegten Zahlungsdaten (z.B. Kontonummer oder Zahlungs-Token) zur Verarbeitung künftiger Käufe eines Kunden erfolgen. Erforderlich, falls zutreffend.

merchantRiskIndicator

JSON

Der Händler-Risikoindikator enthält optionale Informationen über den bestimmten Einkauf des Kunden.

Falls keine shippingAddress vorhanden ist, ist es dringend empfohlen, die Eigenschaft shippingAddressIndicator mit einem entsprechenden Wert wie shipToBillingAddress, digitalGoods oder noShipment auszufüllen.

URLSuccess

ans..256

Vollständige URL, die das Paygate aufruft, wenn die Zahlung erfolgreich war. Die URL darf nur über Port 443 aufgerufen werden. Diese URL darf keine Parameter enthalten: Um Parameter durchzureichen, nutzen Sie stattdessen den Parameter UserData.

Allgemeine Hinweise:

Wir empfehlen, den Parameter "response=encrypt" zu verwenden, um eine verschlüsselte Antwort vom Paygate zu erhalten
Betrüger könnten das verschlüsselte DATA-Element kopieren, welches an URLFailure gesendet wurde, und betrügerisch dasselbe DATA an URLSuccess/URLNotify senden. Überprüfen Sie daher unbedingt den "code"-Wert des DATA-Elements. Nur eine Antwort mit "code=00000000" sollte als erfolgreich angesehen werden.

URLFailure

ans..256

Vollständige URL, die das Paygate aufruft, wenn die Zahlung gescheitert ist. Die URL darf nur über Port 443 aufgerufen werden. Diese URL darf keine Parameter enthalten: Um Parameter durchzureichen, nutzen Sie stattdessen den Parameter UserData.

Allgemeine Hinweise:

Wir empfehlen, den Parameter "response=encrypt" zu verwenden, um eine verschlüsselte Antwort vom Paygate zu erhalten
Betrüger könnten das verschlüsselte DATA-Element kopieren, welches an URLFailure gesendet wurde, und betrügerisch dasselbe DATA an URLSuccess/URLNotify senden. Überprüfen Sie daher unbedingt den "code"-Wert des DATA-Elements. Nur eine Antwort mit "code=00000000" sollte als erfolgreich angesehen werden.

URLNotify

ans..256

Vollständige URL, die das Paygate aufruft, um den Shop zu benachrichtigen. Die URL darf nur über Port 443 aufgerufen werden. Diese URL darf keine Parameter enthalten: Um Parameter durchzureichen, nutzen Sie stattdessen den Parameter UserData.

Allgemeine Hinweise:

Bevor Folgeaktionen (Buchung / Gutschrift / Storno) auf eine bestehende Transaktion ausgeführt werden, muss zuvor das erste Notify durch den Shop beantwortet worden sein.
Betrüger könnten das verschlüsselte DATA-Element kopieren, welches an URLFailure gesendet wurde, und betrügerisch dasselbe DATA an URLSuccess/URLNotify senden. Überprüfen Sie daher unbedingt den "code"-Wert des DATA-Elements. Nur eine Antwort mit "code=00000000" sollte als erfolgreich angesehen werden.

MAC

an64

Hash Message Authentication Code (HMAC) mit SHA-256-Algorithmus. Details finden Sie hier:

UserData

ans..1024

Wenn beim Aufruf angegeben, übergibt das Paygate die Parameter mit dem Zahlungsergebnis an den Shop.

Beispiel HTML-Formular

BASEURL= https://www.computop-paygate.com/schemas

1
<!DOCTYPE html>
2
<html>
3
	<head>
4
		<title>Merchant Checkout</title>
5
	</head>
6
	<body>
7
		<form name="card form" action="BASEURLpayNow.aspx" method="post">
8
			<input type="hidden" name="MerchantID" value="MerchantID">
9
			<input type="hidden" name="Len" value="Length of the Blowfish encrypted data">
10
			<input type="hidden" name="Data" value="Blowfish encrypted data">
11
			Cardholder:
12
			<input type="text" name="cardholder"><br> 
13
			Card number:
14
			<input type="text" name="number"><br>
15
			Expiry date:
16
			<input type="text" name="expiryDate"><br>
17
			CVV2:
18
			<input type="text" name="securityCode"><br>
19
			Card brand:
20
			<input type="text" name="brand"><br>
21
			<input type="submit" value="Submit">
22
		</form>
23
	</body>
24
</html>

Wenn die Zahlung abgeschlossen ist, sendet das Computop Paygate eine Benachrichtigung an den Händler-Server (d.h. URLNotify) und leitet den Browser dementsprechend an URLSuccess oder URLFailure weiter.

