Протокол Subscribe API

Мерчант обязуется добавить в приложение лейбл "Powered by Payme". В случае выявления нарушения пользования API, Payme имеет право отключить сервис.

Subscribe API позволяет работатьс пластиковыми картами и чеком. Payme Business и биллинг мерчанта взаимодействуют по протоколу Subscribe API с помощью запросов и ответов по протоколу удалённого вызова процедур JSON-RPC 2.0.


Чем Subscribe API отличается от Merchant API

В протоколе Subscribe API запросы отправляет приложение мерчанта, а ответы и информацию об ошибках отправляет Payme Business.


Endpoint URL

Payme Business принимает запросы от приложения мерчанта по адресам:


Авторизация

Для авторизации в Payme Business приложение отправляет заголовок X-Auth.


Формат заголовка

Для Front-End Для Back-End
X-Auth: {id} X-Auth: {id}:{password}


Требование к аутентификации для оплаты

Аутентификацию для оплаты следует производить по одноразовому паролю (OTP — One Time Password).


Требования к форме ввода данных пластиковой карты

  1. Элементы ввода в форме не должны содержать атрибут name

  2. Тег form не должен содержать атрибут action.


Требования к содержанию формы ввода данных пластиковой карты

Форма должна содержать:

  • логотип Payme;

  • ссылку на оферту Payme;

  • подсказку или текст о том, что все данные пользователей не передаются мерчанту и хранятся на сервере Payme Business.


Пример формы ввода данных пластиковой карты


Требования к безопасности

Данные пластиковой карты покупателя передаются и сохраняются на сервере мерчанта в зашифрованном виде — токене. Обработка токенов производится с помощью API.

Хранить незашифрованные данные пластиковой карты покупателя на сервере мерчанта категорически запрещается!


Рекомендации:

  • При сохранении токена карты следует предлагать установить ПИН-код для оплаты.

  • Перед оплатой по сохраненному токену следует запрашивать установленный ПИН код для оплаты;

  • Если ПИН код для оплаты введен неверно 3 раза, сохранённый токен следует удалить.