Integración por Connect (Hosted Payment Page)

Connect es la solución más ágil y sencilla de implementar ya que permite incluir la aceptación de pagos en un sitio web con poco desarrollo.

Consiste en insertar un formulario HTML con los parámetros de la transacción a realizar y enviarlo a nuestro Gateway. El proceso de cobro es gestionado completamente por Fiserv por lo que no necesitas construir la pasarela de pagos por tu cuenta, ya que la herramienta se encuentra completamente certificada.

Puedes embeber la pasarela de pagos en un IFRAME dentro de tu sitio o redirigir al cliente en el navegador para procesar la transacción. Si optas por integrar con IFRAME el cliente nunca abandonará tu sitio web.

Índice

1. Customización de formularios
2. ¿Qué necesito?
3. Proceso de Integración con Fiserv
4. Guía de integración Connect
   
   • Generación de Hash
   • Order Id
   • Venta Directa
   • IFRAME
5. Funcionalidades adicionales
   • Venta MSI
   • Tokenización
   • Cargos recurrentes calendarizados
   • Preautorización
   • Parámetros adicionales
   • Desglose por ítems
6. Troubleshooting Connect
   • Me encuentro en desarrollo
     • Nunca llegó a conectar con el formulario de Connect donde se introducen los datos de la tarjeta
       • En ambiente de pruebas
       • En piloto productivo
     • Ya he realizado las validaciones de Troubleshooting, pero aún no resuelvo mi problema.
   • Ya soy un comercio operando en producción

Customización de formularios

Los formularios de pago son personalizables en el ambiente productivo a través de la herramienta de Virtual Terminal, con lo cual podremos modificar colores y agregar logotipos para que se amolden más al estilo de nuestro comercio.

VirtualTerminal>Customization>Customize the design of your hosted payment forms>Combined page

Volver al índice ›

¿Qué necesito?

• Tener control sobre el código fuente del front-end para insertar el formulario HTML y back-end para poder gestionar las respuestas de la pasarela.
• Store ID. Es el identificador de tu tienda dentro de nuestra plataforma.
• Shared Secret. Es una clave privada que nunca debes compartir y debes almacenar de forma segura. Se utiliza para generar un HASH correspondiente a cada transacción y para garantizar la autenticidad de esta en el Gateway.
• Certificado SSL válido por motivos de seguridad.
• URL propia para recibir la respuesta (exitosa o error) a las transacciones en forma de parámetros POST.

Volver al índice ›

Proceso de Integración con Fiserv

Listo ¡has decidido que Connect es la solución para tu comercio! A continuación los pasos a seguir:

1. Ponte en contacto con un asesor comercial para llevar a cabo tu proceso de afiliación.
2. Vía correo electrónico recibirás tu SharedSecret, StoreID y números de tarjetas de prueba para que puedas comenzar tu desarrollo.
3. Una vez tu integración está lista en ambiente de pruebas, da aviso para coordinar una sesión de certificación. En esta sesión te pediremos hacer ventas de prueba y probaremos casos de éxito y rechazo en donde te pediremos que:
   1. Se muestre el monto correcto al tarjetahabiente.
   2. Se muestre el oid asociado a la transacción. Esto es para temas de soporte ya que de esta manera para cualquier aclaración será mucho más sencillo encontrar la transacción en nuestro sistema y brindarte un mejor servicio.
   3. En caso de rechazo un manejo correcto del error.
4. Cuando tu comercio se haya certificado de forma correcta entonces se te liberarán tus credenciales productivas con un SharedSecret y StoreID nuevos.

Volver al índice ›

Guía de Integración Connect

A continuación, los pasos para el desarrollo.

Generación de Hash

Cada una de las transacciones realizadas a través de la solución Connect requiere incluir un hash de seguridad para poder garantizar la integridad del mensaje en nuestro servidor.

Para ello necesitaremos como mínimo los siguientes parámetros dentro de nuestro formulario HTML en el siguiente orden (es posible que según la operación se requieran más parámetros).

Paso 1 - El Hash necesita ser calculado utilizando TODOS los parámetros que vayas a enviar.

Crea una lista de todos los parámetros a enviar y ordénalos alfabéticamente según el nombre del parámetro (exceptuando sharedsecret y hashExtended).

