Mise à niveau vers TLS 1.2 et HTTP/1.1

PayPal met à niveau les protocoles utilisés pour sécuriser toutes les connexions externes à ses systèmes. La version 1.2 du Transport Layer Security (TLS 1.2) et la version 1.1 du Hypertext Transfer Protocol (HTTP/1.1) deviendront obligatoires pour les communications avec PayPal en 2017. Vous devez vérifier que votre environnement prend en charge TLS 1.2 et HTTP/1.1 et effectuer les mises à jour si nécessaire. Pour plus d'informations, cliquez ici.

Avant le 30 juin 2017

Mise à niveau des identifiants des certificats d'API des marchands

Les identifiants des certificats d'API émis par PayPal pour l'utilisation avec l'API Classic sont mis à niveau vers les certificats SHA-256 2 048 bits SHA-256. Si vous vous connectez actuellement à PayPal à l'aide d'un identifiant de certificat d'API, vous devrez produire un nouveau certificat d'API à partir de vos Préférences de compte et l'utiliser pour toutes les demandes d'API. Pour plus d'informations, cliquez ici.

Avant le 1er janvier 2018 (selon la date d'expiration de votre certificat)

Abandon de la méthode GET pour les API classiques

PayPal ne prendra plus en charge l'utilisation de la méthode de requête HTTP GET pour les API SOAP/NVP classiques. Si vous utilisez actuellement l'une de ces API, vérifiez que vos requêtes API utilisent uniquement la méthode HTTP POST. Pour en savoir plus, cliquez ici.

Avant le 30 juin 2017

HTTPS pour les envois de vérification IPN

Si vous utilisez le service de Notification instantanée de paiement (IPN) de PayPal, vous devez vous assurer que le protocole HTTPS est utilisé pour envoyer le message de vérification à PayPal. Les envois HTTP ne seront plus pris en charge.  Pour plus d'informations, cliquez ici.

Avant le 30 juin 2017

Bonnes pratiques de sécurité

La sécurisation de votre intégration est un défi permanent et PayPal est là pour vous aider. Pour consulter les bonnes pratiques de sécurité, cliquez ici.

*Mise à jour
Bien que les mises à jour de sécurité puissent être effectuées après le 30 juin 2017, nous recommandons de faire passer ces modifications et mises à jour de protocoles spécifiées par le Conseil PCI en priorité, afin que vous puissiez protéger au mieux vos clients des problèmes de sécurité et de fraude.

Éléments effectués

Mise à jour de l'adresse IP pour les serveurs FTP sécurisés

Si votre intégration est configurée pour échanger systématiquement des fichiers avec les serveurs FTP sécurisés de PayPal (Reporting/Batch), notez que les adresses IP pour ces serveurs ont été modifiées. Si votre intégration est codée en dur avec les adresses IP précédentes, vous devez effectuer une mise à niveau immédiatement pour éviter toute interruption de service. Pour plus d'informations, cliquez ici.

Effectif depuis le 12 mai 2016

Mise à niveau du certificat SSL

PayPal procède à la mise à niveau des certificats SSL utilisés pour sécuriser ses sites et points de terminaison API. Ces nouveaux certificats seront signés à l'aide de l'algorithme SHA-256 et du certificat racine G5 2 048 bits de VeriSign. Vous devez vérifier que votre environnement prend en charge l'utilisation de l'algorithme de signature SHA-256 et cesser d'utiliser les connexions SSL reposant sur le certificat racine VeriSign G2. Pour plus d'informations, cliquez ici.

Effectif depuis le 18 octobre 2016