Wprowadzenie do weryfikacji połączenia
Aby zapewnić najwyższy poziom bezpieczeństwa i ochronę przed atakami typu Man-in-the-Middle (MitM), nasze API udostępnia dwa komplementarne mechanizmy weryfikacji autentyczności połączenia. Nie są to alternatywy — razem tworzą warstwy ochrony, które możesz stopniowo dokładać w miarę jak rośnie krytyczność Twojej integracji.
| Mechanizm | Co weryfikuje | Kiedy stosować |
|---|---|---|
| Certificate Pinning (SPKI) | Czy serwer używa dokładnie tego klucza publicznego, który należy do Paymentic | Integracje produkcyjne, szczególnie przetwarzające wrażliwe dane finansowe |
Standardowa walidacja Certificate Authority (sprawdzenie, czy certyfikat serwera jest podpisany przez zaufany CA) jest włączona domyślnie we wszystkich popularnych bibliotekach HTTP i pozostaje fundamentem całego modelu. Nie wyłączaj jej w produkcji — opcje w stylu verify: false w Guzzle czy -k / --insecure w cURL otwierają drogę do ataków MitM i powinny być używane wyłącznie w lokalnym środowisku deweloperskim.
Rekomendowaną ścieżką dla większości integracji jest dołożenie pinningu SPKI na wywołaniach wychodzących do API Paymentic. Dla odbioru webhooków, gdy chcesz mieć pewność, że żądanie rzeczywiście pochodzi z naszego systemu, warto dodatkowo skonfigurować mTLS.