Защита платежей через API Приват24

Долго думаем над вопросом, как организовать защиту при отправке платежей через api Приват24 (ПриватБанк Украина). Сам банк предоставляет защиту только в виде ID/Пароль/ограничение по ip

Соответственно если взломают сайт, все эти данные легко утекут злоумышленнику, он сам сделает запрос на отправку средств, только уже на свою карту.

Ссылка на api: api.privatbank.ua/article/5/
  • Вопрос задан
  • 3927 просмотров
Пригласить эксперта
Ответы на вопрос 3
Mendel
@Mendel
PHP-developer
В похожей ситуации мы ни до чего лучше не додумались как вынести взаимодействие с таким АПИ на отдельный домен, на отдельном ВДС, запросы на который с сайта шли через почти такое же АПИ, лишь чуть подправленное.
Удаленный безопасный сервер сломать сложнее ибо там меньше точек соприкосновения, принимает запросы он только от нашего сайта и т.п. Конечно имея реквизиты полученные на сайте и внеся изменения в сам сайт можно отправлять свои запросы, но не все взломы позволяют изменять код, плюс на защищенной стороне были добавлены несколько эвристик на подозрительные запросы, на количество запросов за период, объемы и т.п. Что-то получало задержку, что-то выполнялось но с отправкой смс администратору…
Ответ написан
fear86
@fear86
Developer
Так там же любая операция через смс, разве нет?
Ответ написан
@codecity
А что может улучшить банк с вашей точки зрения? Установить лимиты? Или вместо пароля использовать цифровую подпись (если да, то чем это лучше)?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы