Transmettre des coordonnées de carte bancaire à votre propre système de stockage des tokens

Pour collecter les informations de carte et les envoyer à Stripe en vue de les utiliser avec l’API Vault and Forward, utilisez le composant Payment Element afin de créer un PaymentMethod. Une fois que vous avez créé un PaymentMethod, nous stockons automatiquement les informations de la carte dans le système sécurisé de Stripe, conforme aux normes PCI. Si vous avez votre propre front-end, vous pouvez toujours utiliser l’API Vault and Forward en créant directement un PaymentMethod.

Transmettez l’ID du moyen de paiement à l’endpoint Request sur votre serveur. Stripe fournit un endpoint de test (https://forwarding-api-demo.stripedemos.com/tokens) et un moyen de paiement de test (pm_card_visa) pour vérifier que vous pouvez récupérer les informations d’identification de la carte à partir du système de stockage de Stripe. Envoyez les informations de carte à cet endpoint de test avant de connecter votre intégration à votre système de stockage interne.

curl https://api.stripe.com/v1/forwarding/requests \
  -u "
sk_test_4eC39HqLyjWDarjtT1zdp7dc
:" \
  -d payment_method=pm_card_visa \
  --data-urlencode url="https://forwarding-api-demo.stripedemos.com/tokens" \
  -d "request[headers][0][name]"=Authorization \
  -d "request[headers][0][value]"="Bearer eyJhbGciOiJIUzI1NiJ9.Zm9yd2FyZGluZy1hcGktZGVtbw.2qoK37CNBmMjMDRERSYUSE-YrjsTgGhHnxMeqOxjrAg" \
  --data-urlencode "request[body]"="{\"metadata\":{\"reference\":\"Your Token Reference\"},\"card\":{\"number\":\"\",\"exp_month\":\"\",\"exp_year\":\"\",\"cvc\":\"\",\"name\":\"\"}}" \
  -d "replacements[0]"=card_number \
  -d "replacements[1]"=card_expiry \
  -d "replacements[2]"=card_cvc \
  -d "replacements[3]"=cardholder_name

Pour recevoir des numéros de compte principaux (PAN) de l’API Vauld and Forward, votre système de stockage des tokens doit être conforme aux spécifications suivantes.

Conformité PCI

Vérifiez que votre système de stockage est conforme à la norme PCI et fournissez une attestation de conformité PCI valide au service d’assistance Stripe. Vous devez renouveler cette attestation chaque année.

Exigences de l’API

Votre système de stockage doit contenir des API HTTPS qui acceptent le format JSON et renvoient des réponses JSON. Les autres formats, comme XML ou ISO 8583, ne sont pas pris en charge.

Assurez-vous que l’API contient une URL statique unique. Pour des raisons de sécurité, configurez-la dans l’API Vault and Forward. Ne la modifiez pas entre les requêtes.

Authentification

Utilisez l’API Vault and Forward pour vous identifier auprès de votre stockage sécurisé à l’aide de schémas d’authentification basés sur l’en-tête HTTP, y compris les tokens au porteur.

Assurez-vous que chaque appel à l’API transféré inclut l’en-tête d’authentification permettant de vous authentifier auprès de votre système de stockage.

Nous ne prenons pas en charge l’authentification par certificat client.

En-têtes de requête

Vous pouvez inclure des en-têtes supplémentaires dans la requête transmise à votre système de stockage. Cependant, vous devez vérifier que la configuration de système de stockage prend explicitement en charge ces en-têtes. Contactez le service d’assistance Stripe avant de commencer votre intégration pour vérifier que les en-têtes supplémentaires requis sont correctement configurés. En outre, assurez-vous que les en-têtes n’incluent pas d’informations sensibles, à l’exception du token du porteur.

Corps de requête

Vérifiez que votre système de stockage reçoit un objet JSON au format suivant.

{
  "card": {
    "number": "4242424242424242",
    "exp_month": "12",
    "exp_year": "2023",
    "name": "John Doe",
    "cvc": "123"
  },
  "metadata": {
    // Put your additional fields here
  }
}

Si nécessaire, votre requête peut inclure des champs supplémentaires sous la clé de métadonnées. Nous les transmettons sans traitement supplémentaire.

L’API Vault and Forward place les données déchiffrées dans les champs suivants :

Votre système de stockage n’a pas besoin de prendre en charge tous ces champs. L’API Vault and Forward place les valeurs dans la requête uniquement si elles sont présentes dans le corps de la requête que vous envoyez à l’API Vault and Forward. En outre, vous pouvez inclure des champs supplémentaires dans le corps de la requête, que l’API Vault and Forward transmet à l’endpoint de destination.

Corps de réponse

L’API Vault and Forward n’exige pas de corps de réponse de la part de votre coffre-fort. Si vous fournissez un corps de réponse, nous le renvoyons à l’appelant de l’API Vault and Forward. N’incluez pas de champs sensibles dans votre réponse.

Codes de réponse

L’API Vault and Forward traite toute réponse comme une réussite et renvoie à l’appelant le même code de réponse que celui envoyé par l’endpoint de stockage des tokens à Stripe. Par exemple, lorsque le point d’accès en amont renvoie un code d’état 400 à Stripe, l’API Vault and Forward répond avec un code d’état 200. Le corps de la réponse contient la réponse 400 du premier et le message d’erreur.

Pour confirmer la fonctionnalité correcte de votre intégration avec l’endpoint de stockage, remplacez l’endpoint de Stripe par votre configuration de stockage. Ensuite, lancez une ForwardingRequest en utilisant le PaymentMethod que vous avez créé.

Écoutez les webhooks Stripe pour savoir si une carte a été mise à jour. Appelez l’API Vault and Forward pour transmettre le PaymentMethod mis à jour à votre stockage sécurisé de tokens.