Найкращі практики інтеграції платіжних смуг із вашим SaaS

Stripe швидко стала одним з провідних білінгових рішень на ринку, особливо віддаючи перевагу компаніям, що продають Програмне забезпечення як послуга. Прочитавши цей посібник, ви зрозумієте, як забезпечити відповідність PCI та найкращий спосіб побудувати інтеграцію інтерфейсу та бек-енду із Stripe.

Безпека - забезпечити відповідність PCI

Інформаційна панель відповідності PCI Stripe

Будь-яка компанія, яка зберігає, передає чи обробляє дані кредитних карток, повинна дотримуватись стандартів захисту даних платіжних карток (PCI). Якщо ви інтегруєтесь із Stripe, використовуючи їх стандарти безпеки, ви автоматично кваліфікуєтесь як сумісні з PCI, і вони автоматично генерують необхідний опитувальник самооцінки (SAQ) та атестацію відповідності, які ви можете завантажити з панелі керування відповідності. Stripe рекомендує дотримуватися наступних елементів, щоб залишатися сумісними з PCI:

Використовуйте Checkout, Stripe.js та Elements або наші мобільні бібліотеки SDK для збору платіжної інформації, яка надійно передається безпосередньо Stripe, не проходячи через ваші сервери
Безпечно обслуговуйте свої платіжні сторінки, використовуючи безпеку транспортного шару (TLS), щоб вони користувалися HTTPS
Переглядайте та підтверджуйте відповідність вимогам PCI свого облікового запису щорічно

Під час інтеграції з API Stripe секретні ключі, які ви використовуєте, повинні зберігатися в безпечному місці. Уникайте зберігання ключів у контролі версій; це може призвести до порушення безпеки даних клієнтів і може призвести до великих проблем для вашого бізнесу.

Лицьова сторона - Використовуйте елементи смуги

Приклад сайту за допомогою елементів смуги

Для SaaS Stripe Elements - це чудовий інструмент для створення чудової сторінки оформлення замовлення, налаштованої під конкретні випадки використання. Вони мають заздалегідь вбудовані компоненти інтерфейсу користувача, такі як кнопки введення кредитних карт та платежів. Вони обробляють дані кредитних карт, зберігаючи відповідність PCI, передаючи дані безпосередньо Stripe - без того, щоб вони проходили через ваші власні сервери. Вони реагують на розмір екрана, який можна налаштувати під стиль вашого бізнесу, і можуть бути локалізовані на бажаній мові ваших клієнтів.

Елементи смуги - це лише інструмент, який дає клієнтам спосіб ввести платіжну інформацію. Як компанія SaaS, вам все-таки потрібно розробити підключення до інших функцій, наприклад, коли клієнт переходить на інший абонентський план або скасовує його, скасовує його послугу або скасовує передплату.

Бек-енд - Використовуйте бібліотеку і смужки API Stripe API

Інтеграція смуги на задній частині складається з двох частин: активна інтеграція та реактивна інтеграція. Активним є прямі дзвінки в API Stripe для виконання таких дій, як скасування підписки, а непрямі - обробники подій, які реагують на події в Stripe, такі як недійсний платіж кредитною карткою.

Найкращий спосіб здійснювати дзвінки API - це використовувати офіційну бібліотеку API Stripe. З цим ви можете почати будувати логіку, необхідну для обробки всіх випадків використання, які ви хочете покрити для вашого конкретного SaaS.

Webhooks - це дзвінки API, які Stripe може надіслати на обрану вами кінцеву точку, щоб повідомити вас про події, які трапляються у Stripe. Це найкорисніше, що дозволяє реагувати на збої в оплаті та автоматично обмежувати доступ до вашої програми, коли кредитна картка клієнта не працює.

Створюючи інтеграцію, пам’ятайте про наступне:

  • Тримайте секретний ключ Stripe поза контролем версій, щоб запобігти злому вашого акаунта Stripe
  • Робіть усі розробки за допомогою тестових ключів Stripe, гарантуючи, що ви не порушите дані виробничих клієнтів
  • Під час використання веб-відеоматеріалів перевірте підпис Stripe, щоб переконатися, що запити є дійсними
  • Переконайтесь, що ваша інтеграція зберігає 1 - 1 відображення користувача у вашій базі даних для клієнта в Stripe. Деякі компанії помилково створюють декількох клієнтів, використовуючи один і той же електронний лист, і це може спричинити проблеми при спробі зробити більш складний код інтеграції.
  • Заблокуйте версію API на те, що ви розробили та протестували; Stripe може змінити свій API та порушити ваш код, якщо ви не заблоковані у певній версії; ось як ви це зробите.

Використання смугастого партнера для уникнення розвитку

Servicebot створює компоненти інтерфейсу, сумісні з PCI, підключені до Stripe

Stripe робить багато поза рамками, але більшості SaaS компаній знадобиться більше, ніж просто голі кістки. Такі функції, як сторінки ціноутворення та сторінки налаштувань платежів, де клієнти можуть керувати своїми підписками.

Якщо ви не хочете витрачати багато ресурсів на розробку та підтримку власної інтеграції зі Stripe, є партнери, перевірені смугою, які можуть забезпечити готову інтеграцію, яку ви можете перейти у свій додаток. Servicebot дозволяє легко підключати SaaS до Stripe, не витрачаючи часу на розробку, створюючи вбудовувані компоненти, такі як сторінки цін, управління рахунками та сторінки виїзду.

Висновок

Створюючи інтеграцію Stripe для SaaS, є багато рухомих деталей, які потрібно побудувати. Розробка лицьового типу за допомогою елементів Stripe та резервного з використанням однієї з бібліотек Stripe та обробка подій, що надсилаються веб-ручками Stripe, є складовими міцної інтеграції Stripe.

Якщо ви хочете звести до мінімуму розвиток свого платіжного рішення SaaS, варто звернутися до партнерів Stripe, таких як Servicebot

Ця історія опублікована у найбільшому видавництві з питань підприємництва The Startup, за яким прийшли + 370 107 людей.

Підпишіться, щоб отримувати наші основні історії тут.