Նկարագրություն
VPOS.am security-ն կառուցվում է server-side payment verification-ի, signed events-ի, least privilege-ի եւ critical actions audit-ի շուրջ:
Ինչն է ստուգվում server-ում
Payment status, amount, currency, order id եւ provider reference-ը պետք է հաստատվեն server-ում: Frontend-ը կարող է ցույց տալ result-ը user-ին, բայց չպետք է ինքնուրույն mark անի order-ը որպես paid:
Եթե payment data-ն չի համապատասխանում internal order-ին, process-ը պետք է անցնի manual review-ի, ոչ թե ավտոմատ տրամադրի product կամ service:
Ինչպես պահել tokens եւ accesses
API keys, webhook secrets եւ provider credentials-ը պետք է պահվեն frontend code-ից դուրս, փոխանցվեն միայն protected channels-ով եւ տրվեն minimum required permissions-ով:
Merchant console-ի եւ integration settings-ի access-ը պետք է լինի role-based: Settlement details, callback URL կամ keys փոխելը պետք է log արվի որպես critical action:
Logging եւ incident review
Payment circuit-ին պետք են logs authorization-ի, settings changes-ի, webhook delivery-ի, provider callbacks-ի եւ manual operator actions-ի համար:
Այս logs-ը օգնում են վերականգնել event chain-ը՝ ով փոխեց setting-ը, ինչ payload եկավ, որ status-ն ընդունվեց եւ ինչու order-ը ստացավ final result:
Հաճախակի հարցեր
Որ data-ն չպետք է պահել frontend code-ում:
API keys, webhook secrets, provider credentials եւ service tokens չպետք է հայտնվեն frontend code-ում: Դրանք պետք է պահվեն server-ում կամ protected runtime environment-ում:
Ինչ պետք է log անել payment integration-ում:
Պետք է log անել provider callbacks, webhook delivery, settings changes, operator actions, signature verification failures եւ payment status transitions: