Page tree
Skip to end of metadata
Go to start of metadata

Чтобы избежать мошеннических действий со стороны третьих лиц необходимо проверять параметр check (цифровая подпись) при обработке запроса от системы РФИ. Цифровая подпись обеспечивает высокий уровень безопасности, так как формируется с использованием secret_key, известному лишь Вашему сервису и системе Банка. В случае компрометации secret_key необходимо сообщить об этом по адресу isupport@rficb.ru.

Если магазин не использует скрипт для обработки запросов от системы, то обязательно указывайте Email при создании сервиса, так как необходимо вручную проверять стоимость товара и заплаченную клиентом сумму (она будет указана в электронном письме).

Подписываемые параметры должны быть представлены в urldecoded ­формате. Например, если значение поля name будет на кириллице (что будет довольно часто), то в переменной $_POST[“name”] будет содержаться urlencode($name), в то время как для подписи с нашей стороны используется $name.

Кроме параметров, участвующих в цифровой подписи, на обработчик и страницу успешной покупки приходят параметры phone_number и email, телефон и email пользователя (если Вы сделали обязательным ввод этих данных в настройках сервиса)

Если сумма платежа изменена и скрипт на стороне магазина не проверяет подлинность запроса, то возможно мошенничество со стороны недобросовестных пользователей.

Внимание! Чтобы избежать мошеннических действий со стороны третьих лиц при обработке нотификации необходимо проверять:

  • соответствие переданных в нотификации значений параметров и check (цифровая подпись)
  • соответствие переданного в нотификации значения system_income и суммы платежа cost указанной при инициализации оплаты.
  • опционально можно проверять и другие параметры переданные при инициацизации оплаты, например order_id, comment.

Указанные проверки обеспечивают сверку стоимости товара/услуги с фактически уплаченной клиентом суммой. В случае несовпадения этих параметров нужно отказывать покупателю в предоставлении товара/услуги и сообщать о таких случаях по адресу isupport@rficb.ru.


Пример генерации подписи на PHP (version='1.0'):
  • No labels