Con la lista de parámetros ordenada, se debe unir los valores de los parámetros separados por pipes “|” para generar un único string.

Paso 2 – Debemos encriptar el string creado con anterioridad a usando el algoritmo HMCASHA256 y con el SharedSecret que te fue compartido como la llave para generar el valor calculado del Hash.

Es importante que el valor obtenido de esta operación se mantenga como binario sin formato y no se convierta a un string ya que esto podría ocasionar problemas en el segundo paso.

En php la sintaxis correcta para este paso es incluir el parámetro raw_output como true. Cuando se establece en true la salida serán datos binarios sin formato:

Paso 3 - Codificar el valor retornado del algoritmo HMACSHA256 usando Base64, este valor es el que podrás utilizar para el parámetro hashExtended dentro del formulario HTML a enviar.

Validación de Hash

Una muy buena práctica de seguridad también es validar el hash obtenido a la respuesta de cada transacción. Esto para validar que la integridad del mensaje se haya conservado a la hora de obtener una respuesta.

Para ello realizaremos los siguientes pasos:

1. Genera un string con el siguiente orden:
   approval_code|chargetotal|currency|txndatetime|storename
   
   remplazando los parámetros con los valores obtenidos en tu respuesta, ejemplo:
   
   str = “N:-5010:Hosted data was not found|10.00|484| 2023:02:17-09:13:19|6266666”
2. Usa el string del paso anterior y encríptalo usando tu SharedSecret y el algoritmo HMACHSHA256
3. Pasa el valor a base64 y compara con el valor obtenido en response_hash si coinciden es prueba de que la información proviene de Fiserv y no de un agente malicioso.            

Volver al índice ›

Order ID (oid)

Este es el parámetro que nos ayudará a identificar cada una de nuestras transacciones. Por default, no hace falta agregarlo dentro del formulario ya que el gateway automáticamente genera este campo y nos lo regresa en la respuesta como "oid".

Ejemplo: C-424d61f0-2225-4ec8-b2e0-db2a8f926422

Sin embargo, si nosotros deseamos utilizar nuestro propio "oid" es posible enviarlo en el formulario de la siguiente manera, no debemos olvidar agregar también este parámetro en el cálculo del hash:

Tiene un límite de 78 caracteres con los siguientes rangos de caracteres permitidos A-Z, a-z, 0-9, "-".

Cabe recalcar que para cada transacción necesitamos generar un “oid” único para asegurar una correcta identificación de cada transacción (sin importar si fuera aprobada o declinada) y también asegurarnos de que el usuario no pueda reutilizar un “oid” ya que en este caso obtendremos un error.

Volver al índice ›

Venta Directa

A continuación, un formulario que representa una venta de $100.00 MXN que se está realizando el día 02 de enero de 2020 a las 12:51:05 PM que se está efectuando sobre la tienda con ID 399000002. Al finalizar la transacción, el comprador es redirigido a las URLs especificadas en responseFailURL o responseSuccessURL.

Volver al índice ›

IFRAME

Si quieres embeber tu formulario dentro de un iframe considera los siguientes pasos:

1.Agrega el siguiente fragmento de código javascript a tu página de "Checkout". De esta forma podrás recibir la notificación de las transacciones realizadas y redirigir al comprador a la página de "ÉXITO" o de "ERROR".

2. Crea un formulario de pago simple con HTML dentro de tu sitio Web y en la página de "Checkout". Donde, adicionalmente a los parámetros de Venta directa, agregaremos el atributo target al elemento form y el parámetro parentUri.

Manejo de Respuestas

Para saber cómo mapear correctamente las respuestas de nuestras transacciones consulta la siguiente guía haciendo click aquí.

Volver al índice ›

Funcionalidades adicionales

Además de Ventas directas Connect ofrece la funcionalidad de poder procesar las siguientes transacciones.

Es importante mencionar que en caso de requerir alguno de estos servicios se le haga mención hacia el equipo de integraciones de Fiserv para que el servicio sea agregado a la hora de la generación de la tienda.

Volver al índice ›

Venta MSI

Para hacer una venta a meses sin intereses, es prácticamente igual que una Venta Directa con la diferencia de que agregaremos dos parámetros adicionales a nuestro formulario HTML los cuales deben ser considerados a la hora de generar el hash.