Die in der folgenden Tabelle genannten per Blowfish evrschlüsselten Datenelemente werden per HTTP POST Anfragemethode an URLNotify und URLSuccess/URLFailure übertragen.

Hinweis: Bitte beachten Sie, dass der Aufruf der URLSuccess oder URLFailure bei einem Fallback zu 3-D Secure 1.0 mit GET stattfindet. Ihre Systeme sollten daher Parameter sowohl per GET als auch per POST entgegennehmen können.

HTTP POST an URLSuccess / URLFailure / URLNotify

Key

Format

CND

Description

mid

ans..30

HändlerID, die von Computop vergeben wird

msgver

ans..5

Computop Paygate Message-Version. Zulässige Werte:

Wert

Beschreibung

2.0

Mit 3-D Secure 2.x wurde eine Vielzahl zusätzlicher Daten (Browser-Information, Rechnungs-/Versand-Adresse, ...) erforderlich, um den Authentifizierungs-Prozess zu optimieren. Um diese Informationen zu handhaben, wurden die JSON-Objekte eingeführt. Der Parameter MsgVer zeigt an, dass diese Daten verwendet werden.

PayID

an32

Vom Paygate vergebene ID für die Zahlung; z.B. zur Referenzierung in Batch-Dateien sowie im Capture- oder Credit-Request.

XID

an32

Vom Paygate vergebene ID für alle einzelnen Transaktionen (Autorisierung, Buchung, Gutschrift), die für eine Zahlung durchgeführt werden

TransID

ans..64

Ihre eigene TransaktionsID, die für jede Zahlung eindeutig sein muss

schemeReferenceID

ans..64

Spezifische Transaktions-ID des Kartenschemas, die für nachfolgende Zahlungen mit gespeicherten Zugangsdaten, verzögerte Autorisierungen und Wiedereinreichungen erforderlich ist.

Pflicht: CredentialOnFile – initial false – unschedule MIT / recurring

schemeReferenceID wird bei 3DS2-Zahlungsvorgängen zurückgegeben. Bei einem Fallback auf 3DS1 prüfen Sie bitte zusätzlich auf TransactionId.

Die SchemeReferenceID ist eine eindeutige Kennung, die von den Kartenmarken generiert wird. In der Regel können Computop-Händler die SchemeReferenceIDs für Abonnements übergreifend verwenden, welche unter Verwendung eines anderen PSP / separater Paygate-MerchantID / separater Acquirer ContractID / Acquirer erstellt wurden.

RefNr

Referenznummer vom Request

Status

a..20

Status der Transaktion.

Zulässige Werte:

Authorized
OK (Sale)
FAILED

Im Falle von nur Authentisierung ist der Status entweder OK oder FAILED.

Description

ans..1024

Nähere Beschreibung bei Ablehnung der Zahlung. Bitte nutzen Sie nicht den Parameter Description, sondern Code für die Auswertung des Transaktionsstatus!

Code

an8

Fehlercode gemäß Paygate Antwort-Codes (A4 Fehlercodes)

card

JSON

Kartenantwortdaten

ipinfo

JSON

Objekt mit IP-Informationen. Das Vorhandensein hängt von der Konfiguration des Händlers ab.

threedsdata

JSON

Authentisierungsdaten

resultsresponse

JSON

Falls der Authentisierungsprozess eine Challenge des Karteninhabers enthalten hat, werden zusätzliche Informationen über das Ergebnis der Challenge bereitgestellt

externalPaymentData

JSON

Optionale Daten des Acquirers/Issuers/externen Dienstleisters für eine Autorisierung

UserData

ans..1024

Wenn beim Aufruf angegeben, übergibt das Paygate die Parameter mit dem Zahlungsergebnis an den Shop.

MAC

an64

Hash Message Authentication Code (HMAC) mit SHA-256-Algorithmus. Details finden Sie hier: