Google支付与直接令牌的集成

Question

我的应用程序使用一个东西来销售和使用支付是谷歌支付。在Google中有两种类型的令牌化方法。我参考谷歌支付文件。但很难理解。

有直接归一化的方法。

1)如何整合直接托卡化？

2)什么是符合PCI DSS标准的？

3)什么是公钥，如何加解密过程？

Answer 1

就上下文而言，有两种方法可以与Google Pay集成：

1. 通过支持的支付服务提供商-推荐的，以及
2. 通过直接集成-不推荐

建议使用PSP方法，因为合作伙伴PSP负责管理用户的支付凭据，并与PCI和DSS遵从性挂钩。

使用直接集成方法，您必须承担PCI遵从义务，并需要向Google提供您是符合PCI标准的证据。

如果完成直接 tokenizationSpecification类型的集成，您必须每年通过Google配置文件旋转您的公开加密密钥，并向谷歌提供PCI认证。PCI认证可以由经PCI安全标准理事会认证的第三方或合格的安全分析器提交，并由核准供应商或合格评税员批准。

回到实际问题：

通过直接集成，Google将使用您在Google控制台中提供的公钥(必须是注册为商人才能访问此页面)和支付请求加密用户的支付细节。然后，您将获取加密的有效载荷并使用您的私钥对其进行解密。

有关如何管理加密和解密的信息可以在这里找到：https://developers.google.com/pay/api/android/guides/resources/payment-data-cryptography#using-openssl

重要双边投资条约：

生成私钥openssl ecparam -name prime256v1 -genkey -noout -out key.pem #生成一个base64 64编码的公开密钥openssl ec -in key.pem -pubout -text -noout 2> /dev/空grep "pub:“频响1d / xxd -r -p -r-p base64 -sd -sd "\0”-

有关PCI依从性相关信息的良好来源可以在这里找到：https://www.pcicomplianceguide.org/faq/。

FYI，我提供了一个类似的答案，并在这里提供了关于整个过程的一些更详细的信息：Google pay Developer帐户在哪里?如何生成公钥以上传到其中？