Keamanan Akun
Password pengguna diproses menggunakan hashing. Form penting dilindungi CSRF token. Login dan pendaftaran merchant dapat dilengkapi Cloudflare Turnstile untuk mengurangi spam dan bot otomatis.
Keamanan API Merchant
Digunakan untuk mengidentifikasi merchant saat request API.
Digunakan untuk membuat signature HMAC dan tidak boleh dibagikan.
Membatasi request API agar hanya berasal dari IP server merchant yang valid.
Keamanan Callback
Callback pembayaran wajib divalidasi menggunakan signature. Merchant sebaiknya tidak langsung mempercayai data callback tanpa validasi, tidak memproses transaksi ganda, dan menyimpan log callback untuk audit.
Keamanan Dokumen Legalitas
Dokumen legalitas merchant disimpan pada folder non-public dan hanya dapat diakses melalui route terautentikasi. Jika dokumen diperbarui, status merchant dapat kembali ke proses peninjauan untuk menjaga kepatuhan.
Anti-Fraud dan Audit
JugPay menyediakan audit log, pemeriksaan aktivitas, pengaturan anti-fraud, dan validasi data transaksi. Admin dapat memantau transaksi mencurigakan, memeriksa log sistem, dan mengelola status merchant.
Best Practice untuk Merchant
- Simpan API Key dan Private Key hanya di environment server.
- Gunakan HTTPS pada website dan callback URL.
- Aktifkan whitelist IP untuk API produksi.
- Validasi signature pada semua callback.
- Jangan memproses callback yang sama lebih dari satu kali.
- Regenerate API Key jika diduga bocor.
- Pastikan data rekening penarikan sesuai pemilik usaha.