El formulario a continuación, representa una venta de $100.00 MXN que se está realizando el día 02 de enero de 2020 a las 12:51:05 PM que se está efectuando sobre la tienda con ID 399000002.

Adicionalmente se agregaron dos parámetros: numberOfInstallments, que representan el número de meses a pagar y installmentsInterest que indica si se aplicarán intereses, siempre usaremos el valor de "false".

Volver al índice ›

Tokenización

Para hacer una venta y tokenizar una tarjeta es prácticamente igual que una Venta Directa con la diferencia de que agregaremos un parámetro adicional a nuestro formulario HTML, assignToken con el valor true, el cual debe ser considerado a la hora de generar el hash.

De esta forma, al procesar satisfactoriamente una transacción, obtendremos un token en la respuesta dentro del parámetro hosteddataid.

Este token quedará asociado dentro de nuestro Gateway a la tarjeta utilizada en la transacción. Es tu deber implementar la lógica para guardarlo dentro de tu base de datos y asociarlo a tu cliente.

Venta con Token

Al enviar el parámetro hosteddataid con un token previamente generado, únicamente se le solicitará al comprador ingresar el Código de Seguridad (CVV/CVV2) empleado para ese medio de pago; de esta forma el Gateway de IPG obtendrá los datos cifrados de la tarjeta y procesará la transacción.

Volver al índice ›

Cargos Recurrentes Calendarizados

Por Connect también es posible programar que una misma venta se repita de forma automática un número finito de veces.

Para esto agregaremos parámetros adicionales a nuestro formulario HTML, los cuales deben ser considerados a la hora de generar el hash.

• recurringInstallmentCount: [Número] entre 1 y 999. Es el número de veces que se repetirá la venta (incluyendo cobro inicial).
• recurringInstallmentPeriod: los valores permitidos son ["day", "week", "month", "year"] Indica un intervalo de tiempo.
• recurringInstallmentFrequency: [Número] entre 1 y 99. Indica el número de intervalos a esperar entre pagos.
• ponumber: Número de contrato único para la recurrencia hasta 50 caracteres (letras y números).

El formulario a continuación, representa una venta de $100.00 MXN que se está realizando el día 02 de enero de 2020 a las 12:51:05 PM que se está efectuando sobre la tienda con ID 399000002.

• Este cargo se repetirá automáticamente 12 veces (recurringInstallmentCount)
• El intervalo de tiempo se medirá en meses (recurringInstallmentPeriod).
• Cada cargo será efectuado cada que hayan transcurrido 1 intervalo de tiempo (recurringInstallmentFrequency) 
• Es OBLIGATORIO enviar un número de contrato para la transacción en el parámetro ponumber.

Documentation

The documentation of every method exposed by this sdk can be found here.

Los cargos recurrentes podrán ser cancelados desde la VT en Reportes/Recurrencias Activas identificando el oid o haciendo uso del API REST e identificando el ipgTransactionID que obtenemos a la respuesta.

Volver al índice ›

Preautorización

Una preautorización es una venta en donde el monto en lugar de ser descontado de la cuenta del cliente final es retenido o congelado. Esto se refiere a que tu cliente podrá seguir viendo los fondos en su cuenta, pero no le será posible usarlos y este monto podrá aparecer en sus movimientos bancarios como pendiente, en tránsito o algún otro estatus similar dependiendo del banco de su tarjeta.

Para concretar una preautorización, debes generar la instrucción a través de la Virtual Terminal (forma manual) o dando la instrucción a través de nuestra API para que se efectúe el descuento del monto final, de modo que puedas recibir los fondos por parte del cliente. Es decir, confirmar que se realice el cobro al cliente o, por el contrario, solicitar que se cancele.

En este caso, el formulario va a ser exactamente igual al caso de Venta Directa. La única diferencia es que en lugar de usar el input "txntype" con el valor de "sale", utilizaremos el valor de "preauth".

A continuación, un formulario que representa una preautorización de $100.00 MXN que se está realizando el día 02 de enero de 2020 a las 12:51:05 PM que se está efectuando sobre la tienda con ID 399000002. Al finalizar la transacción, el comprador es redirigido a las URLs especificadas en responseFailURL o responseSuccessURL.

Volver al índice ›

Parámetros adicionales

Si requerimos enviar información adicional junto con nuestra transacción, podremos hacerlo con “parámetros adicionales”. Estos serán pares llave/valor donde los valores no podrán exceder 100 caracteres, es posible siguiendo la siguiente sintaxis:

customParam_key=value

Ejemplo:

Se pueden enviar hasta 10 parámetros adicionales. Estos podrán verse tanto en el detalle de transacción en nuestra VT, como en la respuesta dentro de nuestras URL's especificadas.

Es importante mencionar que, si vamos a utilizar estos parámetros, no debemos olvidar incluirlos en el cálculo de nuestro hash.

Volver al índice ›

Desglose de cuenta por ítems

Podemos hacer que la página muestre un desglose por ítems. Para ello, agregaremos parámetros con la siguiente nomenclatura: 

"item" + [número de ítem]

pudiendo agregar hasta 99 ítems.

Para el valor de cada ítem separaremos con ";" los valores en el siguiente orden:

 Id de item;description;quantity;item_total_price;item_total_price;0;0

Ejemplo:

Para agregar 2 ítems a desplegar agregaríamos los siguientes parámetros

Esto permitirá que los productos se desplieguen de la siguiente forma

Volver al índice ›

Troubleshooting Connect

¿Tienes problemas con tu solución Connect?

No te preocupes aquí unas recomendaciones para tu desarrollo. 

Primero que nada ¿en qué parte del desarrollo nos encontramos? 

• Me encuentro en desarrollo: etapa de pruebas o piloto productivo (aún no tengo mi carta de aceptación del equipo Fiserv: LoA)
• Ya soy un comercio operando en producción

Volver al índice ›

Me encuentro en desarrollo

¿Qué situación describe tu problema?

• Nunca llegó a conectar con el formulario de Connect donde se introducen los datos de la tarjeta.
• Conecto con el formulario,pero mi transacción es declinada.
• Ya he realizado las validaciones de Troubleshooting, pero aún no resuelvo mi problema.

Volver al índice ›

Nunca llegó a conectar con el formulario de Connect donde se introducen los datos de la tarjeta

Esto puede llegar a suceder gracias a diversos factores a continuación una lista de las causas más comunes:

1. Ambiente y credenciales: en ocasiones puede suceder que estemos apuntando a la URL incorrecta para esto debemos de cerciorarnos de que atributo action apunte al ambiente correcto.
   • CI: https://test.ipg-online.com/connect/gateway/processing (Test)
   • LAN: https://www2.ipg-online.com/connect/gateway/processing (Producción México)
   • LAC: https://www5.ipg-online.com/connect/gateway/processing (Producción Centro América)
     
     Y de igual forma de cerciorarnos de que cuando estemos en ambiente test usemos storeID y shared secret de test y viceversa en productivo, las credenciales de test y producción son distintas. Para obtener credenciales productivas revise el proceso de integración aquí (Guía de Integración Connect>Proceso de Integración).
2. Formato de txndatetime: hay que verificar que el parámetro txndatetime esté en el formato correcto YYYY:MM:DD-hh:mm:ss se genere de forma dinámica y coincida con el parámetro timezone como lo específica la documentación (Guía de Integración Connect> Generación de Hash).
3. Generación de hash incorrecto: por lo general siempre el hash en base 64 siempre termina en "=", no en "==", en este caso hay que validar que incluimos todos los parámetros en el orden correcto como se explica en la documentación(Guía de Integración Connect> Generación de Hash), para validar lo siguiente puedes verificar que dado el siguiente input se genere el mismo hash.
   String:
   666.00|combinedpage|484|HMACSHA256|https://myurl.com/fail|https://myurl.com/success|62666666|America/Mexico_City|2022:08:1617:27:59|sale
   CalculatedHash : 5ceabd1338e0eaf8a39bdcaf31e23ef1843f6832859bf34e0e00da4b488df7e1
   Base64Hash : XOq9Ezjg6vijm9yvMeI+8YQ/aDKFm/NODgDaS0iN9+E=
   También, te compartimos la siguiente opción para generar hash online (https://www.devglan.com/online-tools/hmac-sha256-online):
4. El formulario enviado no coincide con el hash: para revisar esto podemos verificar como estamos enviando nuestros parámetros usando las herramientas para desarrolladores en nuestro navegador:
   • Dentro del navegador oprimimos Ctrl+ Shift + I previo a enviar nuestro formulario html para abrir las herramientas y nos posicionamos en la pestaña de Network, filtramos por Doc.
   • Enviamos nuestro formulario html y dentro de processing en el payload verificamos que los nombres de los parámetros y valores coincidan con los utilizados en la creación de nuestro hash, NO debemos enviar parámetros extra o menos de los que se hayan utilizado para realizar el cálculo del hash.

Volver al índice ›

Conecto con el formulario, pero mi transacción es declinada.

Si nos enfrentamos a esta situación, revisemos que estamos obteniendo a la respuesta, podemos consultar la siguiente documentación (Manejo de Respuestas).

Adicional a ello aquí las explicaciones a los tipos de rechazos más comunes:

En ambiente de pruebas

En ambiente de pruebas los rechazos más comunes se deben a que usemos números de tarjeta inválidos Recordemos que solo podremos procesar transacciones con tarjetas de prueba. En ocasiones estas pueden presentar intermitencias debido a que son utilizadas por múltiples comercios y es necesario darles mantenimiento. Si alguna no funciona recomendamos probar con otra diferente.

Tarjetas de prueba

Volver al índice ›

En piloto productivo

Cuando nos encontramos en esta etapa, es importante recordar que no podremos utilizar tarjetas de prueba.

Casos con el código N:51:05-DECLINED son rechazos del emisor (banco), pueden deberse a que nuestra tarjeta no esté habilitada para transacciones por e-commerce. Últimamente hemos visto la siguiente tendencia, los bancos tienden únicamente a aceptar transacciones de ecommerce a través de sus tarjetas digitales reservando las físicas únicamente para transacciones en puntos de venta físicos. En todo caso debe consultarse con el banco.

Casos con el código N:91:91-PLEASE RETRY  hacen referencia a que el sistema del banco no está disponible por el momento.

Casos con el código N:5101 hacen referencia a que el tarjetahabiente no realizó de manera correcta el proceso de autenticación. Este varía según el emisor puede ser haber introducido de manera errónea el código sms, haber fallado en hacer la autenticación en la app bancaria, etc.

Casos con el código N:5003 hacen referencia a que ya se había mandado un formulario con ese "oid" al gateway, pude suceder debido a un error en la integración o a que el tarjetahabiente interactúe con el comercio de manera errónea (abriendo múltiples pestañas, navegando hacia atrás) generando dos veces el mismo "oid", en ambos casos recomendamos revisar la integración.

Volver al índice ›

Ya he realizado las validaciones de Troubleshooting, pero aún no resuelvo mi problema.

En este caso, si aún no eres un comercio operando libremente en producción, te pedimos de favor enviar un correo a udi_lan@fiserv.com explicando tu situación, te recomendamos incluir la siguiente información para que puedan identificar a tu comercio de manera más eficiente:

• MID: es tu número de comercio Fiserv
• StoreID/storename: es tu número de tienda típicamente inicia con 62

En caso de tratarse de revisión de una transacción en específico, te recomendamos primero revisar la transacción en tu VT si es que ya te encuentras en un piloto productivo(https://www2.ipg-online.com/vt/login) y, si aún buscas asesoramiento, no olvides incluir en tu correo los siguientes datos:

• oid: es uno de los parámetros que obtienes de respuesta como parámetro POST en tu responseFailURL o responseSuccessURL fecha de transacción.

Volver al índice ›

Ya soy un comercio operando en producción

En este caso te pedimos de favor enviar un correo a servicioacomercios@fiserv.com explicando tu situación. Te recomendamos incluir la siguiente información para que puedan identificar a tu comercio de manera más eficiente:

• MID: es tu número de comercio Fiserv
• StoreID/storename: es tu número de tienda típicamente inicia con 62

En caso de tratarse de revisión de una transacción en específico, te recomendamos primero revisar la transacción en tu VT (https://www2.ipgonline.com/vt/login) y, si aún buscas asesoramiento, no olvides incluir en tu correo los siguientes datos:

• oid: es uno de los parámetros que obtienes de respuesta como parámetro POST en tu responseFailURL ó responseSuccessURL fecha de transacción.

Volver al índice ›